ockeghem page

徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

リクエスト

プロフィール

徳丸浩さんにリクエスト

投稿して欲しいテーマ・お題のリクエストや質問を匿名で送ることができます。

過去の回答

Youtubeをよく拝見さてもらっております。
気になったのは、徳丸さんが動画投稿を行ってる目的が気になりました。
情報セキュリティの正しい情報拡散とお仕事のマーケティングがメインとなるのでしょうか？

リクエスト

明確な目的は意識しておりません。合理性を追求したら、手間が掛かり過ぎてやってられません。思いつきでやり始めて、その後はやりたいからやっているという感じです。

1時間前

言語を開発出来るレベルの知識を持って、仕事に挑みたいのですが……参考になる書物などありますでしょうか。

ウィンドウズインサイド等は力になりますか？

リクエスト

簡潔に回答すると、・質問者さんのことを知らないので質問者さんに適した書籍の推薦はできない・「ウィンドウズインサイド（インサイドWindows?）」は力にはなると思うが、「言語を開発」というテーマ…

1時間前

静的コンテンツのみのコーポレートサイトであっても、ウェブアプリケーションとプラットフォームの脆弱性診断を実施する必要性はあるのでしょうか。

リクエスト

「静的コンテンツ」という表現は実はあいまいでして、静的コンテンツと言いつつJavaScriptくらいは使っていて、そこに脆弱性が入る余地はあります。なので、状況によってはウェブアプリケーション脆弱性診…

4日前

徳丸本にはオープンリダイレクタについて、「もともと外部のドメインに遷移する仕様であること」「利用者にとっても外部のドメインに遷移することが自明であること」を両方満たす場合は脆弱性とはならないと書かれていますが、メールなどで他サイトへ誘導するためのリンクとして使うなど、フィッシングへの悪用はできてしまうと思うのですが、それはよいのでしょうか？

リクエスト

「利用者にとっても外部のドメインに遷移することが自明であること」あるのは、画面上で「外部のサイトの遷移します」と表示することなどを示します（クッションページなど）。それでも利用者が騙されるのであれば利…

5日前

WAF は静的コンテンツ配信のみを行っている Web サーバーには不要な物だと思っていましたが、それについて「ディレクトリトラバーサル等は静的コンテンツサーバーでも受ける可能性がある (ので WAF が有効)」との指摘を受けました。この指摘は妥当なのでしょうか?

リクエスト

静的コンテンツの場合でもサーバーソフトウェアの脆弱性はありえますので、WAFが効果は見込める場合はあります。そしてサーバーソフトウェア（例えばウェブサーバー）の脆弱性によりディレクトリトラバーサル脆弱…

7日前

新人研修の教材用に「脆弱性を含むWebアプリケーション」のサンプルを捜しています。
（脆弱性診断やセキュリティ監視を行っている部署に配属された新人が対象です）

IPAが提供している「AppGoat」のようなツールを想定しておりますが、他に良いサンプルをご存知であれば、教えていただけますと幸いです。
（できれば無料が望ましいですが、有料でも良いものがあれば教えていただけると有難いです）

リクエスト

脆弱性実習用のウェブアプリケーションなんていくらでもあるだろうに…と思うのですが、あいにくと私はこの手の「ヤラレアプリ」の調査に不熱心でして、中身についてはあまり知りません。なので、有料とはなってし…

9日前

パスワード入力欄のtype属性をpasswordとするのはマスク表示のためでしょうか。それとも別の恩恵を受けるためでしょうか。

リクエスト

基本的にはマスク表示のためですが、それに付随して、たとえば読み上げソフトが当該属性（一般的にはパスワード）を読み上げしないなどの効果が期待されます

10日前

講演などで積極的に顔を出す方を除いて、社内の重要なセキュリティに携わる方はスパイ目的でよからぬ輩が近づかないように、友人や家族に対し所属や業務について嘘をついたりするのでしょうか？

リクエスト

スパイが近づくというのはともかくとして、家族から情報が漏れる（家族に悪意がない場合でも）というのはありがちなので、家族といえども仕事の内容についてはあまり詳しく話さない（例えば顧客名等）ことは一般的な…

11日前