RedisからOSコマンドを実行する攻撃方法(CONFIG SET編) - knqyf263's blog
概要 Redisを間違ってインターネットに開放してしまっていた場合に、認証がなければ好きなRedisコマンドを実行されてしまいます。この場合に最大どの程度の被害になるのか、というのがセキュリティ界隈の人にも意外と知られていなかったので書いておきます。 Redisの実行ユーザによりますがrootなどで動いていて、他にいくつか緩い条件を満たせばOSの任意コマンドが実行可能です。 これは昔からある方法で有名なので攻撃する側からすると当然知っていて、侵入したら必ずと言っていいほど行うと思います。そのため、防御する側も知っておく必要があります。もしRedisの設定を間違ってanyから通信可能だった場合にホスト側にも侵入されたかも、というところを考慮できると良いと思って今回の記事は書いています。 自衛のためにも書いておきますが、悪用は禁止です。あくまで正しく脅威を把握するための啓蒙です。 参考 htt
[Cloud Development Kit ] LINEアプリのサンプルをCDKで書き直して見て、その凄さを実感しました | DevelopersIO
[Cloud Development Kit ] LINEアプリのサンプルをCDKで書き直して見て、その凄さを実感しました 1 はじめに CX事業本部の平内(SIN)です。 昨日、GAとなった AWS Cloud Development Kit (AWS CDK) 凄すぎます。 完全に、上の記事の真似事なんですが・・・私も、早速やってみたい!って事で、先日、作ったAWS SAM + TypeScriptで作成したLINE Bot のサンプルをAWS CDKで書き直してみました。 2 プロジェクト作成 CDKのコマンド initでプロジェクトを作成します。 $ mkdir line-sample $ cd line-sample [line-sample]$ cdk init app --language=typescript 3 Lambda 続いて、プロジェクトの階層下にsrc/lamb
![[Cloud Development Kit ] LINEアプリのサンプルをCDKで書き直して見て、その凄さを実感しました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/b6f18c077a46ff42978cf3d487984a8b3056f9d2/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-tools-and-sdks.png)
VSCodeとDockerでMacにGolangの開発環境を作成する | DevelopersIO
こんにちは、CX事業本部の夏目です。 Golangは最近人気の言語で手を出そうとは思っていたのですが、環境構築がいまいちよくわからなくてできてませんでした。 (goenvを使ってGolangをインストールするときGOPATHはどうしたらいいとかよくわからなかったのです) 今日はVisualCodeとDockerを使って、Golangの開発環境をMac上に作成しようと思います。 環境構築 事前準備 VSCodeとDockerをインストールします。 Visual Studio Code - Code Editing. Redefined Docker Desktop for Mac and Windows | Docker Version 2.0以上 拡張機能のインストール VSCodeのExtension "Remote-Containers"を使用して開発環境を作ろうと思います。 Micr
古い論文を人工知能に分析させることで人間が見逃していた結果を発見 | スラド サイエンス
Anonymous Coward曰く、 何百万もの古い科学論文を機械学習アルゴリズムを使用して分析したところ、人間が見逃していた新しい科学的発見ができたという(VICE、Slashdot)。 ローレンス・バークレー国立研究所の研究者らは、人間が見逃した論文同士のつながりを見つけるため、Word2Vecと呼ばれるアルゴリズムを利用した。その結果、熱をエネルギーに変換できる可能性のある熱電材料を予測する結果が出力されたという Word2vecは機械学習を使って単語間の関係を分析するアルゴリズム。研究者たちはシステムをトレーニングするためのデータとして、材料科学に関連した330万件の抄録から約50万語の語彙を選択してWord2vecに入力した。 入力したデータには熱電に関する定義は無かったが、このアルゴリズムによって単語同士の関連付けから、将来の熱電材料の候補を見つけ出すことができたという。この
酷い英語をもっとお願いします | gihyo.jp
メーリングリストでもっとたくさん酷い英語を見かけたい。ネイティブじゃない人が英語が上手くなくてと謝る場面がもっと減ってくれたらとも思う。母語ではない第二、第三、あるいは第四の言語を、たとえ熟達していない状態でも、とにかく使ってコミュケーションを図ろうとするのは全く恥じるようなことなんかじゃない。もし、外国語だというのを理由に不安や気後れを感じて重要な貢献を果たさなかったり、FLOSSツールへ貢献する方法やその使い方について質問を控えたりしたのなら、そういうことが恥になるんだ。 訳注 FLOSSは Free/Libre and Open Source Software の略。フリーソフトウェアとオープンソースソフトウェアとをまとめた言葉 オープンソースの美点の一つは多国籍ということ。それも“るつぼ”と見なしうる物事のうち最も真に“るつぼ”らしい多国籍なんだ。数百万もの人たちが英語で運
Goでツールを量産する僕の方法
Profile id: Songmu (ソンムー) Masayuki Matsuki / 松木雅幸 Nature Japan 株式会社 取締役CTO おそらくはそれさえも平凡な日々 http://www.songmu.jp/riji/ https://metacpan.org/author/SONGMU 好きな言語は、PerlとGoと中国語 200+ GitHub Public Repositories 60+ CPAN Modules 50+ Go modules/tools 3 Times ISUCON Winner Using Perl YAPC::Tokyo 2019 ベストスピーカー
冪等なデータ処理ジョブを書く - クックパッド開発者ブログ
こんにちは、マーケティングサポート事業部データインテリジェンスグループの井上寛之(@inohiro)です。普段はマーケティングに使われるプライベートDMP(データマネジメントプラットフォーム)の開発を行っています。本稿では、その過程で得られた冪等なデータ処理ジョブの書き方に関する工夫を紹介したいと思います。今回は、RDBMS上で SQL によるデータ処理を前提に紹介しますが、この考え方は他の言語や環境におけるデータ処理についても応用できるはずです。 まずクックパッドのDMPと、冪等なジョブについて簡単に説明し、ジョブを冪等にするポイントを挙げます。また、SQL バッチジョブフレームワークである bricolage を使った、冪等なジョブの実装例を示します。 クックパッドのDMPと冪等なジョブ クックパッドのプライベートDMPは、データウェアハウス(社内の巨大な分析用データベースで、クックパ
OSSへフィードバックしてみたいけど、英語でどう書けばいいのか分からない - 2019-07-12 - ククログ
結城です。 ここまで、OSSへのフィードバックをやってみようとした時に躓きがちなポイントについて、フィードバックするトピックの見つけ方、報告に盛り込むとよい内容、その情報の送り届け先の選び方の知見をそれぞれ述べてきました。 ところで、それらの技術的な内容以前のハードルとして、言語の壁という物もあります。実際にOSS Gateワークショップでも、フィードバック内容をまとめた後、英語でそれを書き直すという段階で手こずっておられる方がかなり多い印象があります。 ITエンジニア向けに「こういう英語表現を覚えよう」という情報を紹介する記事は時々見かけます。ですが、ワークショップでビギナー参加者の方が英語を書くのに苦労している様子を実際に見ている印象では、必要なのはそういった記事で紹介される「実際の現場でよく使われる単語や熟語の情報」ではなく、「実際の現場で英文を書く時に行われる考え方の解説」の方であ
REST API のテストに Postman 使ってたけど Visual Studio Code の REST Client に乗り換えた - かずきのBlog@hatena
くっ、名前だけ知ってたけどこんなの便利だとは…!! marketplace.visualstudio.com Azure API Management の Visual Studio Code 拡張機能で API のテスト呼び出しに REST Client が使われてるので使い始めてみたのですが「あっ、ハイ。便利っすね…」という感想しか出てこないくらい便利でした。 普通に HTTP のリクエストをテキストで用意しておくと Send Request 押すだけでレスポンスを出してくれる…。 先人の方々が沢山紹介してくれてる記事があるので詳しい使い方とか推しのポイントはそちらを見るとわかりやすいと思います! qiita.com 私の推しポイント 上記記事にも書いてありますが、1ファイルで複数のリクエストを書いておいて、個別に実行できるので特定の API をテストで叩くためのファイルを 1 つ用意
7payの「二段階認証導入」は正解か? セキュリティ専門家、徳丸氏の視点
不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
Goを学ぶときにつまずきやすいポイントFAQ | フューチャー技術ブログ
他の言語になれた人が、初めてGoを書いた時にわかりにくいな、と思った部分はどのようなところがあるのか、難しいポイントはどこか、という情報を自分の経験や、会社の内外の人に聞いたりしてまとめてみました。まだまだたくさんあるのですが、多すぎるのでまずはこんなところで。コンテナで開発することがこれからますます増えていくと思われますし、その時にコンテナとの相性が抜群なGoをこれから使い始める人もどんどん増えていくと思います。 Goは特に言語のコアをシンプルに、何かを実現するときはそのシンプルな機能を組み合わせて実現しよう、というコンセプトです。つまり、他の言語で実現したいこと・できていることに比べて、Goは組み合わせ(イディオム)でカバーする領域が広くなります。そのあたりのとっかかりになる情報を提供することが、これからGoを触る人にとってつまずきを減らすことになると思います。 Go Conferen
年収200万円から見る東京
はてブを見てたら「年収200万円で東京住んでるとかあり得ない。釣りだろ」みたいなコメントを見かけて、ちょっともにょっとしたので、思ったことを書いてみる。 ちなみに、TRADING ECONOMICSによると、南アフリカの平均月収は20,855ZAR(=約16万円=年収約192万円)【2019年第1四半期のデータ】 年収200万円で東京に住んでる人はものすごくたくさんいるという事実 東京における非正規雇用の比率東京都総務局統計部が出している労働力に関するデータ「平成30年平均 > 第 3 表 年齢階級別就業状態(男女計)」によれば、東京都の就業者数は平成30年の平均で約792万人だった。うち、25~34歳は約160万人で、20%を占める。若者がそんなに少なくないことがうかがえる。 また、「第 8 表 年齢階級、雇用形態別の役員を除く雇用者数」によれば、平成30年平均で、正規雇用は429万人、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
なぜ Go はマイクロサービスのための言語なのか - Why Go is a language for microservices