« 明日から。 | トップページ | ドラグナーだ!だがしかし… »

クラッキングをする程度の能力。

お仕事最終日の今日、3月頭から手伝いに入っていたWebサイトの脆弱性診断ツールなるものをセットアップ・実行していたのですが。

クロスサイトスクリプティングの問題が出るわ出るわ(汗)

あちゃ~、これはやばいわ、でもあたし今日で終わりよもう手伝わないよ?と思いつつ、ツール実行が終わるまでの間、テスト環境で再現テストをしていたのですが…。

クロスサイトスクリプティングの原理と穴位置がわかったからと言って、そのサイトを攻撃できると思うな!!

…つまり。
どこに穴があって、どうすれば実現できます、と実例付きでレポートが出ていても、あたしではどーにもうまくいかず。微妙に回避されちゃうのよね…。

再現してみないことには対策できたかどうかも確認しづらいのだけど、再現するには攻撃の定石を知っておく必要もあるのかねぇ。

あたし、アタックとかクラックとかリバースエンジニアリングには、あまり興味無いのだけど。

やっぱり最強のクラッカーは最高のセキュリティ技術者、ということか…。特に技術のみに限って言えば。

|

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/28934/44456661

この記事へのトラックバック一覧です: クラッキングをする程度の能力。:

コメント

ツールだと、穴の位置は分かっても、仕様上到達しないこともあるからねぇ(^^;
と、まさに一年くらい前に脆弱性診断ツールを開発してた人が言ってみるw

実際のところ、テストの段階で分かっても手をつけられない事も多々あると思うので、
攻撃の定石をおさえた上でフレームワークなり、コーディングルールなりにフィードバックしていくのが、コストを最も抑えられると思うよ。

少し古いしPHPなんだけど、こんな本を勧めてみます。
http://www.amazon.co.jp/PHP%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%86%E3%83%AD%E3%81%AE%E6%8A%80%E6%B3%95%E2%80%95%E6%94%BB%E6%92%83%E3%81%A8%E9%98%B2%E5%BE%A1%E3%81%AE%E5%AE%9F%E9%9A%9B-GIJOE/dp/4883374718

投稿: aba~n | 2009/03/25 17:20

>あばちゃ

あー、この本知ってる。一時期買い物リスト入りしたものの、当時は絶対Webシステムなんてやらせてもらえそうにない仕事だったので、買わなかったやつだー。

投稿: 土野魔魅 | 2009/03/25 21:43

コメントを書く