情報更新

last update 07/19 14:55

ツイート検索

 

@ikepyon
サイトメニュー
Twilogユーザー検索

Twilog

 

@ikepyon

Ikeda Masakazu@ikepyon

  • 867フォロー
  • 1,602フォロワー
  • 96リスト
Stats Twitter歴
4,429日(2007/06/04より)
ツイート数
18,759(4.2件/日)

ツイートの並び順 :

表示するツイート :

2019年07月18日(木)4 tweetssource

7月18日

@ikepyon

Ikeda Masakazu@ikepyon

このうち、メールで送られたワンタイムのURLはメールボックスを監視して送られてきたらURLを取得するとかCAPTHAなら機械学習使って認識するという機能を付ければと思うけど診断時間に影響でそう

posted at 11:35:25

7月18日

@ikepyon

Ikeda Masakazu@ikepyon

自動診断ツールの弱点のとしてメールでワンタイムのURLを送ったり、CAPTHAがあったり、二段階認証のあるアプリは検査できないというのがある。

posted at 11:34:42

7月18日

@ikepyon

Ikeda Masakazu@ikepyon

GETとPOSTのパラメーターを扱うときって言語やフレームで区別されてないからGETとPOSTの違いを意識して使い分けることがないのは仕方がない気がする。まあ大抵のアプリではPOSTリクエストであってもGETリクエストを受け付けるし

posted at 09:20:11

2019年07月17日(水)2 tweetssource

7月17日

@ikepyon

Ikeda Masakazu@ikepyon

EdyやモバイルSuicaなんかもそうなんだけど、端末に固定の決済システムって、端末が壊れたり、紛失すると古い端末からの引継ぎには結局登録している別のIDとパスワードでログインして引き継ぐかないのよね。この辺のセキュリティをどう担保するかは結構難しいと思う

posted at 10:34:12

2019年07月11日(木)1 tweetsource

7月11日

@ikepyon

Ikeda Masakazu@ikepyon

脆弱性診断でビジネスロジックに脆弱性があると報告しても、「それ仕様です」と言われるとリスクの説明して終わっちゃうんだよね。リスクを理解してもらえても、状況がわからないから別の方法もアドバイスできないし・・・(もしやるとしたら手間かかりすぎて、別途お金もらわないとやれない)

posted at 09:40:00

2019年07月10日(水)2 tweetssource

7月10日

@ikepyon

Ikeda Masakazu@ikepyon

で、ユーザーが変わると以前にログインしていたユーザーが強制ログアウトするといいう仕様なのかも?なんかテストコードが残っててそれを使ってユーザー変更してるっぽいなぁ

posted at 11:41:55

2019年07月09日(火)7 tweetssource

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

リアルでは安全な対策がネットでは安全ではないこともあるし、ネットでは安全な対策がリアルじゃ運用負荷が高すぎるなんてこともあってこの辺の匙加減が本と難しい

posted at 13:52:34

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

リアルでの決済を行う場合、リアルでの運用も含めたリスク管理をしないといけないのでアプリに閉じた仕様策定なんて穴ができるだけなんだよなぁ

posted at 13:50:36

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

昔はカードで支払いするとカード番号全桁がレシートに書かれてたと思う。でも、開発するシステムのことしか見てなくて、カード番号は本人しか知らないという前提でシステム設計するとレシートから漏洩したカード番号で決済できるみたいなことも起こるわけで。

posted at 13:49:01

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

ビジネスロジックの脆弱性診断ってビジネスロジックの理解がないと難しいのよね。ワークフローのアプリで承認してるのに自由に編集できるとかは仕様知らなくても見つけられるけど、たまに承認終わってるのでも自由に編集可能というアプリもあったりするので、なんともはや

posted at 13:43:22

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

7Payの件、バグバウンティをやっていたかやってなかったかは関係ない。完全にリスク管理の失敗だと思うけど、その辺わかってなさげな経営陣なのがなんともはやorz

posted at 11:38:00

7月9日

@ikepyon

Ikeda Masakazu@ikepyon

スマートフォンアプリでサーバー証明書をサーバー側で小聖書の管理を徹底するから、アプリ側で確認しないでいいと思うのはなんでなんだろう?アプリが偽のサーバー証明書をつかまされてないかの確認ができないじゃないかorz

posted at 11:29:38

2019年07月05日(金)4 tweetssource

7月5日

@ikepyon

Ikeda Masakazu@ikepyon

何のためにこの対策を行うのか?を理解せずにある方法でこの対策と同じことができるから大丈夫だという変な自信を持つ人が多くて困る。もちろんある方法では対策が軽減しようとしていたリスクは軽減できない

posted at 11:52:35

2019年07月04日(木)8 tweetssource

7月4日

@ikepyon

Ikeda Masakazu@ikepyon

パスワードリセットの件はセキュリティと利便性のトレードオフっていうべきもんじゃないと思う。何考えているんだか

posted at 16:31:00

7月4日

@ikepyon

Ikeda Masakazu@ikepyon

@yousukezan 「セキュリティとトレードオフでパスワードリセットに任意のメールアドレスへリセットメールを送信する機能を付けました!」ってことじゃないですかねorz

posted at 16:29:37

7月4日

@ikepyon

Ikeda Masakazu@ikepyon

ジャーナリズムに求めるのは正義じゃなくて真実なんだよなぁ。勘違いしているジャーナリストもどきが多いんだけど。

posted at 11:10:11

2019年07月03日(水)1 tweetsource

2019年06月28日(金)2 tweetssource

6月28日

@ikepyon

Ikeda Masakazu@ikepyon

残念ながらアプリのことをわかってない人はその辺理解してないのでワンアクションで診断やったつもりになって、実際はできてないということがままある

posted at 16:38:28

6月28日

@ikepyon

Ikeda Masakazu@ikepyon

動的脆弱性診断ツールで自動探査が推奨できないのは、適切なデータ入力が今のツールじゃできないのね。最近はあちこちで機械学習を使って適切なデータを入力しようとしているけどな

posted at 16:37:38

2019年06月27日(木)9 tweetssource

6月27日

@ikepyon

Ikeda Masakazu@ikepyon

たまにWebsocketの脆弱性診断をツールで自動診断できないの?と聞かれることがあるけど、Websocketで通信するデータフォーマットが決まってないのでまあ無理だと思う。まあ、ツール側でデータフォーマットを指定できればできなくはないけど、たぶん求めているものが違う

posted at 17:06:55

6月27日

@ikepyon

Ikeda Masakazu@ikepyon

@yuiyui12322 静的診断ツールはまだまだ枯れてないですからね。人手による診断も手間がかかって大変ですし(そんなんやるんだったらテストをもっとしっかりしたほうがよさそう)

posted at 11:13:46

6月27日

@ikepyon

Ikeda Masakazu@ikepyon

静的診断で発見された脆弱性を必ずしもすべて対応する必要がなくて、ファイルは外部から改ざんできないから大丈夫だとか、VPN使ってるから通信から情報漏洩しないという判断があってしかるべきなんだけど、そういうことしないで一律治せは違うと思うんだよなぁ

posted at 10:47:24

6月27日

@ikepyon

Ikeda Masakazu@ikepyon

@number3to4 おっ、やりますか。burp2.0ちょっと使った感じだとリクエストが取れないケースがあるみたいなんですよね。詳しく見てないから確証はないんですが

posted at 09:17:32

2019年06月21日(金)8 tweetssource

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

あんたは「オレオレ、あんたの息子やけど金振り込んでくれ」と電話で頼まれて、ほいほい言われたとおりにお金を振り込むんか?と問い詰めたいw

posted at 17:17:41

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

だから、鍵を共有する相手が確かに正しい相手であるということを鍵を共有する際に確認する必要があるんだけど、その辺を理解してないっぽいorz

posted at 17:12:58

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

暗号化によって秘密が守られるために何が必要なのか?というのを理解していない人がもしかして多いの? 暗号化には暗号を解く鍵が必要だけど、その鍵を持っている人が秘密を共有したい人しかいないことが大前提なわけよ。もし、秘密を共有したい人以外に鍵持ってちゃ秘密が漏洩する

posted at 17:10:29

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

それにISPが立ててるDNSサーバーの負荷がアクセス集中したら気になりますみたいなこというのやめぇやorz そういうのも考えてサーバー立てとるわw 大体そんな負荷にもならんし

posted at 17:02:17

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

その対策じゃそのリスクには対応できへんでって言ってるのに、かたくなに正しい対策を拒絶するのはなんなんorz

posted at 16:59:04

6月21日

@ikepyon

Ikeda Masakazu@ikepyon

意外と「なんのリスクを低減するための対策なのか?」を理解しておらず、あるリスクに対する対策となってない対策を行おうとするの何なの?ある対策がすべてのリスクを低減するなんて、ないといっていいくらいなんだけど

posted at 16:00:27

2019年06月17日(月)1 tweetsource

2019年06月13日(木)1 tweetsource

このページの先頭へ