徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

地方で脆弱性診断員として10年ほど働きました。私の診断するシステムが限られているためか、実は未だにメールヘッダインジェクションを実環境で見たことがありません。徳丸先生にも、見たことのない脆弱性というものはあるのでしょうか。(検証などで自分で構築したものは除いてください)

2020/09/30 15:26

徳丸本に載っているような脆弱性で、かつオープンソースソフトウェアで見たものなども含めれば大体見たことがあると思います…というか、そういうものを本に載せているので当たり前とも言えますが。
CWE全部見たことがあるかと言われれば、見たこともないものがかなり多いと思います。
(メールヘッダ・インジェクションは、昔は、JavaMailのSubjectにあったくらいで珍しくありませんでしたが、最近はライブラリ側の対応が進んでいるので確かに滅多に見かけなくなりました)

ギフトサポートする

徳丸 浩

コメント

継続サポートするとコメントを閲覧、投稿することができます。

その他の投稿
責任増える割に給料は増えなくないです?

セキスペ
セキスペ、試験に合格しても更新等で費用が高いので、登録されない方も少なくない印象です。セキュリティ業務を担える人材は今後増えるかどうか、不安ではないでしょうか。
vimのプラグインは何を使われていますでしょうか。
「無線LANルーターの管理画面のパスワードは単純なものが設定されているので変更しないと不正アクセスされる可能性がある」とよく聞きますが、そもそもそのネットワークに侵入しないと管理画面にアクセスできないのでは?と思っています。つまり「"もしネットワークに不正侵入された場合"に管理画面に不正アクセスされてしまう可能性がある」という意味なのでしょうか?それとも外部からいきなり不正アクセスされてしまう事もあるのでしょうか?
IT職は勤務時間が長い・高ストレスで有名と思いますが、これを解決する方法はないものでしょうか?