ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

投稿の一覧

「ヌルバイト攻撃」についてもう一点です。
検索クエリまたはファイルパス名で「%00」の文字列(エンコード忘れ)が一部含まれても、攻撃文字列でしょうか？

リクエスト

そのURLはどこにあることを想定していますか? サイトの中で閉じているURLは、そのサイトの責任ですから、利用者は気にする必要はありません。他のサイトからリンクされているURLであれば、そのサイトが…

4時間前

「ヌルバイト攻撃」という言葉を最近知りましたが、これは何でしょうか？

リンクのパス名に途中「%00」が含まれているものをクリックしないで下さいということでしょうか。

○○.jp/search?q=100%007が面白いです (エンコード忘れ)

というリンクみたいなものです。

曖昧でよく分かりませんでした。

リクエスト

リンクに%00が含まれているかどうかを一々チェックする人はほとんどいません。私もしていません。ヌルバイト攻撃は私の本「安全なWebアプリケーションの作り方第2版」で詳しく説明していますが、これはプ…

10時間前

意図的なものでなければ、利用者に責任は無いと回答頂きましたが、
どのように意図的だと判断されるのでしょうか。
アクセスログで相手がどう思われるかと思うと、ううんと思います。

やっぱり考え過ぎでしょうか。

リクエスト

プロが見れば間違えることはないと思います。

23時間前

セキュリティに関する資格を取りたいと考えていますが、CISSPなどがよいのでしょうか？

リクエスト

資格をとる目的により取るべき資格も変わってきます。

1日前

ホームページで利用者がなんらかのアクセスが原因で、ホームページのレイアウトのずれや文字がおかしくなった時、
これは不正アクセスとして利用者に責任が生じますか？

不正ログインしてハッキングしてサイト改変したら話は違いますが、どうでしょうか？

リクエスト

意図的なものでなければ利用者には責任は生じません

1日前

サイトの(開発者ではなく)利用者は、XSSやCSRFのような脆弱性を回避する手段はあるのでしょうか？「サイトにアクセスしたら一発アウト」では回避のしようがないように感じました。JSを止めるとか、怪しいサイトのリンクは踏まない、とかになるのでしょうか

リクエスト

JSを止めるのは現実的ではないと思います。こまめにログアウトするくらいでしょうか。

1日前

VirtualBox内の仮想マシンにセキュリティソフトは必要でしょうか？

リクエスト

仮想マシンの使い方次第です。仮想マシンだからウイルス感染しないということはありません

1日前

ホームページを閲覧している時に、なぜ文字化けの現象が起きている時があるのでしょうか。

外部からの不正アクセスがあってそうなったケースがあるのでしょうか。

稀だと思いますが、アクセスの方法次第で文字化けが起きた場合も不正行為なのでしょうか。

リクエスト

文字化けが起こるのは単にバグです。それを理解するには「文字エンコーディング」というものを理解する必要があります。私の本「安全なWebアプリケーションの作り方第2版」の6章では文字エンコーディングの解…

2日前

もっと見る