ockeghem page

徳丸 浩

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

ホーム
投稿
限定投稿
リクエスト
プロフィール
徳丸 浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答
金融会社の社内SEに就職予定の学生です。最近セキュリティ業界に興味を持ったのですが、社内SEからセキュリティベンダーやセキュリティコンサルに転職するのは難しいのでしょうか。社内SEは調整役のような仕事で、技術が身につく訳では無いため転職し辛いというのを耳にし、疑問に思いました。
forum リクエスト
容易ではないですが、「とても無理」というほど困難ではありません。 しかし、ちょっと気になるのは、質問文から透けて見える受け身な姿勢です。まず、「社内SE」の業務内容は本当に会社によってまちまちです。そ…

10日前

先日のバグハントの話しを拝見しました。 私はセキュリティ専門ではないので何とも言えませんが、脆弱性を調査する人が捕まる可能性があるって当事者からしたらどうなんでしょうか? 曖昧な法律の上にセキュリティが絡んでくるとなると、バグハント等を行なっている人の善意に委ねられると思いますし、逆に報われない努力になってしまう可能性があるって、やるせ無い気がしてなりません。 徳丸さんはもう少し境界線を明確にすべきだと思われますか?
forum リクエスト
法律の中でも不正アクセス禁止法は割合明確なのですが、バグハントを公開サイトでやろうとすると、どうしてもグレーなゾーンに突入する可能性があります。たとえば、サイト上で自分の個人情報が https://e…

17日前

徳丸本第2版で勉強中なのですが、OWASP ZAPがなぜか管理者権限でしか実行できず、さらに設定も保存されなくて、毎回1からやらなければならない状態です。どう対処すればよいでしょうか? OWASP ZAPはバージョン2.11.1、PCはwindows10(64bit)、javaはVersion 8 Update 311を使用しています。
forum リクエスト
ちょっと状況が分からないので再現が難しいです。OWASP ZAPのヘルプメニューから、Support Info...を選んで、表示される内容を教えて下さい。Teratailで質問いただけるとコミュニケ…

18日前

情報系の学部学生です。セキュリティに興味があり、セキュリティをやるなら基本的なITの基礎知識が必要だと思い、応用情報技術者試験の資格を取得しました。 続けて、セキュリティのより深い知識を習得したいと思い、次の情報処理安全確保支援士の試験を受けようかと思って勉強しているのですが、 "学生の時は数学とかプログラミングとかアルゴリズムのような基礎を学ぶべき" といったことをおっしゃっているプロ(と思われる方)がたくさんいらっしゃる(ようにみえる)ので、基礎を極めた方がいいのかと悩んでいます。 徳丸先生としては以下のどちらを優先するべきだとお考えでしょうか。 ・セキュリティの知識を習得する(セキスペを受ける) ・プログラミング等の基礎をきちんとやる (私としてはどちらも勉強する気持ちはあるのですが、学校でもある程度後者はやっていて、正直言うと前者をやりたい気持ちです。しかし色々な人の意見を読んで気持ちが揺れてしまっています...)
forum リクエスト
もし質問者さんが、大学の情報系学部での予習・復習・課題などを存分に行っていて、それでも力が有り余っているのであれば、私からのアドバイスは特になく、好きなことをやられたらよいと思います。 ただ、質問文に…

20日前

最近セキュリティの勉強をしているのでお聞きしたいです。 日本のバグハンター達(個人で脆弱性を見つけてる人)は、何かしらの法律違反にならないのでしょうか? 例えば調査で企業のログインページなどに、XSSやSQLインジェクションのスクリプトを挿入した場合、何も動作しなかったらセーフなのでしょうか? スクリプトを挿入してログインなどをしてしまったら不正アクセス禁止法になるのは分かるのですが、そこら辺の線引きが気になります。
forum リクエスト
回答を端的に書けば、「バグハントの方法によっては法律違反になる」ということであり、逆に言えば、「法律違反にならない範囲でバグハントすべき」という、当然のことになります。 バグハントの対象として公開ウェ…

22日前

XSSとリンクの埋め込みコードは違いますか? また、XSSとヌルバイト攻撃は単に記号の検索だけで成立されてしまうのでしょうか? 「script」や「password」などは入れていません。
forum リクエスト
それを聞いてどうするのでしょうか?

27日前

ヌルインジェクションについて リクエストに「%00」を入れるとチェックがすり抜けしまう、とありました。 エンコーディングすると%2500となり問題は無さそうに見えますが、どうなのでしょうか。 script などの文字列は入れていません。 (試すつもりはありません)
forum リクエスト
エンコードした結果が%00という意味です。

27日前

情報セキュリティ担当者やシーサートの方々ってインテリヤクザみたいな人が多いイメージがあります。
forum リクエスト
私の知る範囲ではそんなこともないと思います。

29日前

継続サポート
ホーム
投稿
限定投稿
リクエスト
プロフィール
自分のダッシュボードへ
PAGEFULについて
利用規約
プライバシーポリシー
特定商取引法に基づく表示
PAGEFULに関するお問い合わせ

簡単オンラインコミュニティ決済ならメンバーペイ

メンバーペイ
powered by PAGEFUL[ペイジフル]