webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
Jenkins はじめました + ほか3つ - mixi engineer blog
こんにちは。加藤和良です。 まずあの話を書いて、それを前提にあの話を書いて、みたいなキューが筆者の中にはあったのですが、正直キューの先端につまってる話はだんだん個人的な関心および記憶がうすれてきました! 昔のはなしですからね。 というわけで、最近のまとめをさらっと書いて、新しいネタをすぐ書ける状態にリセットしたいと思います。 Jenkins mixi ではバージョン管理システムとして Subversion を使っています。安定した、いつでもリリースできるバージョンを trunk に、開発中の機能は branches 以下に作業ブランチをつくり、レビューや QA などの後に trunk にマージする、という運用です。 Buildbot はこのうち trunk だけを追っていたのですが、徐々に「このブランチも Buildbot で追うようにして、結果をこの IRC チャンネルに書きこんでほしい
YappoLogs: 【動画有り】MacBookとPlaggerServerで盗難対策ソリューションを構築
【動画有り】MacBookとPlaggerServerで盗難対策ソリューションを構築 このネタもそろそろ終わり。 Push::Move - MacBookが動かされるのを検知してPlaggerのjobが走るPlugin 誰かがMacBookを勝手に持ち出したら携帯にメールとかできるですよ。 動かしたときにiSightで画像をとってenclosureに画像を突っ込んでメールするとか。を実装しただけなんですけどね。 go youtube やってる事は、誰かがMacBookを動かしたら「つうほうしますた!」と音声で警告しつつDVDをEjectをして威嚇してる隙にiSightで顔写真をとってMacBookの持ち主に警告メールを送ってます。 で、最後にshutdownしてデータの保護を行います。 まだまだ応用できそうですね。でもPlagger本来のFeedとか関係ないですね。でも物理と繋がると楽しい
Multiuser Drawing Pad Built with Pure JavaScript/HTML5/Canvas • The Union Platform, By USER1
This example shows how to create a simple multiuser drawing pad (aka shared whiteboard, multiuser sketchpad, or collaborative painting tool) using pure JavaScript and HTML5's <canvas> tag. The drawing pad updates in realtime when any connected user draws a line. Here's UnionDraw. Have a scribble! [View source] To manage communication between users, the JavaScript code uses OrbiterMicro, which conn
NodeJs Library In Client-Side
This page demonstrates client-side usage of some of the modules in NodeJS library. Why? NodeJS' library contains some modules (e.g assert) that we need to use in client-side, also. I especially want to use crypto module in client-side and will give a try to emscripten this week. Download node.js Browse the Source Code How It Works? The only difference between the backend platforms CommonJS designe
テスト駆動開発のすすめ - Perl日誌
hachiojipmに行ってきたのですが#4でも#5でもTestを書くのが難しいという声が聞こえたので「テストは書いてみると簡単」「テストがあると開発が楽」という事を伝えてみようと努力する試みです。 ということでサンプルコードを書いてみました。 https://github.com/okamuuu/Sample-Plack-Test 紹介するサンプルコードについて ここで紹介しているスクリプトはある男がBlogを作ろうと思ったがどうせたいしたことしないので俺俺WaFをつくってやろうとして実際にやったテスト駆動開発です。 おもむろにt/web.tとかつくってみる 最初にテストを書いてみましょう。 #!/usr/bin/env perl use strict; use warnings; use Test::Most; use Plack::Test; use HTTP::Request::C
高速化は一夜にしてならず | gaspanik weblog
ちまたではPHPのflush()を使ったWordPressのプラグインが話題のようですが、Webサイトの表示速度を改善したかったら、もう少しサイトの作り方を根っこから考えなおした方がいいんじゃないか?、と思いましてね…。 公開されているプラグインにどうこう言うつもりはなく、諸手を挙げて喜んでらっしゃる世間様の様子を見ながら「なんかなぁ…」「入れる前にできることあるんじゃないかな?」と。ちなみにボクも昔flush()での手法を試したことがあるんですけど、結局すぐやめちゃいました。 回線速度自体は昔に比べたら格段にあがってるのは事実ですが、いまとなっては環境としては比較的貧弱なスマートフォンみたいなデバイスも増えています。 サーバの負荷が気になるとか自分とこじゃできないなどの理由で、テキストデータをGzip化(データサイズが半分以下になる)しないのであれば、その他の部分でサイトの全体的な転送デ
Hachioji.pm#5に行ってきたご報告 | hirobanex.net
2011/5/28にhachioji.pmの第四回に行ってきたので、またまたいまさらながら、自分なりにまとめつつ、次回のLTのアイデアも含めつつ、ご報告。 Hachioji.pmとは Hachioji.pmとは、東京の多摩地域を中心にプログラマの交流を目的とした集まりです。基本的に、18:00~飲食店でスタートして飲食店でライトなLTをやる新感覚の集まりです。今まで、年始より毎月月末の土曜日に開催されています。開催頻度的にも割とホットな集まりになっていると思います。 気になったLTとかメモ 今回は、二軒目でのLT開始だったので、かなり酔っ払っていてあまり覚えてないです・・・。なので、もらった資料とみなさんのレポートを見ながら思い起こしてみました。 cobblerで快適サーバ管理 by nekoyaさん OSのイメージみたいのを作れるらしい。ubuntuだとどうだろうと興味をもちました。 T
引数の明示という観点からのPerlモジュール群 | hirobanex.net
Perlモジュールのバリデーターと呼ばれるジャンルのモジュールなどをバリデーションという観点ではなく、引数を明示するという観点から整理しました。 バリデーターの種類 バリデーターというものは、一般的に引数が期待される型など(整数か、文字列か、URLか、メアドか等)になっているかどうかをチェックするというものです。特に、Webアプリにおけるフォームから入力されるデータのチェックに活用されることが多いです。そういういった意味から、Perlのバリデーターモジュールはフォーム系と非フォーム系に分類することができます。 フォーム系のバリデーター等 FormValidator::Lite CPAN本にも紹介されている強力なフォームバリデーターです。フォームバリデーターとしては、フォームの型の定義、チェック、エラーメッセージの定義、が必要ですが、やりたいであろうことのだいたいがそろっているモジュールで実
Perl で WebSocket クライアント(AnyEvent)&サーバ(psgi) - Practice of Programming
こんなんでいいかなぁ。その2。 forkじゃアレなんで、AnyEventで書いてみた(https://gist.github.com/1000223)。 追記: 以下、to_stringですが、Protocol-WebSocket-0.00906 では、Protocol::WebSocket::Handshake は to_bytes に変わっているようです。 #!/usr/bin/perl use utf8; use strict; use warnings; use AnyEvent; use Protocol::WebSocket::Frame; use Protocol::WebSocket::Handshake::Client; use IO::Socket; use constant {READ => 0, WRITE => 1}; $| = 1; run(); sub run
Crowsnest [ソーシャル・ニュースリーダー]
Crowsnestは、誠に勝手ながら、このたびサービスの提供を終了させていただくこととなりました。 これまでご利用いただいた皆様には、ご迷惑をおかけすることを深くお詫びいたします。 2011年のサービス開始以来、Crowsnestをご愛顧いただき、ありがとうございました。
Unicode ⇔ UTF-8バイト列なコード - hogehoge @teramako
vs UTF-8, UTF-16, UCS4 - 枕を欹てて聴くを読んだは良いけどやってみないと良く分からん>< あ〜んど プログラマのための文字コード技術入門 (WEB+DB PRESS plus) (WEB+DB PRESS plusシリーズ) 作者: 矢野啓介出版社/メーカー: 技術評論社発売日: 2010/02/18メディア: 単行本(ソフトカバー)購入: 34人 クリック: 578回この商品を含むブログ (129件) を見るは買ってあるけどきちんと読んでないなあ ということで、本のほうを見ながらUnicodeの変換をやってみた。 やったのは UnicodeからUTF-8バイト列 UTF-8バイト列から文字列 正直正常系しか試してないので正しいコードか分からないけど、UTF-8の4バイト文字が可逆変換できたので良しとしている。 勉強になったこと もちろん、変換方法の勉強になったのだ
Webアプリケーションの脆弱性テストフレームワーク「w3af 1.0」リリース - SourceForge.JP Magazine : オープンソースの話題満載
Webアプリケーションの脆弱性を発見するフレームワーク「Web Application Attack and Audit Framework(w3af) 1.0」が公開された。SourceForgeのプロジェクトページよりダウンロードできる。 w3afはWebアプリケーションの脆弱性を発見したり、実際に脆弱性に対する攻撃を行うためのフレームワーク。開発者やセキュリティ研究者が、Webアプリケーションのセキュリティ検査やテストに利用することを想定している。プログラムはPythonで書かれており、GPLで公開されている。コアのほか、SQLインジェクション、クロスサイトスクリプティング(XXS)などをチェックできる130種以上のプラグインを持つ。 初の正式版では、コードの安定性、自動アップデートなどの特徴を持つ。クラッシュを最小限に抑え、常に最新機能を使えるという。 新機能としては、PHPの静的
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.chasen.org/~taku/publications/mecab-sigkbs-20070115.pdf
Web開発者の皆様へ - Firefox5周りでの変更点について
Windows API リスト: Windows API、Win32 API、Win32API
http://dl.dropbox.com/u/218108/files/sphinx-reverse-dict/index.html