Masato Kinugawa Security Blog: hiddenなinput要素でユーザー操作を使わずにXSS
徳丸さんがブログで紹介されたことで、<input type=hidden>でのXSSが話題になっていますね! hiddenなinput要素のXSSでJavaScript実行 | 徳丸浩の日記 http://blog.tokumaru.org/2016/04/hiddeninputxssjavascript.html 僕もちょうど、個人での検証の過程で発見した、hiddenでのXSS手法について、そろそろ共有しようと思っていたところでした。皆の関心が高いうちに、もう1つの方法を共有したいと思います! 徳丸さんのコードに倣って紹介します。今回は問題を簡単にするためにX-XSS-Protection:0をつけさせてもらいます。 <?php header('X-XSS-Protection:0'); header('Content-Type:text/html;charset=utf-8'); ?
hiddenなinput要素のXSSでJavaScript実行
脆弱性診断をやっていると、たまにtype=hiddenのinput要素にXSSがあるけど、現実的な攻撃には至らないものにぶちあたることがあります。サンプルコードを以下に示します。 <body> 入力確認をお願いします。 <?php echo htmlspecialchars($_GET['t']); ?><br> <form action='submit.php'> <input type='hidden' name='t' value='<?php echo htmlspecialchars($_GET['t']); ?>'> <input type='submit'> </body> 正常系の呼び出しは下記のようになります。 http://example/hidden-xss.php?t=yamada HTMLソースは下記の通りです。 <body> 入力確認をお願いします。 yamad
How We Build Code at Netflix
How does Netflix build code before it’s deployed to the cloud? While pieces of this story have been told in the past, we decided it was time we shared more details. In this post, we describe the tools and techniques used to go from source code to a deployed service serving movies and TV shows to more than 75 million global Netflix members. The above diagram expands on a previous post announcing Sp
Falcor: One Model Everywhere
One Model Everywhere Falcor lets you represent all your remote data sources as a single domain model via a virtual JSON graph. You code the same way no matter where the data is, whether in memory on the client or over the network on the server. The Data is the API A JavaScript-like path syntax makes it easy to access as much or as little data as you want, when you want it. You retrieve your data u
LINE BOT をとりあえずタダで Heroku で動かす - Qiita
とにかく今すぐ Heroku にデプロイしたい方はこちら。 (要 LINE BOT API のトライアルアカウント) LINE BOT API の呼び出しには Server IP Whitelist に接続元 IP の指定が必要とのことで、Heroku だと難しいかなー、と思いましたがアドオンで解決できました。 Fixie これを使うと HTTP プロキシの URL が発行され、それを通してリクエストすればアウトバウンド IP を固定できるというものです。 無料プランもあるのでそれを使えばとりあえずタダで試せます。 (最初に Proximo という類似アドオンを試そうとしたけどそっちは無料プランなかったので無駄に $5 取られるっぽい。つらい) これを実行するとアウトバウンド IP が出力されるので、それを LINE BOT API の Server IP Whitelist に登録します
だれがなぜMongoDB辞めたんですか?(Quora訳) - Qiita
Google Trends でも引き続き勢いのある MongoDB ですが、一方でちらほらネガティブな意見も聞かれます。Quora に記事を見つけたので訳してみました (ちょっと古いですが時々更新されています)。章立てを少し追加していますが、それ以外は直訳です。 まとめ MongoDB は色々な特徴があって使いやすいハイブリッドなDB。でも、特定の機能を重視するなら特化したDBを使いましょう。 大量のデータをMap/Reduceしたいなら、Hadoop Key/Value の大量の操作ならスケールする Riak キャッシュとして使いたいなら、Membase, Redis, HBase キューとして使いたいなら、RabbitMQ, ActiveMQ, ZeroMQとか 検索用途で使いたいなら Solar & Sphinx とか 翻訳 Q.どの企業がなぜMongoDBをやめたんですか? A.ま
LINE Bot API の HTTPS Callback は Amazon API Gateway を使うと簡単便利安価で最高 - おともだちティータイム
追記 (4/15) 現在は Let's Encrypt の証明書が利用できるようになっているようです。なので「https で Callback が受け取れない」と言う理由のためだけに Amazon API Gateway を使う必要も無くなりました。 LINE Bot API は Callback URL が https のみで、しかも Let's Encrypt や StartSSL と言った無料の証明書が使えない。どうにか安価で Bot を動かしたいとなると Heroku のようなドメインを指定しなければ Wildcard 証明書が割り当てられている PaaS を使うのが一般的でしょう。 しかし Heroku は外に抜ける IP アドレスがどんどん変わっていくので、 Bot API の IP Whitelist に登録することが出来ない。仕方無いので Heroku に rack-rev
RE: "インフラの仕事がしたいのに求人がない"について - Studio3104::BLOG.new
当エントリはこちらのエントリに対してのアンサーソングです。 whywaita.hateblo.jp このような辛辣とも思える ブコメ をしただけでは前途ある若者が業界に失望してしまうかもしれないのでちゃんと書いておく。 "インフラの仕事がしたいのに求人がない"について - なぜにぽえむ 何を指してインフラエンジニアとしたいのかわからんけどそれなり以上のところでコードも書けないでぽちぽちコマンド叩くだけの仕事なんてねえよ > "「エンジニア」って一括りにされてる例が多い… (アプリケーションの 2016/04/13 14:31 b.hatena.ne.jp このようなシゴトがしたい、 大規模なサービスのサーバ管理とかしたい イケてるインフラ管理としてクラウド使ったりしたい 自社のバックボーンで足りなくなったリソースをクラウドに外だししたりとか でも実際には こういう求人がない… インターンも
ワイヤーフレームを捨ててHTMLプロトタイプに移行した結果 | ベイジの社長ブログ
私たちの会社では長らく、画面設計といえばPowerPointを使い、ワイヤーフレーム(以下、WF)を作っていました。Web制作会社における非常にスタンダードなやり方であったため、ベターな方法と受け入れつつも、例えば以下のような無駄も多く、決してベストではないとも感じていました。 設計者がコーダーに文書構造の意図を説明する時間の無駄 設計者が考えたファイル構造やヘッダ情報を定義するためのドキュメントの無駄 コーディング時にWFやPSD上のテキストをコピペして移し替える無駄 リンク構造や動き、使い勝手を紙面上で表現しようとする努力の無駄 共通パーツに修正が入った時に各ページごとに修正を入れていく無駄 PC用とスマホ用の2種類のWFを作る無駄 更新するたびに新しいWFを印刷する紙の無駄 いずれも工夫次第で軽減できる問題でしたが、意思疎通のための中間成果物の体裁を整えるための多くの時間が無駄では?
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
vimの備忘録 - Qiita