前回：やられアプリ BadTodo - 24.5 色々混ぜてやってみる１（XSS - CSRF -WebShell） - demandosigno 前回、BadTodo上にWebShellを設置することができました。 WebShell＝Web上でシェルを動かせる、ということで色々なことができるようになります。 (WebShellをすぐには用意できないという方は、通常のターミナルでコマンドを打つ・編集・コピーするなどしてファイルの改ざん以降だけでも試してみてください) 幾つかコマンドを試す ファイルの改ざん 次にBadTodoのWebファイルを改ざんしユーザの入力値を盗めるようにしたいと思います。しかし、 このWebShellは簡単な機能しかないためエディタなどは開けません ワンライナーで書き込むこともできるが面倒くさい→後日 wget や curl が使えれば、外部からファイルごとダウンロ

BadTodo - 4.1 XSS（クロスサイト・スクリプティング） BadTodo - 10.1 CSRF（クロスサイト・リクエスト・フォージェリ） BadTodo - 10.7 XSSによるCSRF対策の突破 前回：BadTodo - 24 適切でないアップロートファイル制限 などを混ぜて色々やってみます。 まず今回、XSSの脆弱性を使い、ユーザーにCSRFの罠を実行させ、悪意のあるハッカーが利用できるプログラムファイルをアップロードさせます。 次回、そのウェブ上に設置したプログラム（WebShell）を使いサイトを改ざんし、ユーザーの入力情報を盗みます。 XSSの脆弱性を使い、CSRFでファイルをアップロードさせる 既存のユーザが作成済みの Todo を狙い、それに対する編集・修正リクエストをCSRFの罠にて実行させることでWebShellファイルのアップロードを行います。（Todo

chanco@ 損柱 @chanco09751990 最近の新卒さん 「少しは自分で考えろ」って言われるのがめちゃくちゃ嫌いらしい。 「考えてやってもどうせ怒られるし時間の無駄なんだから、最初から一番最適化されたマニュアルをよこせ、それがお互いにとって一番良いだろ」とのこと。 …めっちゃ正論😂

自民党の杉田水脈衆院議員は7月31日のX（旧ツイッター）投稿で、差別的言動を理由に杉田氏の議員辞職を求める意見を「言論弾圧」と表現し「言うべきことを言い続ける」と反論した。自身が過去に「男女平等は絶対に実現し得ない反道徳の妄想」と否定する発言をしたことへの批判に対し、書き込んだ。 【写真】「公安の協力で締め出せ」杉田水脈氏、一部有識者巡り 言論弾圧は通常、国家などの権力者側が検閲などの手段で報道や表現の自由を規制する行為を指す。交流サイト（SNS）で自らの主張を拡散する一方、非難の声を「言論弾圧」と呼ぶ姿勢は、国会議員の資質として改めて議論を呼びそうだ。 杉田氏が男女平等を「反道徳の妄想」と発言したのは2014年10月31日の衆院本会議。

6月、長野県天龍村の天竜川に車が転落した事故で、警察は事故発生を報告しなかったとして、運転していた男性を道路交通法違反の疑いで書類送検した。男性は胸の骨を折るなどけがをしたが、車を脱出した後、斜面をよじ登り、空き家になっていた村内の実家に一泊、翌朝、電車で飯田市の自宅に戻ったという。 ハンドル操作を誤り、川に転落 書類送検されたのは飯田市の会社役員の男性（69）。 男性は6月25日午後8時頃、軽乗用車を運転中、ハンドル操作を誤り、天竜川に転落した。 車が川に転落 この記事の画像（4枚） 車を放置して帰宅しており、事故を起こしたのに発生日時や場所を警察に報告しなかった道路交通法違反の疑いが持たれている。

東条英機（前列左から3人目）内閣の閣僚ら。有権者が選んだ衆院議員は一人もいない。発足約2カ月後に太平洋戦争が始まった＝1941年11月16日 大手メディアが8月に力を入れる戦争報道を、私は一年中続けている。物珍しいのか、夏以外にもしばしば講演やトークイベントに招かれる。 取り上げるテーマの一つが、大日本帝国の戦争と「国民の戦争責任」だ。 1945年8月15日も含めれば80回目となる「敗戦の日」を前に、この問題を考えてみたい。 なお、先回りして言えば、新聞の戦争責任は非常に重い。稿を改めて論じたい。 「補償」の言葉を嫌う政府 30年前の94年12月1日。 衆院厚生委員会で「原子爆弾被爆者に対する援護に関する法律案」と「原子爆弾被爆者援護法案」について議論が交わされていた。 焦点は被爆者に対する補償だ。 原爆に限らず、政府は戦争被害者に対する「補償」という言葉を嫌う。国の不当な行為が国民に被害

LayerX Fintech事業部*1で、セキュリティ、インフラ、情シス、ヘルプデスク、ガバナンス・コンプラエンジニアリングなど色々やってる @ken5scal です。 今日はFintech事業部らしく、金融庁が意見募集をしていた「金融分野におけるサイバーセキュリティに関するガイドライン」（案）*2について感想を記載します。 具体的には、よかったな〜とおもうところ、きになったところ、最後にルールメイキングやっていこうぜ！という内容です。 もちろん良い子のFintechのみんなは提出したよね？ www.fsa.go.jp 本邦におけるサイバーセキュリティの確保について「サイバーセキュリティ基本法」を軸として各種施策が定められています。 その中で当社Fintech事業部が取り組むような証券サービスは「重要社会基盤事業者（重要インフラ事業者）」に位置づけられています。これは証券サービスが「他に代

はじめに こんにちは、かつまたです。 この記事では、AWSを使ってパブリックサブネット配置の踏み台サーバーとプライベートサブネット配置のWebサーバーを構築し、最終的にWebページを表示するまでの手順を2章に分けて、画像とともに説明していきます。具体的には以下の構造を構築しました。 1.踏み台サーバ編 1.1 VPC、サブネット作成 まず、VPCを作成します 1.AWSコンソールにログインし、「VPCを作成」をクリックします。 2.VPCの任意の名前（LT-katsumata-vpc）を入力し、IPv4 CIDRブロックを「10.0.0.0/16」に設定します。 3.「VPCを作成」をクリックします。 次にサブネットを作成します。 1.「サブネットを作成」をクリックします。 2.「VPC ID」に先ほど作成したVPCを選択します。 Public Subnet: 名前タグ: LT-katsu

ふつうの軽音部 クワハリ/出内テツオ <毎週日曜更新！最新3話無料>ちょっと渋めの邦ロックを愛する新高校1年生・鳩野ちひろ。新品のギターを背に、軽音部の門を叩くも――!? 超等身大のむきだし青春＆音楽奮闘ドラマ、スタート！　※作品内使用楽曲はJASRAC申請中 [JC3巻9/4発売]

量子コンピューターが実用化されても解読されない通信インフラを目指し、量子暗号通信技術が開発されている。技術自体は実用レベルにあり、ユースケース開発が目下の課題だ。用途ごとに必要なスペックを定めて周辺技術をそろえ、既存の通信インフラと統合する。少し先の未来に備えてインフラを運用する人材や体制を整える。事業者の投資が必要な社会実装の一歩手前にある。長年、日本が負けてきたフェーズでもある。（小寺貴之） 「各国が量子コンピューターへの投資額を積み増している。実現は２０３０年と言われていた技術目標が前倒しされている」―。量子技術による新産業創出協議会（Ｑ―ＳＴＡＲ）の島田太郎代表理事（東芝社長）は量子技術の進歩の速さを強調する。量子コンピューターへの期待は大きく、国を挙げた開発プロジェクトになった。 量子コンピューターで計算性能が飛躍すると通信データを秘匿してきたＲＳＡ暗号が解かれるとされる。そこで

「絶望です」避難所でついに死亡者も　弁当は1日1食のみ、住民の直訴を市長が遮り…能登半島震災から約7カ月、現地が明かす行政の怠慢 社会・政治FLASH編集部 記事投稿日：2024.08.03 17:35　最終更新日：2024.08.03 17:35 「エコノミー症候群で亡くなった高齢者もいます。どれだけ訴えても、私たちの声が届くどころか、蓋をされてしまっています」 2024年の元旦、最大震度7を記録した大震災が発生した能登半島。死者は災害関連死と合わせ、300人を超えている。 「岸田文雄首相は5月31日、『復興基金』を通じ、石川県に520億円の財政支援をおこなうことを決めました。さらに、『能登半島地震被災地支援宝くじ』の収益分約40億円の半分が県の予算に充てられるなど、早期復興に尽力しているとアピールしています」（政治部記者） 【関連記事：「元に戻すの難しい」財務省、能登半島地震「無駄な財