このうち、メールで送られたワンタイムのURLはメールボックスを監視して送られてきたらURLを取得するとかCAPTHAなら機械学習使って認識するという機能を付ければと思うけど診断時間に影響でそう
posted at 11:35:25
| Stats | Twitter歴 4,429日(2007/06/04より) |
ツイート数 18,759(4.2件/日) |
表示するツイート :
2019年07月18日(木)4 tweetssource
自動診断ツールの弱点のとしてメールでワンタイムのURLを送ったり、CAPTHAがあったり、二段階認証のあるアプリは検査できないというのがある。
posted at 11:34:42
2段階認証のあるアプリの診断ができるのかと思ったorz まあ、できないよねw https://twitter.com/vaddynet/status/1151365957949857792…
posted at 09:27:12
GETとPOSTのパラメーターを扱うときって言語やフレームで区別されてないからGETとPOSTの違いを意識して使い分けることがないのは仕方がない気がする。まあ大抵のアプリではPOSTリクエストであってもGETリクエストを受け付けるし
posted at 09:20:11
2019年07月17日(水)2 tweetssource
あとはオフラインで個別対応ってのも考えられるけど、これもコスト的な理由なんかで難しい。
posted at 10:42:12
EdyやモバイルSuicaなんかもそうなんだけど、端末に固定の決済システムって、端末が壊れたり、紛失すると古い端末からの引継ぎには結局登録している別のIDとパスワードでログインして引き継ぐかないのよね。この辺のセキュリティをどう担保するかは結構難しいと思う
posted at 10:34:12
2019年07月11日(木)1 tweetsource
脆弱性診断でビジネスロジックに脆弱性があると報告しても、「それ仕様です」と言われるとリスクの説明して終わっちゃうんだよね。リスクを理解してもらえても、状況がわからないから別の方法もアドバイスできないし・・・(もしやるとしたら手間かかりすぎて、別途お金もらわないとやれない)
posted at 09:40:00
2019年07月10日(水)2 tweetssource
で、ユーザーが変わると以前にログインしていたユーザーが強制ログアウトするといいう仕様なのかも?なんかテストコードが残っててそれを使ってユーザー変更してるっぽいなぁ
posted at 11:41:55
パスワード変更じゃなくて、スイッチユーザー的な機能があったってことか?
https://biz-journal.jp/2019/07/post_108725.html…
posted at 11:40:08
2019年07月09日(火)7 tweetssource
リアルでは安全な対策がネットでは安全ではないこともあるし、ネットでは安全な対策がリアルじゃ運用負荷が高すぎるなんてこともあってこの辺の匙加減が本と難しい
posted at 13:52:34
リアルでの決済を行う場合、リアルでの運用も含めたリスク管理をしないといけないのでアプリに閉じた仕様策定なんて穴ができるだけなんだよなぁ
posted at 13:50:36
昔はカードで支払いするとカード番号全桁がレシートに書かれてたと思う。でも、開発するシステムのことしか見てなくて、カード番号は本人しか知らないという前提でシステム設計するとレシートから漏洩したカード番号で決済できるみたいなことも起こるわけで。
posted at 13:49:01
証券系のシステムなんかはとっても仕様がややこしいし。当然仕様書なんてもらえないし・・・
posted at 13:44:04
ビジネスロジックの脆弱性診断ってビジネスロジックの理解がないと難しいのよね。ワークフローのアプリで承認してるのに自由に編集できるとかは仕様知らなくても見つけられるけど、たまに承認終わってるのでも自由に編集可能というアプリもあったりするので、なんともはや
posted at 13:43:22
7Payの件、バグバウンティをやっていたかやってなかったかは関係ない。完全にリスク管理の失敗だと思うけど、その辺わかってなさげな経営陣なのがなんともはやorz
posted at 11:38:00
スマートフォンアプリでサーバー証明書をサーバー側で小聖書の管理を徹底するから、アプリ側で確認しないでいいと思うのはなんでなんだろう?アプリが偽のサーバー証明書をつかまされてないかの確認ができないじゃないかorz
posted at 11:29:38
2019年07月05日(金)4 tweetssource
何のためにこの対策を行うのか?を理解せずにある方法でこの対策と同じことができるから大丈夫だという変な自信を持つ人が多くて困る。もちろんある方法では対策が軽減しようとしていたリスクは軽減できない
posted at 11:52:35
診断会社や診断ツール売ってる会社に7Payの脆弱性は見つけられるのか?と聞く人増えそうw
posted at 11:46:11
@mincemaker こんな大穴自分だったら、アプリみた段階ですぐに直したほうがいいですくらい言いそうw
posted at 11:31:09
大抵の診断会社は仕様上の問題も指摘すると思う。まあ、自動ツールでしか診断しないちょー安い業者なら指摘しないと思うけど
https://comemo.nikkei.com/n/n3b3fb417e637
なんで、診断したといってもツールでしか確認してないんだろうなと推測
posted at 11:18:02
2019年07月04日(木)8 tweetssource
れいわ新選組がいるなら、れいわ薩長同盟があってもいいと思うのw
posted at 18:19:15
まさに、こいつ何とかしないと!案件orz
posted at 16:31:48
パスワードリセットの件はセキュリティと利便性のトレードオフっていうべきもんじゃないと思う。何考えているんだか
posted at 16:31:00
@yousukezan 「セキュリティとトレードオフでパスワードリセットに任意のメールアドレスへリセットメールを送信する機能を付けました!」ってことじゃないですかねorz
posted at 16:29:37
7&iって以前もECでやらかしてたなぁと思った。
https://www.rbbtoday.com/article/2013/10/23/113109.html…
posted at 14:39:41
PayPay「7Payが死んだか」・・・「奴はPay四天王の中でも最弱」テンプレがそろそろできそう
posted at 14:35:53
@sen_u ツール回して終わりとか?
posted at 11:11:30
ジャーナリズムに求めるのは正義じゃなくて真実なんだよなぁ。勘違いしているジャーナリストもどきが多いんだけど。
posted at 11:10:11
2019年07月03日(水)1 tweetsource
他国のことながら、そんなお金あるならもっと別のことに使えばいいのにと思った。別に輸出しないとは言ってないし、手続きが増えるだけなんだが?
https://www3.nhk.or.jp/news/html/20190703/k10011980311000.html…
posted at 14:57:11
2019年06月28日(金)2 tweetssource
残念ながらアプリのことをわかってない人はその辺理解してないのでワンアクションで診断やったつもりになって、実際はできてないということがままある
posted at 16:38:28
動的脆弱性診断ツールで自動探査が推奨できないのは、適切なデータ入力が今のツールじゃできないのね。最近はあちこちで機械学習を使って適切なデータを入力しようとしているけどな
posted at 16:37:38
2019年06月27日(木)9 tweetssource
スマホっ首に憑かれたっぽいorz
posted at 17:46:22
大体そういうこと聞いてくる人ってボタン一発で診断できることを期待するんだよねぇ
posted at 17:07:32
たまにWebsocketの脆弱性診断をツールで自動診断できないの?と聞かれることがあるけど、Websocketで通信するデータフォーマットが決まってないのでまあ無理だと思う。まあ、ツール側でデータフォーマットを指定できればできなくはないけど、たぶん求めているものが違う
posted at 17:06:55
企業のシステム部門の中の人が外注に出すならこれくらいのことできないと困るよなぁ。何のためのシステム部門なんだ?というのはよくある話だし
https://togetter.com/li/1370419
posted at 17:01:20
「右から左に作業を受け流すだけやったら、あんたいらんやで」と言いたくなったw
posted at 15:21:11
@yuiyui12322 静的診断ツールはまだまだ枯れてないですからね。人手による診断も手間がかかって大変ですし(そんなんやるんだったらテストをもっとしっかりしたほうがよさそう)
posted at 11:13:46
静的診断で発見された脆弱性を必ずしもすべて対応する必要がなくて、ファイルは外部から改ざんできないから大丈夫だとか、VPN使ってるから通信から情報漏洩しないという判断があってしかるべきなんだけど、そういうことしないで一律治せは違うと思うんだよなぁ
posted at 10:47:24
@number3to4 正確にはHistoryに出てこない。インターセプトはできるんですけどねぇ
posted at 09:25:13
@number3to4 おっ、やりますか。burp2.0ちょっと使った感じだとリクエストが取れないケースがあるみたいなんですよね。詳しく見てないから確証はないんですが
posted at 09:17:32
2019年06月21日(金)8 tweetssource
あんたは「オレオレ、あんたの息子やけど金振り込んでくれ」と電話で頼まれて、ほいほい言われたとおりにお金を振り込むんか?と問い詰めたいw
posted at 17:17:41
だから、鍵を共有する相手が確かに正しい相手であるということを鍵を共有する際に確認する必要があるんだけど、その辺を理解してないっぽいorz
posted at 17:12:58
暗号化によって秘密が守られるために何が必要なのか?というのを理解していない人がもしかして多いの? 暗号化には暗号を解く鍵が必要だけど、その鍵を持っている人が秘密を共有したい人しかいないことが大前提なわけよ。もし、秘密を共有したい人以外に鍵持ってちゃ秘密が漏洩する
posted at 17:10:29
「ダメだ、こいつ何とかしないと」な気分orz
posted at 17:04:16
僕の考えた最強の対策ってのは大抵対策になっとらんのやで。基本に忠実が一番ええんや!
posted at 17:03:33
それにISPが立ててるDNSサーバーの負荷がアクセス集中したら気になりますみたいなこというのやめぇやorz そういうのも考えてサーバー立てとるわw 大体そんな負荷にもならんし
posted at 17:02:17
その対策じゃそのリスクには対応できへんでって言ってるのに、かたくなに正しい対策を拒絶するのはなんなんorz
posted at 16:59:04
意外と「なんのリスクを低減するための対策なのか?」を理解しておらず、あるリスクに対する対策となってない対策を行おうとするの何なの?ある対策がすべてのリスクを低減するなんて、ないといっていいくらいなんだけど
posted at 16:00:27
2019年06月17日(月)1 tweetsource
体が硫黄臭いorz 土曜から温泉行ってたからなぁ
posted at 14:24:27
2019年06月13日(木)1 tweetsource
明日は天気持ちそうだけど、あさっては雨かorz
キャンプ行こうかと思ってたのに
posted at 15:34:40
