Yosuke HASEGAWA @hasegawayosuke Twitter profile

Pinned Tweet

Yosuke HASEGAWA

@hasegawayosuke

3 years

そういうわけでよろしくお願いします。

【お知らせ】SSTの取締役CTO はせがわようすけ、「セキュリティ・キャンプ協議会」代表理事（会長）就任 | 脆弱性診断とクラウド型WAFのセキュアスカイ・テクノロジー（SST）

この度、弊社の取締役CTO はせがわようすけが「セキュリティ・キャンプ協議会」の代表理事（会長）に就任いたし

www.securesky-tech.com

1

16

77

Last Seen Profiles

@Yasmine77836

@BahozB58737

@GhsGmra

@acostajjoaquin

@Yasmine77836

@EnfantXTerter

@PixelThis_bot

@Josephineo26277

@Saed72

@HollySkylar654

@Aya_Bakr55

@Saed72

@RadHRorg

@Domino5445

@GuildedRose_

@N0rthernTw1nk

@Dlaing24

@KOAforGame

@alhedayahclub

@bokeplokalmalam

@major_bnb

@sakugaku_PR

@parker68534661

@KaranKunddra

@ChPastor_92

@xr8dr

@gi_there

@Yhwachc

@NYFenianBhoys

@MileBrouil

@SJwzha

@KayyasitMyclub

@tomieakito

@stw_pdg

@nebarinrin

@Yasmine77836

Yosuke HASEGAWA

@hasegawayosuke

3 months

いらすとや使ってる資料みると、使われてる素材が20超えていないか数えてしまう病

5

5K

53K

Yosuke HASEGAWA

@hasegawayosuke

2 years

リモートワークが当たり前になったIT職で誰にも気づかれないまま自宅で孤独死、本人がタイムカード打刻なども自動化していて会社も把握できなかった。みたいなのそのうち起こりそう。

27

824

4K

Yosuke HASEGAWA

@hasegawayosuke

1 year

見てる。すごいな。 / 文化祭で某チェーン店を再現して失敗した話 - Qiita

文化祭で某チェーン店を再現して失敗した話 - Qiita

要約Wifiは無いに等しいと考えること。(来場者1万強/日なんていう状況下でWifiが動くと想定するのが駄目でした)進捗管理する第三者を設けること。ソースコードhttps://githu…

qiita.com

3

1K

3K

Yosuke HASEGAWA

@hasegawayosuke

1 year

脊髄反社な発言に対してうまいこと言われすぎてめちゃくちゃ悔しい

2

462

2K

Yosuke HASEGAWA

@hasegawayosuke

3 years

log4jの脆弱性に関して実際に観測された攻撃や様々に難読化された攻撃パターンなどについて、本来であれば広く共有されたほうが脅威の理解や対策に役立つ情報が、日本国内では不正指令電磁的記録に該当するのではないかという懸念から表立っての共有が敬遠される様をいくつも見かけた。

3

1K

2K

Yosuke HASEGAWA

@hasegawayosuke

1 year

伝説のほこ×たて「ハッカーVS.セキュリティー」回から10年！

3

235

2K

Yosuke HASEGAWA

@hasegawayosuke

1 year

Googleの個人アカウント向け、ダークウェブへの自身のアカウント情報の流出チェック。

2

636

2K

Yosuke HASEGAWA

@hasegawayosuke

1 year

AIで早期に退職しそうと判定された人を早期に退職させることでAIの精度を上げることができる

4

451

2K

Yosuke HASEGAWA

@hasegawayosuke

2 years

インシデントが起こったときに、それがどんな原因であれ、関係者を嘲笑するのマジでやめたほうがいいですよ

3

342

2K

Yosuke HASEGAWA

@hasegawayosuke

6 months

自分も昨日ITmediaでめっちゃ出てきた。元postでITmedia NEWSの編集長が対応を協議すると言われているのでとりあえず様子見ではあるものの、セキュリティ記事も多く扱っているメディアにこういう広告が入っていると、セキュリティの教育などで「この記事を参考に」などのかたちでの紹介ができなくなる

oubakiou

@oubakiou

6 months

itmedia見てたらノーアクションで詐欺サイトに飛ばされてhistory破壊されて戻るボタンも効かないという。広告経由だと思うけど最近本当に治安が悪化していて、セキュリティのために広告ブロック入れてjsも無効化する暗黒時代が再来しそう

10

3K

3

1K

Yosuke HASEGAWA

@hasegawayosuke

3 years

3

485

1K

Yosuke HASEGAWA

@hasegawayosuke

3 months

昔、「遠慮なく軽装で」って書いてるオフィスに遠慮なく軽装で行ったら「今まで短パンで来た人はいませんよ」って言われた

Takuo Kihira

@tkihira

3 months

ビジネスカジュアルって T シャツにパーカーなんじゃないの？

3

12

40

0

334

1K

Yosuke HASEGAWA

@hasegawayosuke

3 years

誰やこんな悪用方法考えついたやつ…。とりあえず、Windowsならソフトウェアの制限ポリシーで「新しいパスの規則」からRLOがファイル名に入ったものの実行を禁止してしまうのが対策としては手っ取り早い。

オノッチ

@onotchi_

3 years

友人から渡されたexeファイルによるウイルス感染問題、「流石にexeファイルは開かない」なんて人も騙されるのが、Unicodeの制御文字(RLO)で文字方向を途中から入れ替える手法。ファイル名の途中にこの制御文字を入れ、そこから文字方向を変えることで、本来の拡張子とダミー拡張子を逆転させる。

13

12K

18K

4

564

1K

Yosuke HASEGAWA

@hasegawayosuke

5 months

この手の悪意のある広告、ITmedia NEWSの編集長が対応を協議すると言われてからすでに2ヶ月近く経っている。(名前通り)メディアとしてはITへの適応力が高いところでも対応が難しいということで、一般的なメディアでの対応は無理なのではという絶望的な感覚

徳丸浩

@ockeghem

5 months

ITmediaのAIの記事を読んでいて、次のページを読もうとしてうっかり広告のボタンをクリックしたらこれが出た。閉じようとして色々なショートカットを試すもだめで、CTRL-ALT-DELを使うしかなかった。

22

1K

2K

2

717

974

Yosuke HASEGAWA

@hasegawayosuke

3 months

青臭いことを言うんだけど、ランサムウェアによる被害を防ぐ社会を築きたいと思うのであれば、技術的な対策を推すだけでなくリークされたデータに言及しない、そこへの興味関心が示さないことで人質としての社会的価値を下げるという行動をするほうがいいと思ってます

2

315

933

Yosuke HASEGAWA

@hasegawayosuke

6 years

勉強会の活動休止のお知らせ – すみだセキュリティ勉強会「しばらく活動休止することにしました。理由は、昨今の警察の動きがあまりにも不穏で、単なるセキュリティ勉強会ですら、脆弱性の解説や攻撃コードの研究発表を理由に、逮捕事案にしかねないため」 (つД｀)

1

1K

886

Yosuke HASEGAWA

@hasegawayosuke

2 years

Cloudflareも自社で設備持たずにクラウド上に置いてれば…

3

235

856

Yosuke HASEGAWA

@hasegawayosuke

3 years

エレコムのルーターでめっちゃ脆弱性あるの公開されたけど(JVN #88993473 JVNVU #94527926 JVN #17482543 )、「telnetサービスへのアクセス制限の不備 (CWE-284)」とか「ドキュメント化されていない開発画面が存在する問題 (CWE-912) 」とかあっておもしろい。

1

384

819

Yosuke HASEGAWA

@hasegawayosuke

5 years

世の中でセキュリティ事故が発生したときに、セキュリティ業界の人が色々なことを言うけれど、関わってたセキュリティ会社の人は何も発言しないのが普通なので、誰が黙っているかを調べることでどの会社が関わっているのか推測できることがあります。発信されていないこと自体が情報的な意味を持つ。

2

424

802

Yosuke HASEGAWA

@hasegawayosuke

3 years

機密情報の写った写真の塗りつぶしが雑だと復元できるというのを見かけたので試してみた。簡単。 1枚目：元写真にmspaintでブラシ「マーカー」を設定して黒で塗りつぶし 2枚目：パワポに貼り付け、図の形式→明るさ/コントラストを+40%/-40% 3枚名：何度か繰り返す。「5」っぽいのがそれとなく浮かぶ。

3

218

754

Yosuke HASEGAWA

@hasegawayosuke

1 year

ペースト禁止にしてもクリップボード内に保持されているパスワードを盗まれることは防げないので、ペースト禁止にするのではなくペースト後にランダム文字列コピーするとかにしてほしい。

mattn

@mattn_jp

1 year

とてもわかるけど、クリップボードの中身はブラウザから簡単に抜けるのでパスワードがクリップボードに入ったまま他のサイトに行くと抜かれてアップロードされてしまう可能性がある。僕はパスワードをコピペした後は必ず適当な文章でクリップボードの中身を上書きする様にしてる。

16

975

2K

1

195

691

Yosuke HASEGAWA

@hasegawayosuke

4 years

かつて、2月2日は情報セキュリティーの日と定められていたことがあって、SOCでネットワーク監視している友人が誕生日でもあるということで、そのSOC企業のコーポレートサイトに対して検知されそうなXSSっぽいペイロードにおたおめメッセージを載せてリクエスト送ったことがある。そしたら速攻で

1

275

682

Yosuke HASEGAWA

@hasegawayosuke

3 years

「IDに連番を使わないほうがいい。仮にユーザーIDが連番だと…」「紹介制のSNSで自分は3桁なIDだとか、変なマウント合戦が始まりますもんね」

1

207

621

Yosuke HASEGAWA

@hasegawayosuke

2 years

日常的な定型業務も自動化しつつそれを悟られないために人間らしさも交えた処理になっていたとして、死後しばらく会社がそれに気づかないとしたら、それはもう労働力を提供しているのと変わらないのではないか、死後も給与を支払うべきなのではないか、みたいな哲学的問題につながる未来

2

144

615

Yosuke HASEGAWA

@hasegawayosuke

3 months

読売新聞みてもぜんぜん詐欺広告でないからおもしろくないなーって思ってたけど、この記事見てたら出たわｗこんなんわろてまうやろｗ

Hiromitsu Takagi

@HiromitsuTakagi

3 months

コイツを許すな。牢屋にぶち込め。

11

372

864

2

234

618

Yosuke HASEGAWA

@hasegawayosuke

3 months

自分も��Microsoftは殴っても殴り返してこないからって、IEをディスって遊んでいたら、レッドモンドに呼び出されてヒアリングされるという体験をしたことある

2

154

609

Yosuke HASEGAWA

@hasegawayosuke

2 years

次回の情報セキュリティ10大脅威、「信頼されるべき情報を発信している組織のWebサイトがリニューアルされ、各所から参照されていたコンテンツが軒並み404になる」ってのを入れておいて欲しい

4

309

560

Yosuke HASEGAWA

@hasegawayosuke

4 years

福井産業支援センターのサーバー管理をしていたNECキャピタルソリューション社内で契約更新手続きがされておらず、契約期間終了扱いになりサイトの全データが消失。

5

704

502

Yosuke HASEGAWA

@hasegawayosuke

6 months

偽造(?)マイナンバーカードの目視確認によるSIMスワップ事例。マイナンバーカードかどうかに限らず、身分証の目視での確認をやめない限り防ぐの難しそう。

風間ゆたか東京都議会議員立憲民主党世田谷区選出

@setagaya_k

6 months

昨日昼頃、スマホにPayPay通知が表示され「1000円チャージしました」と。自動チャージ設定？なんだろうとアプリを確認してもよくわからず放置。（この時にPayPayに確認すべきだった！）午後にメールチェックをしていると画像のようなメールが突然届き、これはおかしい、とパスワード再設定しようと...

78

9K

1

387

504

Yosuke HASEGAWA

@hasegawayosuke

6 years

利用者の意図に沿わない動作をするcoinhiveなJS VS 設置者の意図に沿った動作をしない神奈川県警のJS

0

422

486

Yosuke HASEGAWA

@hasegawayosuke

1 year

経験上、「文字化けしたメールを解読するのが好き」みたいな人はエンジニアとして優秀な人が多い印象だったけど、文字化けしたメールが絶滅したので優秀なエンジニアもいなくなった。

1

61

489

Yosuke HASEGAWA

@hasegawayosuke

6 years

非エンジニア「こんなのってすぐにできる？」エンジニア「簡単ですよ。また時間あるときに作ってみますね。」 → 簡単なので好奇心が湧かず時間もないのでいつまでも作らない。

1

154

471

Yosuke HASEGAWA

@hasegawayosuke

6 months

静 = 0x90 0xC3 = NOP/RET

yone

@yone

6 months

『静かな』という中身のファイルを実行すると何もしないプログラムになった!! マジでした #PC98 #MSDOS

15

337

842

3

171

478

Yosuke HASEGAWA

@hasegawayosuke

6 months

見てる。設置会社、名指しなんだ。 / 弊社サーバーのマルウェア感染に関するお詫びとお知らせ – Endless Corporate

弊社サーバーのマルウェア感染に関するお詫びとお知らせ

この度、本社サーバーがコンピュータウイルス「LockBitランサムウェア」に感染しました。今回の不正アクセスの直接の原因は、セキュリティ強化の一環で FortiGate(統合型セキュリティアプライアンス)の設置を昨年に依頼しましたスターティア株式会社（https://www.startia.co.jp/）が設置の際に使用していた test アカウントを削除せずそのまま放置し、悪意のある第...

endless-inc.jp

4

266

476

Yosuke HASEGAWA

@hasegawayosuke

3 years

Unicode RLOを使った拡張子の偽装を、脆弱性じゃないよなと思いつつ報告したときのやり取りを発掘した。15年以上前。

0

176

465

Yosuke HASEGAWA

@hasegawayosuke

4 years

学生からセキュリティ業界のキャリアの相談を受けた時は、「いまのセキュリティ業界の30代後半以上は、そもそも業界が存在しなかったり未成熟だった中でそれを作り上げてきた人が多いので、あんまり(自分を含めた)彼らのキャリアを参考にしないほうがいい」って言ってる。

0

127

458

Yosuke HASEGAWA

@hasegawayosuke

1 year

組織内で「このままじゃ失敗しますよ」みたいな問題意識を持ってる(ように見える)人の一部には、失敗して欲しい願望というか失敗したときに「それ見たことか」って言いたい願望みたいなのを潜在的に持ってることがあって、そうすると、そういう人が関わってるとどうやっても失敗する。

1

81

454

Yosuke HASEGAWA

@hasegawayosuke

3 years

むかし、Windowsのプログラム作ってて、どうしてもarpを投げる必要がでてきてすげー困ったんだけど、SendARPっていうWin32APIが準備されてるのを見つけたとき、WindowsってなんてすばらしいOSなんだって思いましたね。

2

80

444

Yosuke HASEGAWA

@hasegawayosuke

1 year

海外ハッカー「日本でハッキングに関する資格って何かあるの？」ぴんく氏「ITパスポートっていうのがある。これは名前通り、ITのあらゆる箇所へ入ることができるすごい資格だ」「それ以外にも支援士っていうのがあるが、これはアシスタントだ。大したことない」 …っていう話をつい先日きいた

0

137

442

Yosuke HASEGAWA

@hasegawayosuke

3 months

「犯人は何らかの方法で，ログインしなくても登録メールアドレスを変更できる手段を持っているということになります。」/ マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話 | ケータイマイラー

マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話

マクドナルド公式アプリのモバイルオーダー経由でクレジットカードが不正利用された話やられました。一応，全容がわ…

www.k-taimiler.com

0

413

437

Yosuke HASEGAWA

@hasegawayosuke

7 years

とある勝手スライド共有サイトが自分のサイトのpptxを無許可でクロールしてるんだけど、XSSの説明をしたpptxなので、そのそのページを開いた瞬間 alert(1) が動いてて笑った。

2

274

425

Yosuke HASEGAWA

@hasegawayosuke

4 years

いいですか。マナーとは、UTF-8にBOMをつけるようなものなんですよ。

7

191

420

Yosuke HASEGAWA

@hasegawayosuke

3 years

数日前の時点で「エンジニアは騒いでいるが一般人に届いていない。これはやばい」と気づいてメディアに連絡をとって報道までつなげた知人がいて、まじでそういうセンスすごいなって思う。自分ではそこまで俯瞰して全体を見れていなかった。

1

115

416

Yosuke HASEGAWA

@hasegawayosuke

2 years

「IoT機器のセキュリティ」って、稼働状態でのセキュリティばかりが議論されてて、廃棄後の内部の情報どうするのみたいな話ってあんまり聞かないな。

3

97

418

Yosuke HASEGAWA

@hasegawayosuke

3 years

自分たちは把握してる情報なので共有する必要がないし、自分たちを守るという観点では共有しないという選択肢になってしまう。が、長期的には相当よくない状況だと思う。

0

221

408

Yosuke HASEGAWA

@hasegawayosuke

4 years

Chrome、 chrome://flags から `Enable sharing page via QR Code` を有効にするとアドレスバーからQRコード生成できるようになる。QRには怪獣がいる。Android版ChromeもフラグはあるけどUIがない。

0

234

413

Yosuke HASEGAWA

@hasegawayosuke

7 years

「情報セキュリティ10大脅威」に今回「セキュリティ人材の不足」がランクインしたわけだけど、あれの策定に関わってるセキュリティ業界の知人が続々と「おれはあの項目には投票してない」って言ってて、もしかすると人材不足すぎでセキュリティ人材ではない人が10大脅威を決めているのかもしれない。

0

299

382

Yosuke HASEGAWA

@hasegawayosuke

2 years

「なぜHTTPが一番使われているかという理由のひとつは、いちばん使われているプロトコルだからです」っていう進次郎構文みたいな講義をした。

3

69

360

Yosuke HASEGAWA

@hasegawayosuke

4 years

速攻で「そういうの止めてください」って会社まで電話かかってきた。ので、みんなやめておこうな。

0

150

356

Yosuke HASEGAWA

@hasegawayosuke

1 year

XSS探す人、 <img src=0 onerror=alert(1)> とか <img src=0 onerror=alert(1)> とか書くことが多いので、あらゆるディレクトリに 0 とか x っていう画像を配置しておくことでalert発火させないようにできる

5

63

358

Yosuke HASEGAWA

@hasegawayosuke

1 year

となりの人のPC

7

53

345

Yosuke HASEGAWA

@hasegawayosuke

4 months

知らなかった。 > Windows 10 バージョン 1607 以降では、一般的な Win32 ファイルおよびディレクトリ関数からMAX_PATH制限が削除されました。

パスの最大長の制限 - Win32 apps

Windows 10 バージョン 1607 以降では、多くの一般的な Win32 ファイルおよびディレクトリ関数で MAX_PATH 制限が廃止されています。ただしアプリでは、新しい動作のサポートをオプトインする必要があります。

learn.microsoft.com

0

176

347

Yosuke HASEGAWA

@hasegawayosuke

6 years

「alertの聖地、兵庫」というパワーワードが飛び出した

1

142

343

Yosuke HASEGAWA

@hasegawayosuke

6 years

先日お会いした、セキュリティの教育コンテンツを販売している会社の方も「ああいうレベルで逮捕・補導されるようでは、自分たちの事業も危ういのではないかと危機感を抱かざるを得ない。自分たちの感覚と乖離しすぎている」と言われていた。確実に萎縮してるだろ。

1

286

328

Yosuke HASEGAWA

@hasegawayosuke

8 years

大量に届いたセキュリティキャンプ応募用紙を処理するため講師の一人が応募用紙をmarkdownに変換するスクリプトを書く→mdをpandocでhtmlに変換→ブラウザで表示→回答内のalertが発動。←いまここ

0

254

324

Yosuke HASEGAWA

@hasegawayosuke

2 years

おっさんのエディタ論争

1

69

319

Yosuke HASEGAWA

@hasegawayosuke

4 months

継続的にメンテナンスしないといけないドキュメントが体力不足でメンテナンス継続できなくなったときは、最後の余力で「これはメンテナンスできてない」って明記するかドキュメントを消すべきなんだけど、そこまでたどり着かなくてステータスがわからんくなるドキュメントが多い

2

104

318

Yosuke HASEGAWA

@hasegawayosuke

1 year

「たまごっちにWi-FiのSSIDとパスワードが平文で保存されてる」のやつ、コストや利便性考えたらどうしようもなさそうな気がするけど、一方で「今後も、PINやログインのような仕組みの導入も難しい安価な携帯機器もWi-Fi接続がより当たり前になっていく」を考えたら、それはそれで課題が。

1

84

317

Yosuke HASEGAWA

@hasegawayosuke

11 years

ほこ×たて次週予告　 http://t.co/S72cnI14fb 　「どんなプログラムにも侵入できるハッカー　VS　　絶対に侵入させないセキュリティプログラム」

17

932

290

Yosuke HASEGAWA

@hasegawayosuke

3 years

これ、情報セキュリティの資料を置いてるのもいつサイバーテロの予備行為と見なされるかわからんな。他人事じゃない

新山祐介 (Yusuke Shinyama)

@mootastic

3 years

個人のGoogle Driveに「装甲車の歴史」に関する研究資料を置いておいたら、自動的にテロリストと判定されbanされた研究者の話。アカウントごと削除されているため、サポートすら受けられないらしい。個人的なメールや写真も削除された。

12

4K

5K

0

162

294

Yosuke HASEGAWA

@hasegawayosuke

8 years

配信がhttpsでないお気持ちは、お気持ちが改ざんされている可能性が…

1

285

Yosuke HASEGAWA

@hasegawayosuke

3 years

Google docsが生HTMLからCanvasベースになるの、Google docs用ではなく「画面上のHTMLから何かする」みたいな汎用的なブラウザ拡張が軒並み動かなくなるのに忘れたころに気づくんだろうな。

3

57

287

Yosuke HASEGAWA

@hasegawayosuke

3 months

見てる。登録セキスペの講習制度見直しやCISSP保有でみなし受講という案が出てておもしろい。 / 第1回ワーキンググループ2（サイバーセキュリティ人材の育成促進に向けた検討会）（METI/経済産業省）

0

83

288

Yosuke HASEGAWA

@hasegawayosuke

2 years

セキュリティの勉強会きたらこんなん立ってた

0

63

282

Yosuke HASEGAWA

@hasegawayosuke

3 years

セキュリティ業界で論争が発生するたびに例えば「徳丸さんと上野さんって実は仲悪かったんですか？」みたいになぜか僕に尋ねられることが時々あるんで、都度適当なことを吹聴してるわけですけど、そうすると「長谷川は適当なことしか言わない」という実績だけが積みあがり事実は闇に葬られ世界は平和へ

4

58

274

Yosuke HASEGAWA

@hasegawayosuke

4 years

Windowsで、 `cmd /c "ping 127.0.0.1/../../../windows/system32/calc.exe"` でpingではなくcalc.exeが実行される。たしかに。おもしろい。

Cmd Hijack - a command/argument confusion with path traversal in cmd.exe

This one is about an interesting behavior 🤭 I identified in cmd.exe in result of many weeks of intermittent (private time, every now and then) research in pursuit of some new OS Command Injection...

hackingiscool.pl

1

182

267

Yosuke HASEGAWA

@hasegawayosuke

6 years

遠慮なく会社で技術書買っていいよって言っても、買わない人は買わないし買う人でも遠慮は入るので、「全員１冊技術書選んで！」って言って強制的に買う機会を年１くらいで設けてる。

1

109

258

Yosuke HASEGAWA

@hasegawayosuke

6 years

これは徳丸本第2版に関するリーク情報なんですが、書籍のサポートフォーラム的なものが欲しいねという話題になった時にFacebookグループはどうだろうという提案が出たので、「問い合わせをするのにFacebookアカウントが必要なの武雄市みたいですね」ってコメントしたらFb案はボツになりました

2

142

257

Yosuke HASEGAWA

@hasegawayosuke

1 year

400年ぶりに発掘された2バイト目0x5C問題に老人みんな目をキラキラさせてる

2

100

254

Yosuke HASEGAWA

@hasegawayosuke

10 years

──何歳？ 19です ──女子大生かな？そうです ──人前でのXSSは初めて？はい ──緊張してる？少しだけ(笑) ──初めてXSSにしたのはいつ？高３の冬です ──じゃあまずalertからやってみようか？え…いきなりここで…ですか？

2

237

243

Yosuke HASEGAWA

@hasegawayosuke

1 year

eufy のセキュリティタグ、名前にカタカナ「ツ」が使えないのなんで？

1

80

249

Yosuke HASEGAWA

@hasegawayosuke

5 months

@nekoruri JIS Z8301の2019年改訂で単に平成３年の内閣告示第2号に沿うことになったので、原則として長音記号を用いるけどそうでなくてもいい。

2

114

249

Yosuke HASEGAWA

@hasegawayosuke

1 year

今回のcurlの問題で象徴的なのは、公式に脆弱性情報が公開される前にベンダーからのパッチがフライング公開され、原因や影響が各所で推測、解析されていた点。たまたま影響を受ける環境が限定的だったが(←これは推定。まだ確定ではない)、もし影響が大きいものだったら未対応な状態でガンガン攻撃が。

2

87

241

Yosuke HASEGAWA

@hasegawayosuke

7 years

斧を落とした事例を公開したら本物の斧が飛んできた事例だ。

徳丸浩

@ockeghem

7 years

このSQLインジェクション攻撃は末尾にシングルクォートが残りシンタックスエラーになるはずだ。無粋なようだが立場上指摘しないわけにはいかない / “ケースA 落とした斧の種類を尋ねた際に攻撃を受けた事例 - 脆弱性を攻撃される童話…”

1

491

493

0

266

230

Yosuke HASEGAWA

@hasegawayosuke

5 months

相手に即レスを求めるな、非同期コミュニケーションであることの特性を自分のレスが遅いことの言い訳に使うな、自分のレスは相手のために極力早く返してあげるとよい、あたりかな。

なかざん

@Nkzn

5 months

先日、社内向けにコミュニケーションガイドラインを書く機会があったんだけど、「テキストチャットに即レスしないと非効率になるということは、それは非同期コミュニケーションではなく同期コミュニケーションをお互いに強いています。非同期の良さを最大化したいなら、返事のタイミングが多少前後して

18

3K

11K

0

66

238

Yosuke HASEGAWA

@hasegawayosuke

5 years

ISUCON の話が話題になってる中、過去「Webを改ざん対策製品を突破できるならやってみろ」というセキュリティのコンテストで`crackcontest. com` を `crack-contest. com` と誤記したのに気づいた人が後者のドメイン取って改ざん後のページを公開して終了ってのがあった。

【Webアプリケーションのセキュリティ　４】〜 DNSとの連携〜 | ScanNetSecurity

　Webアプリケーションはそれ単独で何かができる訳ではなく、OSをはじめ、データベースなどの様々なアプリケーションと連携して初めて機能する。そういったWebアプリケーションとの連携が必要な重要なネットワーク機能にDNSによる名前解決がある。しかし、往々にして、D

scan.netsecurity.ne.jp

0

86

234

Yosuke HASEGAWA

@hasegawayosuke

6 years

メモ帳がLFだけの改行をサポートしたことについて "Today, we’re excited to announce that we have fixed this issue!" っていうの笑ってしまう。

2

221

233

Yosuke HASEGAWA

@hasegawayosuke

4 years

パスワードのコピペ入力できないログインフォーム、JSコンソールから document.querySelectorAll('input[type="password"]')[n].value にコピペで代入してる

2

82

228

Yosuke HASEGAWA

@hasegawayosuke

6 months

「みなさま」「各位」って文字で書く感覚で @ channel をSlackで使わないで欲しい

0

50

228

Yosuke HASEGAWA

@hasegawayosuke

6 years

資料公開しましたよ。 / Node.js セキュリティ #owaspjapan

Node.jsセキュリティ

OWASP Night 2019-03-11 / OWASP Japan

speakerdeck.com

1

82

222

Yosuke HASEGAWA

@hasegawayosuke

3 years

その手のサービスいろいろ、僕のあげたXSS解説スライドを勝手に複製して含まれてるテキストで勝手にXSS起こしまくってた

Teppei Sato

@teppeis

3 years

昔Slideshareを勝手に画像展開するサービスあったよね。今こそあれなのでは

1

0

2

0

61

223

Yosuke HASEGAWA

@hasegawayosuke

3 years

「セキュリティ会社に勤務してるけど立て続けに経営体制が変わってちょっとしんどい、もうちょっと小さい規模の会社がいい。オフィスは淡路町がいい」みたいな方、連絡お待ちしてます！

3

55

220

Yosuke HASEGAWA

@hasegawayosuke

7 months

社内での「忘れてたPINを思い出せた」という発言に「ピンと来たんですね！」って返すの、仕事の邪魔になりそうだと思って自重したオレえらい。

0

34

222

Yosuke HASEGAWA

@hasegawayosuke

7 years

USのMS本社にイベントで行ったら「時間あるならちょっと顔を出せよ」って別室に呼び出されて、その部屋に入ったらIE/Office/MSN/Windowsなど各プロダクトのセキュリティ担当者がずらっと並んで座ってて1時間くらい尋問された。 #フォロワーが体験した事が無さそうな体験

0

125

214

Yosuke HASEGAWA

@hasegawayosuke

3 years

だいぶ頭おかしいよなぁｗ / ちいさな Web ブラウザを作ってみよう

0

44

217

Yosuke HASEGAWA

@hasegawayosuke

9 years

exe添付を笑いながら curl install.sh | sh しているみなさん！

0

271

206

Yosuke HASEGAWA

@hasegawayosuke

7 years

良かれと思って正規表現の例を公開する→マサカリが飛んでくる→誰も正規表現のサンプルを公開しなくなる→ググっても間違いの記事しか出てこなくなる

0

128

201

Yosuke HASEGAWA

@hasegawayosuke

4 years

セキュリティに詳しいと偉そうになる（と見える）の、そもそもの構図が他者への間違いの指摘だし、公の場でとりあげるのは「やめたほうがいい」レベルではなく「絶対やめろ」みたいなレベルを指摘することになりがちなので、さもありなん、みたいな。技術に真摯であればなおさら。

2

60

208

Yosuke HASEGAWA

@hasegawayosuke

1 year

しょうがないからこうなった

1

66

206

Yosuke HASEGAWA

@hasegawayosuke

3 years

Linux使う卑弥呼、めっちゃfotune(1) 呼んでそう。

3

32

201

Yosuke HASEGAWA

@hasegawayosuke

3 years

なるほどｗ RT 鍵: log4j をぼやきながらも生き生きうきうきしてる人たちが、セキュリティ担当者として雇うべき人たちです

1

66

198

Yosuke HASEGAWA

@hasegawayosuke

1 year

もしこれがめっちゃ普及したら、Reverse HTTP Transportを使うプロキシーをリバースプロキシって呼ぶ未来もあり得る？ / 逆向きに接続する Reverse HTTP Transport の仕様 - ASnoKaze blog

逆向きに接続する Reverse HTTP Transport の仕様 - ASnoKaze blog

逆向きに接続確立を行うReverse HTTP Transportの仕様について

asnokaze.hatenablog.com

1

40

204

Yosuke HASEGAWA

@hasegawayosuke

3 years

バグハンターになると、ちょっと嫌なことがあっても「まあ数日すれば未公開のCVEも公表されるしな」ってなるし仕事でむかつく人に会っても「そんな口きいていいのか？私は某CVEの保有者だぞ？」ってなれる。セキュリティ戦闘力を求められるエンジニア社会においてCVEホルダーになることは有効 (???)

1

32

195

Yosuke HASEGAWA

@hasegawayosuke

5 years

本日の #owaspjapan の講演資料を公開しました。 SSRF基礎 - Speaker Deck

SSRF基礎

OWASP Night 2019-09-18 / OWASP Japan

speakerdeck.com

2

82

193

Yosuke HASEGAWA

@hasegawayosuke

8 years

宗教上の理由でTwiter使わないっていう人と、先祖からの遺言でFacebook使わないっていう人と、業務上の都合でサイボウズLive使わないっていう人、その3人を相手に同時にコミュニケーションをとる方法を考えてる…。

11

252

181

Yosuke HASEGAWA

@hasegawayosuke

1 year

VPN接続/切断時にPowerShellスクリプト使って壁紙を切り替えていたの、瞬間的にコンソールが表示されるのが気に食わなかったんだけど、おーいさんのこのテクニックのおかげでコンソールを表示せず実現できるようになった。ありがたい。

おーい

@OiOi_012

1 year

@ncaq conhost --headless powershell.exe -nop -win hidden -noni -f "C:\test.ps1" これでどうでしょうか。手元の環境ではwindowは表示されません。

1

28

113

0

38

194

Yosuke HASEGAWA

@hasegawayosuke

9 months

セキュリティパワポ職人仲間。

野溝のみぞう

@nomizooone

9 months

最近パワポ職人として仕事をしている事が多いことに気づいたのでこれからはセキュリティパワポ職人と名乗ります

1

0

41

0

41

192

Yosuke HASEGAWA

@hasegawayosuke

4 months

見てる。これ好き。 / S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。また、ブログ資料化にあた…

blog.flatt.tech

1

36

189

Yosuke HASEGAWA

@hasegawayosuke

2 months

セキュリティの資格について言うと、某氏が海外の人から「日本にはハッカーの資格はあるのか？」って尋ねられたときに「ITパスポートっていう資格がある！パスポートっていう名前通りどこにでも入ることができるすごい資格だ」って答えた話が好き。

1

46

191

Yosuke HASEGAWA

@hasegawayosuke

7 months

毎年春にはお客さんからも新入社員向けのセキュリティ研修をお願いされるのが何件かあるけど、そういうのの中で「米村でんじろうみたいな感じでお願いします」っていう依頼が今まで一番難易度高かった。

2

51

189