Exposing Private Information by Timing Web Applications Andrew Bortz Stanford University abortz@cs.stanford.edu Dan Boneh Stanford University dabo@cs.stanford.edu Palash Nandy palashn@gmail.com ABSTRACT We show that the time web sites take to respond to HTTP requests can leak private information, using two different types of attacks. The first, direct timing, directly measures response times from
[更新履歴] 2018/11/24 1:40 問題差し替えに合わせて更新 セキュリティ・ミニキャンプ in 岡山 2018で使用された演習コンテンツが公開されていたので挑戦してみた。 年令制限により来世にならないとセキュリティ・キャンプに参加できない層からすると、一般公開はありがたい限り。 XSS Challenge (by y0n3uchy) public な形で解法を公開していただくのも構いません。 とのことなので、writeupを書いた。 ルールは、alert('XSS') と alert(document.domain) の2つを実行できればクリア。 それぞれ実行に成功すると"You win! :-)" と表示される。 Case 01: Simple XSS 1 Case 02: Simple XSS 2 Case 03: With htmlspecialchars() Case
最近(2016年頃)、サイバー攻撃の脅威を調べる方法として、公開情報を活用したOSINT(Open Source INTelligence/オシント)に注目が集まっています。私もトレーニングを受けましたが、かなり奥が深く、使いこなせるには時間と経験が相当必要と実感しているところです。それと同時に、OSINTを活用するためには、基本的なテクニックはオープンで共有するほうが効率的だと感じましたので、ここでは、エッセンスをご紹介したいと思います。 ここでは、ポイントを絞ってまとめていきますので、正しい活用にあたっては、インテリジェンスを専門で取り組んでいる教育機関や企業等の提供するサービスの利用をご検討ください。 前提 ファイアウォールやIPS、WAFなどの遮断機器を導入 サイバー攻撃の予兆をつかんだとしても、止めることができなければOSINTの効果は非常に小さいです。 ログ取得 最良のインテリ
For the past few years, security research has been something I’ve done in my spare time. I know there are people that make a living off of bug bounty programs, but I’ve personally just spent a few hours here and there whenever I feel like it. That said, I’ve always wanted to figure out whether I’d be able to make a living on bug bounties if I chose to work on them full time. So I tried doing that
以前Tweetしたこの件をもっと深堀ってみる。要は各モバイルウォレットが目指している機能そのものは大体一緒で、各社の強みを活かしきれないと決済レイヤーの「お得」しか目を引かず、お得のためだけのアプリとなる、という予想。 メルペイのペイロールや、ORIGAMIのウォレット化で、改めて皆が目指すプロダクトが一緒になってきている。PayPay/LINE Pay/d払い然り。要は資金移動業。ただ、機能の差別化は難しく、結局決済時のインセンでしかユーザーを釣れていない。特定加盟店でお得なハウスプリカ管理アプリと化す可能性が高い。 — 8maki (@8maki) September 28, 2019 各社モバイルウォレットの目指す機能と強みまずは各社ウォレットが目指す共通の機能を見てみよう。 ウォレット=資金移動業=出金できるプリペイド、をベースに、入金・決済・送金・その他金融の4方向の機能がある。
令和という新しい時代を迎えて早くも6か月が過ぎた。皆様いかがお過ごしだろうか? 新時代に入って世の中がどう変わるかと楽しみにしていたら、やはりあちらこちらで劇的な変化が起こり始めているようだ。 たとえば、本稿のタイトルに取り上げた「あいみょん」。令和最初にブレークしたスーパースターが、このあいみょんである。スターは次々に現れるが、あいみょんの場合、今までのブレークパターンとは決定的に異なる新時代ならではのヒットの要因を抱えている。そのあいみょんのヒットの要因が、いかにも新時代令和的なのだ。それは何か? 今回はビルボードジャパンの発表資料とデータも借りて、そのあいみょんの令和的なブレークストーリーをご紹介しよう。そこから、新時代令和の新しいスーパースター像と新しいヒットの法則が見えてくるはずだ。 ビルボードであいみょんを見る まずは権威ある【ビルボード 2019年上半期TOP ARTISTS
I’ve participated in 9447 CTF 2015 as the team scryptos. Though I hadn’t been a member of scryptos, I felt like helping them by participating together because they remind me of what my team used to be. I had to contribute to the team somehow, so I solved the heavy pwn task, Search Engine. Description Ever wanted to search through real life? Well this won’t help, but it will let you search strings.
どーも!Raitoです。 みなさん日々オンライン対戦に勤しんでいるでしょうか? VIPに行けそうだったり行けなそうだったり・・・最近では強い人がどんどん増えてきて中々安定して勝つのも難しくなってきているとも聞いてます。 そしてプレイヤー達の中で特に厄介だと聞かされるのがドンキーコングの崖メテオ。 ドンキーコングに崖端で掴まれてしまうと、%が低くても崖に投げられてゲームセット・・・というのは今作から始めた人なら誰しもが通る道だと思います。 一見最強な行動に見える崖メテオですが、実はちゃんと対策ができます。それこそが崖受け身とそこから派生する崖受け身ジャンプです。 崖受け身ジャンプはそこから派生する行動が強く、安定させると実は崖受け身させる側に不利展開を強いることができるのでとても強力です。
<宅配洗濯代行の料金(月額制)> しろふわ便のサービスは1ヶ月分まるまる依頼できる月額制。 ライフスタイルにあわせて選べる 3つのコース
Image Credit: NFX ピックアップ記事: Why Some Platforms Thrive and Others Don’t 最近、SNSで「起業家が投資家へ事業戦略をピッチする際、答えるべき型がある」というやり取りをしばしば目にするようになりました。結論から言うと「ネットワークエフェクト」「規模のメリット」「ブランド」「高いスイッチコスト」の4つが答えになります。サービスが成長するために、何を武器に戦っていくかはこのどれかを説明すれば片付くというものです。 しかしリサーチをしているなか、強固な「ネットワークエフェクト」を作り上げる4つの公式を押さえておけば、先ほどの全ての回答モデルを満たす筋道が見えると感じました。言い換えればネットワークエフェクト構築戦略さえ誤らなければ、あらゆる競合シチュエーションにおいても他社を負かせる“ディフェンス力”を獲得できると考えます。 そも
はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。 HTTP Desync Attacks: Smashing into the Cell Next Door API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web Denial of Service with a Fistful of Packets:
第27回 もう何も信じない――セキュリティの新常識「ゼロトラストネットワーク」って何ですか?:変わるWindows、変わる情シス(3/3 ページ) Azure ADにおける制限付きアクセス(Identity Protection)機能は、従来はIPアドレスのホワイトリストやブラックリストを作って運用する形でしたが、ゼロトラストネットワークは動的なポリシーがキモです。異常なアクセスだと判断する根拠はさまざまなものがあります。 例えば、東京からアクセスした5秒後にシドニーからのアクセスが検知された場合や、Torブラウザ(匿名のIPアドレス)からのアクセスがある場合など、異常な通信だと判断し、ポリシーが適用され、自動でアクセスコントロールが変更されます。 Azure AD Identity Protectionは検証目的でのライセンス提供もあるので、興味がある方はぜひ試してみてください。先に挙げ
HomeNewsGoogleGoogle Chrome Incognito Mode Can Still Be Detected by These Methods With the release of Chrome 76, Google fixed a loophole that allowed web sites to detect if a visitor was using Incognito mode. Unfortunately, their fix led to two other methods that can still be used to detect when a visitor is browsing privately. Some web sites were using Incognito mode detection in order to preven
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く