パストラバーサル(Path Traversal、以下パストラバーサルで統一) は、本来アクセスできないディレクトリに存在するファイルに対して、脆弱性を悪用してアクセスする攻撃手法・脆弱性です。 この脆弱性はディレクトリトラバーサル(Directory Traversal)とも呼称されています。 本記事では、パストラバーサルの脆弱性についてを説明した後、対策方法と、発展的な「nginx で発生してしまうパストラバーサル」についても触れていきます。 パストラバーサルとは?説明のため、1 つのアプリケーション例を題材として話を進めていきます。 以下のような構成の Web サーバがあったとしましょう。 ユーザーはインターネットを通じて、公開ディレクトリとして指定されている public ディレクトリへアクセスが行えるものとします。 また secret のディレクトリに対しては、ユーザがアクセスでき
Digg http://digg.com テクノロジーはもちろん医学やら政治やらいろんなニュースが上がってくる。 Hacker News https://news.ycombinator.com/ プログラミング系はHacker News読めばいいっぽい。そのままのデザインだと超読みづらいけど、自分でCSS変えたりそれ用のアプリを使えば良い。 Kickstarter http://www.kickstarter.com/ クラウドファンディングのサイトだけど、動画を閲覧するだけでもすっごい楽しい。寝起きにiPhoneアプリで見てる。 海外ネタに精通するとどうなるか TechChrunchの日本版やGIGAZINEや100shiki.comなど、ああいう海外ネタ紹介サイトに取り上げられるようなソースに真っ先にアクセスしてちゃんと原文で理解することができます。きっと。 また、自分のブログでGI
http://d.hatena.ne.jp/pollyanna/20090220/p1 今回の村上春樹氏のケース以外でも、海外のニュース記事やブログ記事などを、気軽に全文引用・翻訳して、自分のブログで紹介しているケースをしばしばみかけます。 あの翻訳祭りは「同じ文章をよってたかって訳すのも面白いけど、みんなその勢いでもっと他の翻訳もやってくれたらいいのになー」とか勝手な願望抱いてるばかりで、翻訳許可とかそういう話まで頭が回ってませんでしたね。 ていうか普通みんな翻訳したら許可とるよね? とか勝手に思ってました。 ニュース記事の全文翻訳は完全アウトですね*1。よほど悪質でない限り(訳したテキストで堂々と商売してるとか)、訴えられることはまずないとは思いますが。 Linusのインタビューの翻訳をしたときも、Googleの面接の翻訳をしたときも、私はちゃんと原著者に許可とりました。 後者はともか
In October 2018, David Asperó was on holiday in Italy, gazing out a car window as his girlfriend drove them to their bed-and-breakfast, when it came to him: the missing step of what’s now a landmark new proof about the sizes of infinity. “It was this flash experience,” he said. Asperó, a mathematician at the University of East Anglia in the United Kingdom, contacted the collaborator with whom he’…
Hacker News new | past | comments | ask | show | jobs | submit login 1. German parliament votes as a Git contribution graph (abstimmung.eu) 156 points by mxschll 5 hours ago | hide | 56 comments 2. Qwen2.5-VL-32B: Smarter and Lighter (qwenlm.github.io) 404 points by tosh 10 hours ago | hide | 201 comments 3. Triforce – a beamformer for Apple Silicon laptops (github.com/chadmed) 478 points by tosh
You can read about these vulnerabilities in English at https://ec0.io/post/hacking-cloudflare-pages-part-2/ 免責事項 Cloudflareは、HackerOne上で脆弱性報奨金制度(Bug Bounty)を実施しており、脆弱性の診断行為を許可しています。 本記事は、当該制度を通して報告された脆 Disclaimer All projects mentioned in this blog post have been contacted, and I confirmed that the behavior described in this article is either working as intended, already fixed, or will not be fixe
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
Skip to main content Posts There's nothing here!
The Atlanticより。 すでに多くものが失われています。人類の知識をまとめる接着剤が緩んでいます。 ジョナサン・ジットレイン 60年前、未来学者アーサー・C・クラークは、十分に進化したテクノロジーは魔法と見分けがつかないと言いました。インターネットは、私たちが互いにコミュニケーションを取り、人類の文明の知的生産物を共に保護する手段であり、クラークの見解にピッタリ当てはまります。スティーブ・ジョブズの言葉を借りれば、クリックしたり、タップしたり、話したりするのと同じくらい簡単に「ちゃんと動く (it just works)」のです。そして、インターネットが機能しない場合、あらゆる点で魔法の浮き沈みと同じように、その理由は一般的に非常に難解であり、その説明は失敗した呪文を解き明かそうとするのと同じくらい全く役に立ちません。 広大でシンプルに見えるデジタルネットワークを支えているのは、発
mnot's blogより。 By Mark Nottingham 善かれあしかれ、Requests for Comments (RFC)は、インターネット上で多くのプロトコルを規定する方法です。これらの文書はその代わり、隠された意味のためにそれらを解析した開発者によって神聖なテキストとして扱われ、その結果、理解できないために重要ではないとして敬遠されます。これはしばしばフラストレーションと、より重要なのは相互運用性とセキュリティの問題につながります。 しかし、それらがどのように構築され、公開されているかについてのいくつかの洞察があれば、あなたが見ているものを少し理解しやすくなります。ここで私の解釈は、HTTPといくつかの他のもので私の経験から情報を提供します。 どこから始めればいいのか? RFCを見つける標準的な場所は、RFCエディタWebサイトです。しかし、以下に示すように、いくつかの
このページの目的は、 Webアプリケーションの基礎の基礎を説明することです。 さて、ここから下のぐだぐだは読み飛ばして、 いきなり実装の説明に 行ってもらってもかまいませんが、一応趣旨を書いておきます。 現在、プロのプログラマーの方々には、日々の仕事でせっせと 「Webアプリケーション」を作っている人が多いと思います。 そして、いまどきWebアプリケーションを作るのに、 CGIとかあり得ないでしょうから、 それなりの高級言語で、 それなりのフレームワーク等を使用して作っているのだと思います。 私自身、現状、仕事では主にC#とASP.NETを使っています。 そうやって生産性を上げるのは大変よいことだと思うのですが、 ことWebアプリケーションにおいては、 そのような「一見簡単そう」なフレームワークを使っても、 ちょっとややこしいことをやろうとするとすぐにうまくいかなくなって、 職場の先輩に聞
World Wide Web(WWW)に関する技術の標準化を行う非営利団体「W3C」は、GitHubの公開フォーラムやZoomの公開会議でコンセンサスを得て、綿密な文書化を行い、新たなルールを共同でわかりやすく作っています。しかし、ここ2年ほどは、プライバシー保護とウェブ広告ビジネスのことで、戦場と化しているそうです。 A privacy war is raging inside the W3C - Protocol — The people, power and politics of tech https://www.protocol.com/policy/w3c-privacy-war この問題を取り上げたニュースサイト・Protocolのイシー・ラポフスキー氏によると、W3Cは、従来のトラッキング技術に代わる新たなプライバシー保護の標準規格作成を目指す陣営と、ネット広告ビジネスでク
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? #はじめに 間違えている箇所があれば指摘していただきたい 特にPHP,Python、Rubyを本格的に開発した経験が少なく 間違ってたら私のために教えていただきたい ただ1つ 私の中でも正しい用語定義がわからないので 非同期と書いたときは 非同期I/O、ノンブロッキングI/O 両方のことをさし マルチスレッドは並列などと表記する #現在の状況 2019年。Webサービスはどんどんローンチされている Java、nodeといった非同期のサービスも増えてきたが 未だに PHP、Python、Rubyといった非同期ではなくプロセスを立ち上げるサ
https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10226975405 「今どきCGIはありえない」は、「今どき、従来からのHTML系技術によるCGIはありえない」と言う意味です。 そもそも、Webアプリケーションとは、従来からのWebとは異なります。 回答者側で、「今どきCGIはありえない」に対して、ぴんと来ない人がいれば、Webアプリケーションのことを、従来からのWeb系技術と勘違いされているのだと思います。 Webアプリケーションは、従来からのWebではありません。 Webアプリケーションとは、名前の通り、「Web上で、アプリケーションソフトと呼べるような高機能プログラムを動作させる」と言うものです。 標準化団体のW3Cが失敗して、HTML系技術がかなり危険信号になっています。 現時点でHTML自体が、なくなることは
ゲームボーイなどの携帯ゲーム機はいつでもどこでも遊べるのが利点ですが、乾電池や充電池で動作するため、定期的に電池の交換や充電をしなければいけないという問題がつきまといます。そこで、半減期12年以上のトリチウム(三重水素)を使った自作原子力電池を携帯ゲーム機に組み込む実験を、エンジニアYouTuberのイアン・チャーナス氏がムービーで公開しています。 Building A Nuclear Powered Gameboy (Lasts 100 Years!) - YouTube 「原子力で発電する」というと、一般的にイメージするのは原子力発電所。 原子力発電所のシステムは「原子炉内で核分裂を起こし、その熱で水を沸かし、水蒸気でタービンを回して発電する」というのが基本です。 しかし、小型の原子力電池で原子炉を用意することはできません。そこで、用意するのがトリチウムを封入した蛍光カプセルです。 ト
インターネットミームから発祥した仮想通貨「ドージコイン」開発者の1人であるジャクソン・パーマー氏が、Twitter上で仮想通貨全体について言及し、「仮想通貨は本質的に右翼の超資本主義技術である」と強く批判する論説を展開しました。これに対し、分散型金融アプリケーションを開発するAva Labsの共同創設者兼COOのケビン・セークニー氏が一つ一つ反論しています。 On Myopic Critiques of Crypto - by Kevin Sekniqi - Markov https://sekniqi.substack.com/p/on-myopic-critiques-of-crypto ビットコインの人気が高まっていた2013年、ソフトウェア開発者のパーマー氏は同じく開発者のビリー・マーカス氏とともに、ジョークとして「ドージコイン」を作成。その後2015年にパーマー氏はドージコインの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く