PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG CCC 2021 Spring)Koichiro Matsuoka
moth Moth is a VMware image with a set of vulnerable Web Applications and scripts, that you may use for: Testing Web Application Security Scanners Testing Static Code Analysis tools (SCA) Giving an introductory course to Web Application Security The motivation for creating this tool came after reading "anantasec-report.pdf" which is included in the release file which you are free to download. The
今までの攻撃PHP技術の件以外にも攻撃手法が載っていたので学んだことを書いていきます HTTPヘッダインジェクション ユーザー入力された値を元にHTTPヘッダを出力するロジックが存在する時に注意。 header()関数の引数にGETの内容などを渡していると、ヘッダの出力を想定してもボディ部として扱う(=改行コードをはさんでボディのように見せかける)ことができる。 header('Location:'.$_GET['input']);など。XSSとかできます。 危ないことは直感的にわかるので、しないことが第1。 どうしても必要な場合は、ホワイトリストを作って置いてマッチングする。 HRS(HTTP Request smuggling) HRSについて調べました リクエストに矛盾が発生するとアプリケーションの仕様によって脆弱性を作ってしまうことがある。 例えば、リクエストを監視しているアプリケ
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Private Processing All processing is done on your device. No files are uploaded to the server. Get Job Done Fast Process your files in seconds – save time for more important tasks.
SVG-cardsはトランプをSVGでデザインしたソフトウェア。 SVG-cardsはSVG製のオープンソース・ソフトウェア。コンピュータ上でできるゲームを考えたとき、誰でも簡単にできて分かりやすいのがトランプではないだろうか。古今東西、誰もが知っているし、できる遊びも多数ある。Windowsではソリティアはとても人気のあるゲームだ。 トランプ! そんなトランプゲームを開発する際に、一つ一つのカードについて画像で作成していくのはとても大変であるし、プログラムから使う時の相性もあまり良くない。そこで使ってみたいのがSVG-cardsだ。 SVG-cardsはトランプの画像をSVGで作成したファイルだ。ハート、ダイヤ、クローバー、スペードの四種、1〜10までの数字とJQKの絵札、さらにジョーカーとトランプの裏画像とすべてまとめて一つのSVG画像になっている。SVGだからいくら拡大しても線が乱れ
Evernote のニュースEvernote で起きている変化、改善について興味はありますか? これらの記事は私たちが取り組んでいることをご紹介しています。ぜひご覧ください 新着情報未来をデザイン:2024 年は Evernote のインターフェースをアップグレードEvernote の新しいユーザーインターフェースではデザインがシンプルになり、読みやすくなっただけでなく、最新のカラーパレットと鮮やかなパターンで若返りを図り、一目で Evernote とわかるビジュアルになりました。新しいアプリ体験では作業内容が主役として輝きます。また、Evernote.com も刷新されることになりました! もっと読む
Review Boardならコードレビューを効率良くできる!:ユカイ、ツーカイ、カイハツ環境!(19)(3/3 ページ) Review Boardを使うための環境構築 本稿では、OSにUbuntu 10.10を利用したインストール例を紹介します。他の環境の場合は、適宜パッケージ名などを読み替えてください。 依存パッケージのインストール Review BoardはPythonで記述されています。WebサーバとしてlighthttpdかApacheが必要です、データベースとしてはDjangoがサポートしているものが利用できます。 今回は、ApacheとSQLiteを利用したセットアップ例を紹介します。まず、「apt-get install」コマンドでパッケージ「gcc」「python-dev」「python-svn」「python-setuptools」「sqlite3」「python-pys
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
こんな時に使おう。 Twitterに流したいんだけど全員には見られたくない... オフ会参加者に周知内容を送りたいけどダイレクトメッセージ面倒... フォローされてないからダイレクトメッセージが送れない... Meity なら... メッセージは指定したTwitterユーザーのみ閲覧できます。 メッセージのメンバーはフォロー状態に関係なく指定できます。 さらに便利に使えます! メッセージには140文字以上入力出来ます。 スケジュール調整機能が使えます。 メッセージの公開先をTwitterのリストで指定できます。 メンバーはメッセージにコメントをつけられます。 新着コメントの通知を受け取れます。 ケータイからも使えます。
『るびま』は、Ruby に関する技術記事はもちろんのこと、Rubyist へのインタビューやエッセイ、その他をお届けするウェブ雑誌です。 Rubyist Magazine について 『Rubyist Magazine』、略して『るびま』は、日本 Ruby の会の有志による Rubyist の Rubyist による、Rubyist とそうでない人のためのウェブ雑誌です。 最新号 Rubyist Magazine 0058 号 バックナンバー Rubyist Magazine 0058 号 RubyKaigi 2018 直前特集号 Rubyist Magazine 0057 号 RubyKaigi 2017 直前特集号 Rubyist Magazine 0056 号 Rubyist Magazine 0055 号 Rubyist Magazine 0054 号 東京 Ruby 会議 11 直
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く