【保存版】バグバウンティ実践者のための curl ― 偵察からPoC構築まで - Qiita
はじめに バグバウンティや脆弱性診断の現場では、Burp Suite が主力ツールとして広く使われています。 一方で、curl だけでも実務で使えることは想像以上に多いです。 ターゲットの技術スタックを数秒で把握する 認証フローを再現してセッションを操作する IDOR・SSRF・CORS misconfiguration の初期検証を素早く行う レスポンスの差分から権限の境界を特定する 再現性のある PoC をそのままレポートに貼る 複雑な UI フローやブラウザ依存の挙動確認は Burp やブラウザ開発者ツールのほうが向いていますが、多くのケースでは curl のワンライナーだけでも十分に初動調査や PoC 構築が可能です。 シェルスクリプトとの親和性が高く、再現性のある PoC をそのままレポートに貼れるのも大きな利点です。 にもかかわらず、日本語では curl をバグバウンティ文脈で
フロントエンドと外部システムの連携をどう自動テストするか? - TVer Tech Blog
この記事はTVer Advent Calendar 2025 1日目の記事です。 どうも、TVerでエンジニアリングマネージャーをしている@ukitakaです! みんな締め切りにビビっているのか1日目の枠がずっと空いてたので、去年に引き続き今年もアドベントカレンダーのトップバッターをやることにしました。 今回はTVerで今年から本格的に進めているテスト自動化の取り組みにおいて、どんな課題が発生し、どう乗り越えようとしているのかについてお話しします。 まだ成し遂げていないことも多く含まれますが、「こんなことをやっていこうと思っている」という野望の話だと思って読んでいただければ幸いです。 TVerのシステムの特性と自動テストへの壁 TVerのシステムの特徴の一つとして、アプリやWebのフロントエンドから外部のシステム (境界外のシステム) への直接的な依存が多くあるということがあげられます。
fetch() では Host ヘッダーを設定できないし話はそこまで単純じゃない - Object.create(null)
JavaScript (TypeScript) のコードから HTTP リクエストを送る手段として, 最近では Web 標準の一つである Fetch Standard で定義された fetch() が使われることが多いですね. await fetch("https://example.com"); リクエストヘッダーには Host を設定できない Fetch Standard では Host をはじめとして Content-Length, Cookie, Origin など, いくつかのリクエストヘッダーを設定 (JavaScript から上書き) することが禁止されています. https://fetch.spec.whatwg.org/#forbidden-request-header いずれのヘッダーも HTTP やセキュリティ上の取り決めに従うために, ページの JavaSript
Flutter で本格的な HTTP キャッシュライブラリ「AeroCache」を作ってみた
はじめに Flutter は既存のキャッシュライブラリに HTTP のプライベートキャッシュ に準拠したものが少なく、想定と異なる挙動により意図した形でキャッシュが更新されない状況に遭遇することが多々あります。例えば、Varyに未対応であったり、キャッシュ再検証周りのロジックが独自実装だったりが該当します。 そこで、RFC 9111 に準拠したキャッシュライブラリ AeroCache を開発しました。この記事では、その実装過程で学んだ HTTP のプライベートキャッシュに関する知識を簡潔に解説しつつ AeroCache を紹介します。 HTTP のプライベートキャッシュの仕組み 主にパフォーマンス向上や帯域節約、細やかなキャッシュ管理を実現するための仕組みとして、活用されるヘッダは以下の通りです。 ヘッダー 説明
ブランドアプリの ID 基盤移行に向けた Cookie 管理の仕組みの実装 - STORES Product Blog
はじめに こんにちは。STORES ブランドアプリで Android エンジニアをしている Yuto Koguchi (@10llip0p) です。 STORES では現在 ID 基盤の統一に取り組んでおり、複数のプロダクトへ共通のアカウントでログインしてシームレスに利用できる体験を目指しています。 私が担当するブランドアプリにおいても今年からこの新しい ID 基盤への移行に取り組んできました。 STORES の ID 基盤とセキュリティ観点 STORES では Open ID Connect (OIDC) に準拠した ID 基盤を自前実装しており、様々なプロダクトやサービスに導入を進めています。 OIDC (もとい OAuth)では認可リクエストを送るクライアントと実際に認可するクライアントの同一性を保証するため、認証・認可のフローの中でstateというパラメーターを付与・検証することで
iOS アプリからローカルサーバーへ接続する道のり - STORES Product Blog
STORES ブランドアプリの iOS アプリ側を開発している Megabits です。 STORES ブランドアプリはアプリとサーバーの連動で成り立っています。なので、アプリを開発するとき、サーバーへ接続してデバッグすることがほどんどです。逆に、バックエンドを開発する際、アプリを操作して動作確認することも多いです。Staging のサーバーや Production のサーバーに接続してテストすることができます。アプリにはこのような DebugView が存在していて、 Staging と Production を切り替えられます。 環境切り替え画面 しかし、現状だとローカルでバックエンドのコードを編集する時、アプリからローカル環境に接続してテストすることができません。もし連動してテストしたい場合は、Staging にデプロイしないといけません。その場合、仕事をしているエンジニア全員に影響
Cross-Origin Resource Sharing (CORS) - HTTP | MDN
This feature is well established and works across many devices and browser versions. It’s been available across browsers since July 2015. Learn more See full compatibility Report feedback Cross-Origin Resource Sharing (CORS) is an HTTP-header based mechanism that allows a server to indicate any origins (domain, scheme, or port) other than its own from which a browser should permit loading resource
セキュリティ関連のHTTPヘッダを一括指定する Baseline ヘッダ - ASnoKaze blog
現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。 そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」が、GoogleのMike West氏によって提案されています。 まだたたき台であり、これからW3CのWebAppSec WGで議論されている予定になっています。 Baseline ヘッダ 次のようにレスポンスヘッダを指定します。 Baseline: Security=2022これは、次のヘッダを送信するのと同様です。 Content-Security-Policy: script-src 'self'; object-src 'none'; base-uri 'none'; require-trusted-ty
HTTPとRESTの基本 『網羅版:HTTPメソッドとレスポンスコード』 - Qiita
初めに 参考サイト:HTTP 意味論(共通基盤)RFC 9110 — HTTP Semantics 参考サイト:開発者向けのウェブ技術 > HTTP レスポンスステータスコード 参考サイト:Wiki HTTPステータスコード 参考書籍:Webを支えWebを支える技術 -HTTP、URI、HTML、そしてREST (WEB+DB PRESS plus) 参考書籍:オライリー・ジャパン RESTful Webサービス 各文献を元にまとめした。『3. HTTPレスポンスコード概要』以降は引用まんまに近いところもあれば、大幅に書き換えた・再構成した部分も多々あります。 この記事を書こうと思った切欠はステータスコードについて質問された時にちゃんと答えられなかったからです。 次は、これを元に RESTful API の設計の記事とか書いてみようと思います。 また、この記事は一応3部作です。特に第1部で
ウェブサイト1ページ当たりのファイルサイズの中央値が2MBを突破
膨大な数のウェブサイトからメタデータをアーカイブして統計調査を行うHTTP Archiveが、2022年7月時点でのウェブサイトの実情を明らかにしました。 HTTP Archive: State of the Web https://httparchive.org/reports/state-of-the-web HTTP Archiveが分析したURLは、デスクトップ向けが730万3959件、モバイル向けが1032万8202件です。転送量からみる各サイトのファイルサイズの中央値は、2022年7月時点でデスクトップ向けが2314.4KB(約2.26MB)、モバイル向けが2040.4KB(約1.99MB)となっています。ファイルサイズは年々増加傾向にあり、2020年3月にデスクトップ向けが初めて2MBを超えています。 リソースの要求数はデスクトップ向けが75件、モバイル向けが69件です。これ
Androidの通信ライブラリの歴史を振り返る - Qiita
はじめに なぜ、今更こんな何のためにもならなそうなことを書くのかというお話をします。 最近Androidを新しく始める人はすいすいとアプリの開発を覚えていき、昔は大変だった通信もRetrofit一択で何の迷いもなく終わります。Retrofitは本当に素晴らしいライブラリです、アノテーションを使用してコードを殆ど書かず、初心者にも分かりやすく書くことができ、カスタマイズ性も非常に高いです。 ですが、だからこそ昔のAndroidの通信の長い歴史を知って、今まで以上にRetrofitなどのライブラリの素晴らしさを実感してほしいと思って書きました。 そして、できれば誰かが次世代の通信ライブラリを作る際の糧としてくれることを願っています。 主な歴史 2007/11/05 : Androidが発表される 2011/09/29 : HttpURLConnectionを推奨するブログが出る 2013/05
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
How to Cancel HTTP Requests with CancelToken and Riverpod
The headers default to adding "Dart3.0" to the user-agent, resulting in some image sources detecting it as Dart's user agent and returning it directly to Forbidden · Issue #990 · dart-lang/http
PHPで学ぶ Session の基本と応用 / web-app-session-101-2024
fresh_dio | Dart package
Add extra HTTP Request Headers | Web on Android | Chrome for Developers
sessionとcookieが多分わかる資料
CheatSheetSeries/cheatsheets_draft/HTTP_Headers_Cheat_Sheet.md at master · TheSmartScanner/CheatSheetSeries
same-site/cross-site, same-origin/cross-originをちゃんと理解する
Webアプリケーションへの入力値を操作しよう - Akaki I/O