scripting
ソース: medium.com 脆弱性:CRLF, XSS 訳: CRLF 脆弱性を発見し、いくつかのバイパスを使用してそれを XSS 脆弱性に連鎖させることができました。 Snapchatに属するドメインで見つけました。 CRLFとは何ですか? CRLF は、キャリッジ リターン (CR) とライン フィード (LF) を表します。 これらは、テキスト行の終わりと新しい行の始まりをマークするために使用される制御文字です。 これら 2 つの文字のシーケンスは、Unix、Windows などのさまざまなオペレーティング システムで行末として使用されます。 セキュリティの観点から見ると、CRLF …
ソース: infosecwriteups.com 脆弱性:XSS 訳: デジタル環境は進化し続ける戦場であり、サイバーセキュリティの専門家と悪意のあるハッカーが互いの戦略に絶えず適応し続けています。 この一か八かのゲームでは、高度なクロスサイト スクリプティング (XSS) ペイロード チェーンが特に高度な技術として際立っており、Web アプリケーション攻撃の複雑さと潜在的な深刻さを示しています。 このような攻撃の複雑さを理解するために、より複雑な XSS ペイロード チェーンのスレッドを解明してみましょう。 ステージ 1: 基本的な XSS を使用したステージの設定 複雑な XSS チェーン…
ソース: medium.com 脆弱性: LFI, RCE 訳: この Web アプリで情報を収集し、偵察を行った数時間後。 Cookieを確認しました : PHPSESSID= PHPSESSID — PHPSESSID Cookie は PHP にネイティブであり、Web サイトがシリアル化された状態データを保存できるようにします。 これは、ユーザー セッションを確立し、一般にセッション Cookie と呼ばれる一時 Cookie を介して状態データを渡すために使用されます。 (ブラウザを閉じると期限切れになります)。 通常、Base64 でエンコードされます。 LFI の脆弱性 LFIと…
概要 OWASP Top TenとOWASP Top 10 API Security Risksの違い 対象と焦点: OWASP Top Ten OWASP Top 10 API Security Risks 技術の進展: OWASP Top Ten OWASP Top 10 API Security Risks 内容: OWASP Top Ten OWASP Top 10 API Security Risks リリースサイクル: OWASP Top Ten OWASP Top 10 API Security Risks 最新版(2023/11/23時点) OWASP Top Ten OWAS…
はじめに 前回の続きで第二部のWorking With Infrastructure Stacks (インフラストラクチャスタックとの作業)という部の読書感想文になります。まず、Stackってなんやねんと思うと思います。僕も思っています。 前回の記事 syu-m-5151.hatenablog.com 次回の記事 syu-m-5151.hatenablog.com 書籍のリンク Infrastructure as Code: Dynamic Systems for the Cloud Age (English Edition)作者:Morris, KiefO'Reilly MediaAmazo…
経緯 いつも参加しているJJUGが開かれるので参加 今回は、現地開催のみだったので、足を運んだ 公式サイト JJUG CCC 2023 Fall(現地開催のみ) - 日本Javaユーザーグループ/Japan Java User Group | Doorkeeper 参加したセッション 本当は、午前から参加する予定だったが、前日の夜にコーラ飲んだせいで、なかなか寝付けず、起きたら10時だったので、午前は諦めた JDK 21 へようこそ Gatlingによる負荷テスト入門 データ指向プログラミングの真実をお話しします String Templateによる文字列補間 参加セッションメモ ★ありのとこ…
はじめに 今回はPackageManagerのスクリプティングAPIについて取り上げたいと思います。docs.unity3d.com はじめに 概要 使い方 LogLevel Add AddAndRemove List Embed Remove Resolve 参考 概要 PackageManagerを操作するためにはPackageManager.Clientクラスを利用します。 LogLevel : 使用するログレベル Add : パッケージ追加 AddAndRemove : 一括でパッケージ追加・削除 Embed : プロジェクトにパッケージを埋め込む List : パッケージの一覧取得 …
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の…
こんにちは、デジタルペンテスト部(DP部)のst98です。 皆さんは、CTF(Capture The Flag)で出題するために問題を作られたことはおありでしょうか。そもそもCTFとは何かについては、たとえば「CTFの紹介と始め方 - うさぎ小屋」のようなブログ記事を参照ください。この記事では、私がCTFで問題を作るときに、どんな流れで、どんなことに注意しているかについて書いていきたいと思います。 なお、こうするのが望ましいというベストプラクティス集ではなく、「st98はこう思っているらしい」程度の記事*1として、ひとつのやり方と受け取っていただければと思います。また、私が得意な分野がWebで…
近年、クラウド化やAPIの利用は急激に伸びています。しかし新しい技術が普及するということは、それだけ新しいセキュリティリスクも増えているということなのです。そこで今回は、API利用時におけるセキュリティ対策、「WAAP」についてご紹介していきます。 APIに潜むセキュリティリスク APIの普及は利便性を向上させてくれる現在では欠かせない機能となりました。それに伴い、APIの特性を突いた脆弱性が確認され、サイバー攻撃に利用されているのも事実です。そこで、まずはAPIがどのようなものかを知り、どんなリスクを抱えているかを知りましょう。 APIとは APIとは、「Application Progra…
※本記事は、Bardによる意訳+翻訳を活用し、レイアウト調整したものです。 ※感想は、オリジナルです。 原文 意訳+要約 オープンソースイノベータートップ11 1. リーナス・トーバルズ 2. デニス・リッチー 3. ビャルネ・ストルストラップ 4. ライアン・ダール 5. カミル・ミスリヴィエツ 6. ジャレッド・サムナー 7. アンダース・ヘイルスバーグ 8. グイド・ヴァン・ロッサム 9. グレイドン・ホーア 10. ジョーダン・ウォルケ 11. エヴァン・ユー まとめ 感想 原文 🔥 Top 11 Open Source Innovators Who Shaped the Develo…
「戦略ゲームAI解体新書」読書会ログ 1, 2 章 - You are done! 「戦略ゲームAI解体新書」読書会ログ 3 章 - You are done! 「戦略ゲームAI解体新書」読書会ログ 4 章 前半 - You are done! 「戦略ゲームAI解体新書」読書会ログ 4 章 後半 - You are done! 今週も読書会ログ。今回は 5 章。 第5章 プレイヤーと競争する人工知能 プレイヤーが世界をシミュレーションして進めていくストラテジーゲームについて 世界:ゲーム内に構築された1つの有機的な世界(庭、島、文明 etc) ユーザー:マスターとなって世界を発展させていく役割…
はじめに news.denfaminicogamer.jp Unity税と揶揄された、急なポリシー変更による混乱は記憶に新しいところです。 これは元々Unityエンジニアな私が、UnrealEngineを学ぼうとするきっかけの一つとなりました。 対比表 まず、ChatGPT-4に丸投げしてみました。 UnityとUnreal Engineは業界で広く使われているゲームエンジンであり、それぞれ独自の用語と概念を持っています。以下に、主な用語の対比表を示します。ただし、完全な1対1の対応ではなく、似たような概念や機能を持っているものの間で比較しています。 Unity Unreal Engine 説…
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは1章の『ウェブアプリケーションのセキュリティ実装』の設計や実装レベルの解決や対策方法についてまとめます。 上記の内容に沿って、Ruby on Rails での実装方法についても合わせてまとめておこうと思います。 根本的解決と保険的解決 ウェブアプリケーションのセキュリティ実装 SQL インジェクション 概要 発生しうる脅威 根本的解決 保険的対策 OS コマンドインジェクション 概要 発生しうる脅威 根本的解決 保険的対策 パス名パラメータの未チェ…
自身のアウトプットも兼ねてつれづれと書き続けるブログ。 HTML解体新書ー仕様から紐解く本格入門 [ 太田 良典 ] 前回からの続きです。 ルート要素と文章のメタデータ[02] base要素 <base> base要素は、基準URLやリンク先を表示するデフォルトのウィンドウターゲットを指定します。この要素はなくても良いですが、記述する場合1つしか存在してはなりません。 【コンテンツモデル】 Nothingです。内容を持つことが出来ず、終了タグを書くこともできません。 【属性】 href属性:基準となるURLを指定します。下記の例ですとaタグにnekonikoban.htmという相対URLが書か…
www.m3tech.blog
design.kayac.com
atmarkit.itmedia.co.jp
gihyo.jp
xtech.nikkei.com
atmarkit.itmedia.co.jp
xtech.nikkei.com
blog.tokumaru.org
ockeghem.hatenablog.jp
