徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

徳丸さん
少し答えずらい質問かもしれません(笑)・・
以下のように2人の上司が言うことが分かれた場合どちらに従いますか・・

1.仕様書に書いてある通りだけ作る
2.仕様書に書いてある通りだと問題があるので指摘する

仕事だからという理由なら1なのでしょうか?・・
上司には「言われてないことはただ働きだ」という意見もわかりますが・・それでも自分は2を選んでます・・
この質問は仕事の環境により異なるとは思います。

2020/11/18 08:06

仕様通りに作ると問題があるとわかっているのであれば、指摘すべきでしょう。品質マネジメントシステム規格ISO9000では設計検証と妥当性検証が要求されていますが、設計検証は仕様書(あるいは上流設計)どおりにできているかを確認するもの、妥当性検証はできあがるものが本来の用途にかなっているかを確認するものです。質問者さんは妥当性検証を個人的にやって問題があると感じとことになります。本来は組織的に妥当性検証をするべきですが、ともかく問題があるのであれば指摘をして、少なくとも検討はすべきかと思います。

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
お疲れ様です。

現在、私はjavascript勉強中です。

javasciptにはes5やes6などのverがあると聞いて、以下のようなことを疑問に思っています。
・pythonやphpのように端末上に環境を構築しないのにverがあるのか
・互換性はあるのだろうか。
・verによって脆弱性が発生するのだろうか

もしお答えいただけたら幸いです。
はじめまして。徳丸先生の影響でWebアプリケーション脆弱性診断士を志す情報学部の3年生です。
就活を始めたのですが、新卒の脆弱性診断士の募集はあまり見かけません。まずはWeb系企業やセキュリティベンダーに入社してキャリアを積むのが一般的なのでしょうか?診断士になるために、徳丸先生なら新卒でどのような道を選択されますか?
突然の質問失礼します。

HTMLエンコードの処理のタイミングはいつですか?
Burpでシングルクオーテーションを送信すると、データベースでHTMLエンコードされた文字列が処理されています。
サーバー側のphpでHTMLエンコードの処理はプログラムされていないため、なぜなのか原因がわかりません。 

あるCMSでSQLIを見つけたのですが、HTMLエンコードされてたので、これは脆弱性なしの判断でいいのかな?と思った次第です。
セキュリティに関する専門家が少ないと言われていますが、セキュリティにもハードに関するセキュリティからソフトウェア、通信などの技術面、ISOなどのマネジメント、法律などいろいろな階層があると思います。専門家から見て、どの階層が不足しているとか、ありますか?
それなりに大きいECサイトで会員登録しようとしたところ「パスワードは12文字以内で入力してください」と指定されてしまったのですが、あえて12文字制限を掛ける理由って何かあるのでしょうか?