今日の宿 https://pic.twitter.com/RdshaySgYA
posted at 18:06:07
ツイートの記録を停止しています
このアカウントはTwitter APIの仕様変更の影響でツイートの記録を停止しています。
記録を再開するには、Twilogにログインしてください。
Stats | Twitter歴 6,143日(2007/06/04より) |
ツイート数 19,610(3.1件/日) |
表示するツイート :
今日の宿 https://pic.twitter.com/RdshaySgYA
posted at 18:06:07
本日一湯目 https://pic.twitter.com/K9p051YFyP
posted at 12:59:46
越後湯沢来たった! https://pic.twitter.com/JsbOt1t5yR
posted at 11:12:55
どう見ても合法奴隷制だよな
https://this.kiji.is/282484118973056097…
posted at 19:41:14
もしかしたら、スマートフォンアプリもあるから、カードのIDを推測、あるいは取得してなりすましと言うのもあるかも
posted at 19:20:31
IDとカードの紐つけのところに問題があったのかも?IDとパスワードが漏れてれば、直接商品買ってる気がするし
http://www3.nhk.or.jp/news/html/20170919/k10011147511000.html…
posted at 15:50:46
@laylan 必要不可欠ですw
posted at 15:21:13
ikepyonさんはゴリラです
#犬か猫か人かゴリラかポケモンに分類する https://shindanmaker.com/748810
posted at 14:39:13
ikepyon。中級妖精 。琥珀の様な茶色い髪をもち、服装は十二単で満月の夜に現れる。契約すれば光の力の宿った石が授けられ、契約には月光にあてたお酒が必要
https://shindanmaker.com/289679
posted at 14:38:56
いろいろやめたいorz
posted at 14:38:11
くっ まだ対応するのか
https://gori.me/macosx/macoshighsierra/96624…
ACアダプタのコードが剥けてきているから、新しいの買うかorz
posted at 10:48:07
@kuroneko_stacy 突発的でなくても計画的に行ってますが、何か?w月一回は行ってる気がするw
posted at 19:21:20
@sen_u 毎日でお願いしますw
posted at 17:34:36
英語ではpassive scanやんけ!なぜ受動スキャンじゃなくて静的スキャンなんや!
posted at 17:14:12
ZAPって静的スキャンになってるのか。静的スキャンという言葉はソースコードスキャンのことを言うことが多いようだし、ちょっと気持ち悪い
posted at 17:12:04
C/C++以外のバッファオーバーフローと思われるのとして、昔再帰する関数作ったら、再帰が深すぎると挙動がおかしくなるのを作ったなぁw 4回ぐらいなら予想通りに動いて、5回ぐらい再帰すると予想通り動かなくなるの
posted at 17:06:48
実際問題として、strncpy使ってなかったというのもあるけどデータサイズの計算間違いなどでチェックがザルというのも多そうなので、両方したほうがいいのか
posted at 16:36:35
Bof対策の漏れがないとなるとstrncpyなどを使うことがいいけど、別の問題も起こりそうだし、仕様上どうなのよというのもある。データ長チェックを使う直前で行うというのがいいのだろうけど、やっぱり漏れそう。両方やるのが一番いいのかも?
posted at 16:30:39
あ、あとメリットとしてエラー処理を書かなくて済むというのもある?
posted at 16:28:37
デメリット
処理すべきでないデータを強引にデータをぶった切って処理するので、別の問題が起こる可能性がある
posted at 16:28:10
一方strncpyなどでコピーするデータ長を制限するメリット
指定したデータ長以上の操作を行わないので、Bof対策の漏れがない
posted at 16:27:04
デメリット:チェックする場所とBofが発生する場所が離れていると漏れる可能性がある。
エラー処理を別途書く必要がある
posted at 16:25:32
バッファオーバーフロー対策としてのデータサイズチェックのメリットデメリット考えてみた。
メリット:
処理すべきではないデータをはじくので、処理すべきでないデータを処理するということがない
posted at 16:24:53
チケット詐欺の話。口入家業をやって持っている人から安く買ってほしがっている人に言い値で売るということやった方がリスクないのになぜやっちゃったんだろう?
posted at 14:39:52
@ymzkei5 あれ、ソフト(開発したアプリ)でチェック以外にBofを防ぐ方法有りましたっけ?コンパイラで防ぐというのもあるかと思いますが、基本はアプリだと思ってましたが?
posted at 13:27:47
@ymzkei5 バッファサイズの確認はソフトでするもんじゃないかと。まああの文章全体的におかしいですけど
posted at 13:18:49
http://www.badstore.jp/shop/html/
なんてあるのかw
このサイトには脆弱性がいっぱいありそうでやだw
posted at 11:42:27
フォロワーの皆さん!ikepyonさんのツイートから想像できるikepyonさんの人物像は次のうちどれになりますか?
・廃人
・喋らない人
・テンションがウザい人
・大人の人
https://shindanmaker.com/747359
posted at 17:39:06
@tomoki0sanaki そこで素早いScutumですよw
posted at 17:01:27
フレームワークやらライブラリを脆弱性が見つかったら直ぐにあげられないなら、WAFで何とかするというのは非常に有効だと思うんだけど、その辺普及しないよなぁ
posted at 16:09:46
こうまでつつくと「Strutsは脆弱性の宝石箱やぁ!」といいたくなるなぁw
posted at 15:57:07
#またStrutsか タグがそろそろ出てきてもいい頃w
https://struts.apache.org/docs/s2-053.html
posted at 15:56:05
Source Code Security Analyzers
https://samate.nist.gov/index.php/Source_Code_Security_Analyzers.html…
posted at 14:45:10
@tomoki0sanaki トラブル対応してないと運用は仕事してないと言われて、給料下がりますからねorz
posted at 14:17:15
某世紀末バリデーターって開発者の提言通りに実装されてない気がするんだけど、それってバグなのか、開発者自信ですら実装できない机上の空論なのかわからないw
posted at 13:33:31
本気でそろそろ「例えばStrutsを辞める」とIPAが言い出さないといけないのではないか?w
posted at 18:49:02
開発要件に全機能テストの自動化環境を用意することというのを入れておいた方がいいかも?
posted at 16:43:31
パッチ、バージョンアップを早急に仕様とすると全機能のテストの自動化を用意する必要がある気がする。
http://itpro.nikkeibp.co.jp/atclact/active/17/081800125/082200002/?ST=act-security…
それができないからパッチ適用・バージョンアップに時間がかかるのだろうし
posted at 16:42:05
世紀末バリデーターは作られているようなので、これ一つ通せば脆弱性を起こさないありとあらゆるエスケープを行う世紀末エスケーパーを作るしかw
posted at 16:24:11