• Twitterでシェア
  • Facebookでシェア

本当にあった怖い脆弱性の話

テクノロジー カテゴリーの変更を依頼 記事元:speakerdeck.com/ad5jp
適切な情報に変更
563 usersがブックマーク コメント62

    記事へのコメント62

    • 注目コメント
    • 新着コメント
    Crone
    Crone 市役所の方が低期間低コストで作りました、ってのを聞くたび応援しつつもセキュリティインシデントはすごく心配してる。良かれと思ったのに怒られて、組織が逆に保守的になって改善から遠ざかってしまうから。

    2022/04/11 リンク

    その他
    jaguarsan
    jaguarsan ここで紹介されてんの、どれも仕様の脆弱性なのでツールだと見つけらんないんだよな。CSRFならギリギリ。ツール流すしかしない業者だと見つけらんないよ

    2022/04/11 リンク

    その他
    hatest
    hatest 逆に怖くない脆弱性ってあるの?

    2022/04/11 リンク

    その他
    ozomatli
    ozomatli 外部公開するサービスは絶対第三者機関による脆弱性チェックを受けるべき

    2022/04/11 リンク

    その他
    pandafire
    pandafire こういうの悪いけど聞く分にはむっちゃ楽しい。私も暴露したいすごい脆弱性の話いろいろある。

    2022/04/11 リンク

    その他
    oldriver
    oldriver 「平文NG」というと「暗号化すればOKやな」となるので間違い。本当に言うべきは「可逆暗号」「不可逆暗号」かと。

    2022/04/12 リンク

    その他
    Rishatang
    Rishatang GitHubのissueとかに画像貼るとプライベートリポジトリでもパブリックなURLで生成されるけど、あれ誰も何も言わないなとは思ってる

    2022/04/11 リンク

    その他
    kamezo
    kamezo 半分も理解できたか自信がないが「これぐらいのwebサービス、ちゃちゃっと作れるよね」みたいなことを言い出す人に見せるのにいいかもしれない。怒られるかな。

    2022/04/11 リンク

    その他
    homarara
    homarara パスワードを平文保存しなくたって、悪意の管理者がDBにアクセスできる時点でどうにもならんけどね。

    2022/04/11 リンク

    その他
    kazuau
    kazuau 自分なら、たとえこのクライアントがいいよと許諾しても自分の名前を出して公開できないなこれは

    2022/04/12 リンク

    その他
    nilab
    nilab 「PHPerkaigi 2022 Day2 Track B」

    2023/01/03 リンク

    その他
    ockeghem
    ockeghem 仮パスワードのみ初回ログインまで平文保存すると書いてありますが、仮パスワードを発送したら後はハッシュ値のみでいけますよ

    2022/04/14 リンク

    その他
    maruiboushi
    maruiboushi アップロードされた画像のURLが十分に推測されにくく漏洩もしないなら原理的には安全なはずだが、まさにその特性を持つのがセッションIDなのでそこに抱き合わせてしまうのが良いのはそう。

    2022/04/12 リンク

    その他
    indication
    indication 無意識にやってしまっていないか、そこを注意したい。

    2022/04/12 リンク

    その他
    a96neko
    a96neko 見てる

    2022/04/12 リンク

    その他
    versatile
    versatile 色々あるよね。みんな時間がない中、限られた自分の知識を総動員して頑張って作ってるが、それでも考慮もれは出る。人間だもの

    2022/04/12 リンク

    その他
    NOV1975
    NOV1975 「証券会社というセンシティブ」ここ、多分間違ってる。経験上、銀行以外はそこまでセンシティブじゃなかった。証券会社なんてスピード重視だよ。

    2022/04/12 リンク

    その他
    yuzuk45
    yuzuk45 勉強になります

    2022/04/12 リンク

    その他
    fashi
    fashi 最近DBのパスワードはハッシュ化されてるのにデバッグログに平文載ってるシステムを見た

    2022/04/12 リンク

    その他
    Finding
    Finding いや怖いのは分かったけど…エンジニアって大変すぎない? これ全部分かってちゃんと作れる人は、ちゃんと稼げてる?

    2022/04/12 リンク

    その他
    programmablekinoko
    programmablekinoko もうログインとかURLルーティングを面倒見てくれるWeb用のDSLを作ったほうが良いと思うんだよな。フレームワークは絶対に抜け穴がある

    2022/04/12 リンク

    その他
    nkym_san
    nkym_san こんなことあるんだ・・・

    2022/04/12 リンク

    その他
    sisicom
    sisicom 入らないように

    2022/04/12 リンク

    その他
    fut573
    fut573 守秘義務がなければこの手の3つくらい書きたい。

    2022/04/12 リンク

    その他
    door-s-dev
    door-s-dev パスワードの平文保存はユーザー側がこうゆうサービスを使わないとかにならないと無くならんやろね

    2022/04/12 リンク

    その他
    knok
    knok github issueの画像も誰でも見られるんだよね…と書こうと思ったら既に同じコメントがあった

    2022/04/12 リンク

    その他
    sds-page
    sds-page 個人情報扱うWebシステム触りたくない。金勘定扱うのはもっとやりたくない

    2022/04/12 リンク

    その他
    hubtoyo
    hubtoyo こ、これはあれだよね。個別の例はそれぞれ別のシステムで実際にあった案件で、それらを寄せ集めて証券会社のシステムというストーリーに仕立てたんだよね?ね?ね?

    2022/04/12 リンク

    その他
    daruyanagi
    daruyanagi ヤバすぎんだろ……背筋寒くなったわ

    2022/04/12 リンク

    その他
    hihi01
    hihi01 素人の私でも怖さが伝わります。

    2022/04/12 リンク

    その他
    sisya
    sisya しかもこれ、自社開発でコーダーがまずいことを指摘しても設計側が「コストがない」という理由で握りつぶすような話も多々耳にするので、資金不足でユーザにリスク背負わせる設計者には滅んでほしいと思う。

    2022/04/12 リンク

    その他
    tivrsky
    tivrsky 勉強になります。。

    2022/04/12 リンク

    その他
    tianbale-battle
    tianbale-battle ホラー

    2022/04/12 リンク

    その他
    oldriver
    oldriver 「平文NG」というと「暗号化すればOKやな」となるので間違い。本当に言うべきは「可逆暗号」「不可逆暗号」かと。

    2022/04/12 リンク

    その他
    napsucks
    napsucks セッション管理周りはほんと危ないよね。逆に固めすぎると戻るボタンでエラーになるという悪罵したくなるようなUIデザインになるけど。

    2022/04/12 リンク

    その他
    at_yasu
    at_yasu せめて owasp の資料を読んでから開発しようって言いたくなる…本当に…

    2022/04/12 リンク

    その他
    zyzy
    zyzy PHPはともかくWordPressはよほど本体に詳しくないと金のやりとりが絡む奴には使いたくないな……

    2022/04/12 リンク

    その他
    kazuau
    kazuau 自分なら、たとえこのクライアントがいいよと許諾しても自分の名前を出して公開できないなこれは

    2022/04/12 リンク

    その他
    rrringress
    rrringress あわわわ

    2022/04/12 リンク

    その他
    slash_01
    slash_01 怪談話するには季節がちょっと早いかなぁ。

    2022/04/11 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    本当にあった怖い脆弱性の話

    PHPerkaigi 2022 Day2 Track B

    ブックマークしたユーザー

    • tiga22024/04/08 tiga2
    • tiara24012023/02/23 tiara2401
    • techtech05212023/02/09 techtech0521
    • nilab2023/01/03 nilab
    • manhole2022/09/05 manhole
    • kwy2022/05/10 kwy
    • gennei2022/04/22 gennei
    • gan_nu2022/04/18 gan_nu
    • somathor2022/04/16 somathor
    • crayzic2022/04/16 crayzic
    • isrc2022/04/15 isrc
    • terazzo2022/04/15 terazzo
    • tosi292022/04/15 tosi29
    • mtrock2022/04/15 mtrock
    • cubed-l2022/04/15 cubed-l
    • ockeghem2022/04/14 ockeghem
    • yas_tsrm2022/04/14 yas_tsrm
    • mieki2562022/04/14 mieki256
    すべてのユーザーの
    詳細を表示します

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.