今週はコロナワクチン接種して副反応で大変だった・・・
目次
https://www.bleepingcomputer.com/news/security/password-reset-calls-are-costing-your-org-big-money/
ヘルプデスクへの負荷が大きいよーという話。
機能的にすると脆弱性が出る可能性があるし、人為的にしたらコストがかかるという問題。
けっこう悩ましいなー
遊べるおもちゃかなーと思ったら、コードの脆弱性探してくれるのは強すぎる・・・!
とりあえず思い浮かんだ疑問を投げてみるのはよさそうだなー
意識高い系のやつでみた、「問題を解決するより、問題を作る能力が大事」な時代来ちゃうんか?
https://thehackernews.com/2022/11/update-chrome-browser-now-to-patch-new.html
AndroidはRustを導入してメモリ系の脆弱性が減ったみないなのを見た気がするけど、Chromeは導入しないんかな?
https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html
すご!脆弱なハッシュ使ってパスワード保存しただけで罰金か。
まだまだ平文で保存しているところすらありそうだけどな。
これ出来るようになるだけで機密情報アップロードなどはだいぶ減るだろうな。
https://securitylab.github.com/advisories/GHSL-2022-068_pdfmake/
リクエストの内容が特に検証されずevalに至るという、シンプルなRCEだぁ・・・
https://securitylab.github.com/advisories/GHSL-2022-069_CircuitVerse/
codeqlで用意されているやつを回したら見つかったそう。
やはりOSSは探せば探すほど見つかるのかな。codeql忘れてたなー・・・
https://frycos.github.io/vulns4free/2022/12/02/rce-in-20-minutes.html
やっぱcodeqlかぁと思っていたら、ご丁寧なブログが出てきた。
もはや単純に回すだけだ・・・。
検出結果を読んで、脆弱性があるかを判断して、pocを作る技術は要求されるけどそれほど難しいものではないだろう。