高校/高専生向け脆弱性発見コンテスト、最優秀賞は…… - @IT
2012/09/06 「今回の受賞を機に、周りの人にもセキュリティに興味を持ってもらえたらうれしい」――8月31日、シマンテックが開催した「サイバーセキュリティチャレンジ 2012」の表彰式で、最優秀賞に輝いた海城高等学校のチーム「kph-lab」の堀口修平さんは、このように語った。 サイバーセキュリティチャレンジは、高校生や高等専門学校生を対象に、プログラミングの基本となる脆弱性を学び、セキュリティに対する関心を高めることを目的に開催されたコンテストだ。2~4名で構成するチーム単位での募集となり、7月17日から8月20日までの期間に約20チームが参加した。 問題文は、Cで書かれたクライアント/サーバ型チャットプログラムのソースコード。この中から脆弱性を見つけ出し、セキュリティの観点から推奨される書き方とともに提出する。「期限ぎりぎりに提出されたものが多く、最後までソースコードを読み込み、
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
プロの脆弱性対策
脆弱性対策には2種類あります。 「脆弱性を無くすように対策すること」と「脆弱性が発見されて被害が出た場合に、炎上しないように対策すること」の2つです。 スピンドクターと脆弱性関連情報 | 水無月ばけらのえび日記には、脆弱性を表に出さないための標準メソッドが書かれていました。 ・できるかぎりスルーし、事実を表に出さない ・スルーしきれなかった場合は控えめにアナウンスし、実害がないor少ないことを強調する。外部からの指摘だったことは極力隠し、運営者が自ら発見したかのような印象を与えるように努める ・被害の発生を認めざるを得ない場合は正直に報告するが、自分も被害者であるということを強調する。通常の手段では防げない高度な攻撃であったという印象を与え、被害を受けても仕方なかったという印象を与えるように努める 一般の利用者に気づかれないようにすることと、気づかれた場合には「悪質なハッカーにやられてしま
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
