アカウント名:
パスワード:
言葉だけ聞くと、なんか、劇場型詐欺みたいなのを思い浮かべてしまうんだが。
細工されたエクセルファイルを開いたらとか細工されたWordファイルを開いたらとかそう言うのでは。//うぃんどうずさーばーをいんたーねっとにこうかいしたらこうげきたいしょうになるとかもはいる?
一般的にはそうだけど、いや、すでに一般的だからこそ、今までもシナリオ(攻撃ベクトルとも言う)に基づいた評価は行っていたはずで、今回の発表で特別何が変わるのか分からんな。
一般的に評価されないシナリオとしては、運用上のセキュリティ問題(OPSEC)とかかな。例えば、オペレータに電話を掛けて、本人確認の緩さを悪用して他人になりすましてポイントを不正に得るとか、SIMカードを再発行して自分のところに届けさせるSIMスワップとか。こういうのは属人性が強く、脆弱性として認定されにくいので、報奨金も貰えないことが多い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
シナリオベースってどういうの? (スコア:0)
言葉だけ聞くと、なんか、劇場型詐欺みたいなのを思い浮かべてしまうんだが。
Re:シナリオベースってどういうの? (スコア:0)
細工されたエクセルファイルを開いたらとか細工されたWordファイルを開いたらとかそう言うのでは。
//うぃんどうずさーばーをいんたーねっとにこうかいしたらこうげきたいしょうになるとかもはいる?
Re: (スコア:0)
一般的にはそうだけど、いや、すでに一般的だからこそ、今までもシナリオ(攻撃ベクトルとも言う)に基づいた評価は行っていたはずで、今回の発表で特別何が変わるのか分からんな。
一般的に評価されないシナリオとしては、運用上のセキュリティ問題(OPSEC)とかかな。例えば、オペレータに電話を掛けて、本人確認の緩さを悪用して他人になりすましてポイントを不正に得るとか、SIMカードを再発行して自分のところに届けさせるSIMスワップとか。こういうのは属人性が強く、脆弱性として認定されにくいので、報奨金も貰えないことが多い。