妄想まとめ

研究とかWebセキュとか時事ネタとか。 @kazu1130_h

第二回APASEC

キャンパーとラボユース関係者とそれらに興味ある人が集まる勉強会APASECに参加してきました!

というか、発表させて頂きました。

 

内容はセッション固定化攻撃の概要・例や対策と、脆弱性検査ツールを実装しましたよーって話です。

具体例の所の話、若干不名誉な話だったのに快く許可を出してくれた方に感謝します。

 

発表中のTLを読み返していたら……。

 

 

まさに。ちゃんとリジェネレート出来ない場合の対策や、ログイン前の固定化等にも触れられていて、かなりお勧めです。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

ググれって言っちゃいましたが、これ一冊読めばほぼ大丈夫です。とはいえ怖い人からバシバシ斧が飛んでくるのがインターネッツなので、油断は出来ませんが……。

 

 

 

他の方の発表はレイヤー高めスキルレベル低めの僕には若干難しめでしたが、どれもかなり面白かったです。(ネタ的な意味でも、勉強的な意味でも)

 

C-Helper、経験者がああいうのを組もうとすると、意識してない所で初心者が詰まって死ぬ、みたいなパターンになりがちなんですが(論プロSAやってて思いました)その辺の解決も出来てて、凄いなと思いました。

大学の授業でもそうですが、予習目的で入学前の期間に配布して~、みたいな用途でも使えそうで、そうすると某ゼミ的に「あ、ここC-Helperでやった所だ!」みたいな感じになって色々捗るのではないかなと思います。

 

 

ほもっきんちゃん特定出来たし、久々にあゆあゆさんや木田氏と会えたし、満足満足。

 

改めて、運営の方、サイボウズの方、ありがとうございました。