[更新履歴] 2018/11/24 1:40 問題差し替えに合わせて更新 セキュリティ・ミニキャンプ in 岡山 2018で使用された演習コンテンツが公開されていたので挑戦してみた。 年令制限により来世にならないとセキュリティ・キャンプに参加できない層からすると、一般公開はありがたい限り。 XSS Challenge (by y0n3uchy) public な形で解法を公開していただくのも構いません。 とのことなので、writeupを書いた。 ルールは、alert('XSS') と alert(document.domain) の2つを実行できればクリア。 それぞれ実行に成功すると"You win! :-)" と表示される。 Case 01: Simple XSS 1 Case 02: Simple XSS 2 Case 03: With htmlspecialchars() Case

最近（2016年頃）、サイバー攻撃の脅威を調べる方法として、公開情報を活用したOSINT（Open Source INTelligence／オシント）に注目が集まっています。私もトレーニングを受けましたが、かなり奥が深く、使いこなせるには時間と経験が相当必要と実感しているところです。それと同時に、OSINTを活用するためには、基本的なテクニックはオープンで共有するほうが効率的だと感じましたので、ここでは、エッセンスをご紹介したいと思います。 ここでは、ポイントを絞ってまとめていきますので、正しい活用にあたっては、インテリジェンスを専門で取り組んでいる教育機関や企業等の提供するサービスの利用をご検討ください。 前提 ファイアウォールやIPS、WAFなどの遮断機器を導入 サイバー攻撃の予兆をつかんだとしても、止めることができなければOSINTの効果は非常に小さいです。 ログ取得 最良のインテリ

以前Tweetしたこの件をもっと深堀ってみる。要は各モバイルウォレットが目指している機能そのものは大体一緒で、各社の強みを活かしきれないと決済レイヤーの「お得」しか目を引かず、お得のためだけのアプリとなる、という予想。 メルペイのペイロールや、ORIGAMIのウォレット化で、改めて皆が目指すプロダクトが一緒になってきている。PayPay/LINE Pay/d払い然り。要は資金移動業。ただ、機能の差別化は難しく、結局決済時のインセンでしかユーザーを釣れていない。特定加盟店でお得なハウスプリカ管理アプリと化す可能性が高い。 — 8maki (@8maki) September 28, 2019 各社モバイルウォレットの目指す機能と強みまずは各社ウォレットが目指す共通の機能を見てみよう。 ウォレット＝資金移動業＝出金できるプリペイド、をベースに、入金・決済・送金・その他金融の4方向の機能がある。

令和という新しい時代を迎えて早くも6か月が過ぎた。皆様いかがお過ごしだろうか？ 新時代に入って世の中がどう変わるかと楽しみにしていたら、やはりあちらこちらで劇的な変化が起こり始めているようだ。 たとえば、本稿のタイトルに取り上げた「あいみょん」。令和最初にブレークしたスーパースターが、このあいみょんである。スターは次々に現れるが、あいみょんの場合、今までのブレークパターンとは決定的に異なる新時代ならではのヒットの要因を抱えている。そのあいみょんのヒットの要因が、いかにも新時代令和的なのだ。それは何か？　今回はビルボードジャパンの発表資料とデータも借りて、そのあいみょんの令和的なブレークストーリーをご紹介しよう。そこから、新時代令和の新しいスーパースター像と新しいヒットの法則が見えてくるはずだ。 ビルボードであいみょんを見る まずは権威ある【ビルボード 2019年上半期TOP ARTISTS

弊社クラスメソッド株式会社主催のイベント「Developers.IO 2019 TOKYO」での登壇資料です。 セキュリティ対策メガ盛りマックス ブログ: https://dev.classmethod.jp/cloud/aws/developers-io-2019-tokyo-all-security-in-aws/ ハッシュタグ: #cmdevio ブログの方に喋った内容の補足など入れてあります ちなみにブログをシェアしてくれると喜びマックス

どーも！Raitoです。 みなさん日々オンライン対戦に勤しんでいるでしょうか？ VIPに行けそうだったり行けなそうだったり・・・最近では強い人がどんどん増えてきて中々安定して勝つのも難しくなってきているとも聞いてます。 そしてプレイヤー達の中で特に厄介だと聞かされるのがドンキーコングの崖メテオ。 ドンキーコングに崖端で掴まれてしまうと、％が低くても崖に投げられてゲームセット・・・というのは今作から始めた人なら誰しもが通る道だと思います。 一見最強な行動に見える崖メテオですが、実はちゃんと対策ができます。それこそが崖受け身とそこから派生する崖受け身ジャンプです。 崖受け身ジャンプはそこから派生する行動が強く、安定させると実は崖受け身させる側に不利展開を強いることができるのでとても強力です。

Image Credit: NFX ピックアップ記事: Why Some Platforms Thrive and Others Don’t 最近、SNSで「起業家が投資家へ事業戦略をピッチする際、答えるべき型がある」というやり取りをしばしば目にするようになりました。結論から言うと「ネットワークエフェクト」「規模のメリット」「ブランド」「高いスイッチコスト」の4つが答えになります。サービスが成長するために、何を武器に戦っていくかはこのどれかを説明すれば片付くというものです。 しかしリサーチをしているなか、強固な「ネットワークエフェクト」を作り上げる4つの公式を押さえておけば、先ほどの全ての回答モデルを満たす筋道が見えると感じました。言い換えればネットワークエフェクト構築戦略さえ誤らなければ、あらゆる競合シチュエーションにおいても他社を負かせる“ディフェンス力”を獲得できると考えます。 そも

はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。 HTTP Desync Attacks: Smashing into the Cell Next Door API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web Denial of Service with a Fistful of Packets:

第27回 もう何も信じない――セキュリティの新常識「ゼロトラストネットワーク」って何ですか？：変わるWindows、変わる情シス（3/3 ページ） Azure ADにおける制限付きアクセス（Identity Protection）機能は、従来はIPアドレスのホワイトリストやブラックリストを作って運用する形でしたが、ゼロトラストネットワークは動的なポリシーがキモです。異常なアクセスだと判断する根拠はさまざまなものがあります。 例えば、東京からアクセスした5秒後にシドニーからのアクセスが検知された場合や、Torブラウザ（匿名のIPアドレス）からのアクセスがある場合など、異常な通信だと判断し、ポリシーが適用され、自動でアクセスコントロールが変更されます。 Azure AD Identity Protectionは検証目的でのライセンス提供もあるので、興味がある方はぜひ試してみてください。先に挙げ

HomeNewsGoogleGoogle Chrome Incognito Mode Can Still Be Detected by These Methods With the release of Chrome 76, Google fixed a loophole that allowed web sites to detect if a visitor was using Incognito mode.  Unfortunately, their fix led to two other methods that can still be used to detect when a visitor is browsing privately. Some web sites were using Incognito mode detection in order to preven