アカウント名:
パスワード:
みんな脆弱性見つけても賞金の出るイベントまで寝かせてるでしょ…。
ガチの悪者はイベントなんか出ずに闇商売で使うでしょ
こういうイベントで稼いで食ってるプロなんだから当たり前でしょ。
今は脆弱性を見つけるにも金かかる時代ですからね。EC2あたりでfuzzingするのが今の主流といえるはず。
良い時代になったなぁabout:<script>~のリンクでローカル権限実行できていた時代には考えられないくらいの高額報償だ
# そのころよりはかなり複雑になっているけれど
TechCrunchに下記のようにあるので、そのまんま、事前に発見していた脆弱性を披露したということですね。
挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。
がちで見つけるより自分で出したパッチにこっそり仕込んでおいて後で修正するようなずるい方法もできるから、そっちの可能性も大。
サイバーテロリストが金稼げるのか
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
破られ過ぎ (スコア:1)
みんな脆弱性見つけても賞金の出るイベントまで寝かせてるでしょ…。
Re: (スコア:0)
ガチの悪者はイベントなんか出ずに闇商売で使うでしょ
そりゃそうでしょ (スコア:0)
こういうイベントで稼いで食ってるプロなんだから当たり前でしょ。
Re: (スコア:0)
今は脆弱性を見つけるにも金かかる時代ですからね。EC2あたりでfuzzingするのが今の主流といえるはず。
Re: (スコア:0)
良い時代になったなぁ
about:<script>~
のリンクでローカル権限実行できていた時代には
考えられないくらいの高額報償だ
# そのころよりはかなり複雑になっているけれど
Re: (スコア:0)
TechCrunchに下記のようにあるので、そのまんま、事前に発見していた脆弱性を披露したということですね。
挑戦者は、自分がまだ触ったことのないマシンの上で30分の時間を与えられる。各マシンの上のオペレーティングシステムは、完全にセキュリティパッチが当てられている。というよりバグは数日間/数週間にわたる調査研究の結果見つけたものであり、当日のわずか30分で見つけるというものではない。
Re: (スコア:0)
がちで見つけるより自分で出したパッチにこっそり仕込んでおいて後で修正するようなずるい方法もできるから、
そっちの可能性も大。
Re: (スコア:0)
サイバーテロリストが金稼げるのか