CORS

ソース： jayateerthag.medium.com 脆弱性：CORS 訳： 私は Google の買収の 1 つ (Kaggle) を見て。Kaggle は機械学習コミュニティによって世界中で使用されており、かなり有名で。 Web サイト全体で CSRF のバグを探してみましたが、すべて無駄で。また、CORS の設定ミスも検索しましたが、役立つものは見つからず。 誤って 404 ページにアクセスし、そのソース コードを見て。スクリプト タグの本文には、すべてのリクエストで X-XSRF-TOKEN として送信されるのと同じトークンである AntiForgery トークンが含まれて。これは…

ソース： medium.com 脆弱性：CSRF、CORS 訳： Web サイトを探索していたときに、管理者を招待するためのエンドポイントを見つけ。 次のようになり。 一見すると、CSRF 攻撃から安全であるように見えて。 HTML フォームを使用して JSON リクエストを送信することはできないため、XMLHttpRequest (XHR) である必要があり。 また、単純ではないリクエストを含むクロスオリジン XHR (たとえば、 Content-Type: application/json) 通常、ブラウザの CORS (Cross-Origin Resource Sharing) ポリシ…

ソース： mouhannadalhmedi.medium.com 脆弱性：XSS, CORS 訳： 周知のとおり、最新の Web アプリケーション、特にSPA を備えた Web アプリケーションは、クライアント側のアプリケーションに大きく依存しています。 分析、支払い処理、認証、チャット サービスなどのコミュニケーション ツールなど、多数のサードパーティ サービスを備えていないクライアント側アプリケーションを見つけることはほとんどありません。 クロスオリジン通信 が付属しています。 ほとんどの場合、これらのサービスはサードパーティプロバイダーでホストされているため、異なる「オリジン 」 たとえ…

ソース： sl4x0.medium.com 脆弱性：ATO, CORS 訳： サインアップから始める サインアップ プロセスでは、 存在しない 電子メール アドレスでサインアップする 電子メール アドレスでサインアップする方法と、既存の 方法の 2 つの登録方法があります。 最初の種類のサインアップは通常のサインアップです。 メールアドレスを入力して送信をクリックするだけです。 あなたが電子メール アドレスの所有者であることを確認するため、確認電子メールが送信されます。 メールアドレスを確認したら、情報（名前、会社名など）を入力し、アカウント作成プロセスを完了します。 既存のメールアドレスでサ…

ソース： medium.com 脆弱性：XSS、CORS 訳： XSS の影響を拡大するいくつかの XSS チェーンを発見しました。 Self-XSS を見つけるのにはそれほど時間はかかりませんでした。 範囲外の XSS ここで、XSS に連鎖する別のバグを見つけ。 XSS に連鎖するバグを特定することを目的として、Web サイトのテストを開始し。 私がテストしたバグの 1 つは、CORS の構成ミスでした。 使用してテストすることを好みます 私はCORS* Burp Extension を 。 portswigger.net CORS* Burp Extention この拡張機能を使用するに…

ソース： medium.com 脆弱性：CORS 訳： タイトルにあるように、これは名前を付けたくないプログラムの CORS (Cross-Origin Resource Sharing) 設定ミスでした。 Web サイトに移動し、まずメイン ページで基本的な調査を行いました。実際にはあまり見つかりませんでしたが、ログインおよびサインアップ ポータルがあることがわかりました。 後のテストのためにこれをメモしておいてください。 まずは、ウェブサイトでアカウントを作成しましょう。 ウェブサイトへのサインアップを行った後。 交通を遮断しましたが、特に目立ったものはありませんでした。 そこでユーザー情…

ソース： infosecwriteups.com 脆弱性：CORS 訳： 私たちはドメイン名 redacted.com を使用し、Google Dorking を通じてできるだけ多くのサブドメインを収集しました。 site:"*.redacted.com" Google の結果から見つけた新しいサブドメインをテキスト ファイルに追加しました。 これは手動で時間のかかるプロセスだったので、次のように高速化を試みました。 site:"*.redacted.com" -www -blog -mail 特定のフィルタを使用すると、サブドメインなどの用語を Google 検索結果から除外できます。 その…

こんにちは。 アプリケーションサービス部、DevOps担当の兼安です。 今回は、AWS re:Invent 2024期間中に発表された新機能「AWS Transfer Family web apps」を試してみたので、その内容をお伝えします。 AWS Transfer Family web appsとは AWS Transfer Family web appsを試してみる ウェブアプリの作成 Amazon S3 Access Grantsの作成 Amazon S3 バケットのCORSの設定 ウェブアプリへのユーザーとグループの割り当て ウェブアプリへのアクセス 所感と考えられる用途 [余談]A…

この記事は、Techouse Advent Calendar 2024 6日目です。 昨日は nozomemein さんによる Active Storageを使った画像のCORS対応で沼った話 でした。 はじめに こんにちは、2024年に新卒で入社し、クラウドハウス労務でバックエンドエンジニアをしているdaiki_fujiokaです。 本記事では、私が設計・実装を担当した2FA機能について、開発中に得られた知見や学んだことについて紹介します。 現状と課題 クラウドハウス労務では企業向けの人事労務管理サービスを提供しています。利用企業は従業員に対してアカウントを払い出し、従業員は自身のアカウント…

良かったこと 1. 開発ワークショップをやったこと 初めて予定していた作業でエラーが出て進捗がSTOPした。 デバッグも開発工程の一部であることを認識してもらうためにも前向きに捉えよう。 (お客さんにもそう捉えてもらえることを願って) 2. 勉強会を開催したこと 僕はサポート役。 IAMロールやらCORSやら、質疑応答部分でちゃちゃを入れていたら結構しゃべってしまった。 結構うなずいてくれてたので好感触。 システムの説明をするときはいかに簡単に話すかが重要であることがわかった。 (システムのエキスパートによる回答もあったが、これはあまりお客さんに刺さっていなかったように見えた) 3. 打ち合わ…

1. はじめに こちらの記事は、アソビュー！ Advent Calendar 2024の５日目（裏面）です。 みなさんこんにちは、アソビューでエンジニアをしています竹村です。 以前からユーザーに近いエッジサーバーに分散してリクエストを処理するエッジコンピューティングの仕組みに興味を持っており、高負荷時や障害発生時にも重要な機能を低レイテンシかつ安定して提供する仕組みを作れるのではないかと考えていたのですが、なかなか触る機会もなく今日まできていました。 そこで今回は、Cloudflare Workers向けのシンプルで軽量なHonoフレームワークを使用し、記事の投稿、一覧表示、詳細表示機能を持っ…

この記事は、Techouse Advent Calendar 2024 5日目です。 昨日は nakayama さんによる 開発チームマネージャが考える、Techouseインターン生が圧倒的成長ができる3つの理由 でした。 はじめに こんにちは、2024年に新卒で入社し、ジョブハウスでバックエンドエンジニア/モバイルアプリエンジニアをしているnozomemeinです。 Ruby on Rails の Active Storage は お手軽に画像ファイルなどをクラウドストレージに保管できる便利なライブラリです。 しかし正しく利用するにはクラウドストレージの仕様やWeb標準への理解が必要不可欠で…

自己紹介 この記事は、Techouse Advent Calendar 2024 4日目です。 昨日は satoh による Sidekiq Middleware でコンテナイメージの整合性を確認する でした。 開発チームのマネージャをやっていますnakayamaです。 主に重要な開発の仕様策定、ピープルマネジメント、スケジュール調整などのマネジメント系の仕事を主にやっています。 Techouseに入社する前は、大手SIerでシステム開発の経験を18年ほど積んでおり、プログラミングというよりはプロジェクトリーダー、プロジェクトマネージャとしての立ち振る舞いが多いです。 アプリケーションの設計がと…

EN この記事はCTF Advent Calender 2024の二日目の記事です。 昨日の記事は小池さんのCTFの問題の作り方でした。実はまだよく読んでない(は？)のですが、作問の記事なんていくらあっても嬉しいですね。 この記事では、SECCON CTF 13で出題したTanuki Udonという問題の想定解の解説をします。 TL;DR 次のような条件を満たすときに、Speculation Rulesを用いたXS-Leaks攻撃を行うことができます。 攻撃者が被害者のサイトにSpeculation Rulesを挿入することができる どのページがprefetch/prerenderされたかを攻…

piAId = '1009922'; piCId = '296044'; piHostname = 'pi.pardot.com'; (function() { function async_load(){ var s = document.createElement('script'); s.type = 'text/javascript'; s.src = ('https:' == document.location.protocol ? 'https://pi' : 'http://cdn') + '.pardot.com/pd.js'; var c = document.getElem…

MongoDB 最近良くNode.jsのmongooseでMongoDBをよく使う。 aggregateってMongoDBだと使ったことがなかったので少し触ってみた。 aggregateはDjangoのaggregateと同様に何でもできそうな感じがある。 aggregateでデータ件数が多いデータを処理するときは最初にmatchを書くといいようだ。 簡単なフィルターならpopulateの方がわかりやすくて良いなと思った。 Node.jsは個人的にあまり好きになれない…。 docker compose # Use root/example as user/password credential…

前回の記事では「k6 new」で雛形を作れることは説明しましたが、処理のほとんどを自分で記述していく必要があります。Javascriptが得意な方はそれほど問題にはならないでしょうが、Javascript初心者にとってはその言語を使えるようになることが、k6を使い始めるために超えなければいけない壁となってしまいます。 そこで今回はブラウザからぽちぽちでコードをジェネレートする方法をご紹介します。 har-to-k6 github.com har-to-k6とは、HAR(HTTP Archive File)ファイルをコンバートしてk6のシナリオをジェネレートするCLIツールです。ある操作をレコー…

時間は未来から過去へと流れている 苫米地式コーチングにハマっている 苫米地英人(とまべちひでと)を愛をこめて個人的にべっちーと呼んでいる コーチング自体胡散臭くて嫌いだが、べっちーは見た目も振る舞いも胡散臭くて、胡散臭さが地球一周したので見てる べっちーの経歴調べたが、第一次AIブームのときにAIの数学的な理論の下地つくってたガチガチの研究者 だから信用に値する人物だと判断した 最近は、彼のコーチング動画を見て生活に取り入れている youtu.be べっちーによると、時間は未来から過去へ流れる捉え方が正しいらしい 現在を通り過ぎて流れていった過去は、時間が立つほど現在から遠のいていく 過去を振…

こんにちは。SIGQ Cloud Linkerというセキュアな書類共有サービスを開発しているアーリースタートアップ、SIGQのリードエンジニアをしているBrown[1-2]です。 SIGQではDatadogのBrowser Testingを使用して、ブラウザ上で重要な機能が適切に動作するかの検証を自動で行っています。 Datadogに限らず、他社のBrowser Testingも含め、これらは非常に有用なツールである一方で、ログインの認証が求められたり、WAFなどのセキュリティレイヤーを導入していると、公式ドキュメント通りに設定しても、様々な原因でちゃんと動かないことがあります。 本日はDat…