How I found a $5,000 Google Maps XSS (by fiddling with Protobuf)
A few months ago, I used Google Maps. Or maybe Google Street View, I love Street View, it’s like a retrofuturistic way to teleport. Routinely, I looked at the address bar. Since sometime in 2014, parameters are not the mere query string they used to be. Instead, it’s a weird mash of alphanumeric characters separated by exclamation points. It’s abstruse, it has no public documentation whatsoever, i
Return-oriented programming以後 | 一生あとで読んでろ
はじめにReturn-oriented programming(ROP)が提唱されて久しい.CTFにおいても,ROPは当たり前のように要求される技術となってきている.一方で,ROPに代わる新たな攻撃手法も模索されている.ここでは,そういったROP以後の攻撃手法を概観する. Return-oriented programmingコンセプトまずは簡単にROPをおさらいする. ROPは主にハードウェアDEPという脆弱性対策技術に対抗するために編み出された攻撃手法である.ハードウェアDEPはCPUのNX bitを有効化することで,スタック上でコードを実行する攻撃を無効化する. そこで,ROPはコード領域のretで終わる命令列(gadget)を実行することによってこれを回避する.単体のgadgetではわずかな処理しか行えないが,スタックに次のgadgetのアドレスを積むことで,gadgetを組み合わ
Gitの脆弱性(CVE-2018-11235)を雑に調べた - 試運転ブログ
先日、Gitの脆弱性(CVE-2018-11235)が発表されました。 NVDのDescriptionには以下のように説明されています。 NVD - CVE-2018-11235 In Git before 2.13.7, 2.14.x before 2.14.4, 2.15.x before 2.15.2, 2.16.x before 2.16.4, and 2.17.x before 2.17.1, remote code execution can occur. With a crafted .gitmodules file, a malicious project can execute an arbitrary script on a machine that runs "git clone --recurse-submodules" because submodule "nam
Slack の GDPR へのコミットメント | リーガル情報
トラストセンターの操作方法追加 ポリシー ページ法律のナビゲーションを終了するSlack はじめてガイド概要プライバシープライバシーSlack プライバシーポリシープライバシーに関するよくあるご質問(FAQ)データリクエストデータリクエストデータリクエストの概要データリクエストのポリシー透明性レポートコンプライアンスコンプライアンスCookie ポリシーSlack の GDPR へのコミットメントカリフォルニア州消費者プライバシー法(CCPA)に関するよくある質問CCPA 指標開示FERPA Compliance個人情報保護基本方針セキュリティセキュリティ概要データ管理データ管理透明性および統制プライバシーに対する基本理念 : 検索、学習、インテリジェンスリーガル情報データ管理法的概要 本書は、お客様のご参考のために作成された英語版の参考訳であり、可能な限り正確であるように努めていますが、
今日からGDPR施行だけど実は何もしてなかったぜというWEB担当者のために書いた - フジイユウジ::ドットネット
こんにちはこんにちは。5月25日ですね。 今日からGDPR施行じゃないですか。 ヤバくない? 何もしてなくない? やっべえな、というWEBサイト担当者/アプリ開発者のためにブログをしたためます。 内容的には「GDPR、何をしたらいいかも何もわからん」という人向けです。これでバッチリ適法、というレベルになるわけではないことは理解して読んでね。 できる限り適切に書いているけれど、この通りにしたら酷い目に遭ったぞなどのクレームは受け付けません(免責)。 あと、プライバシー保護ガチ勢の人はユルい内容に怒らないで欲しい。間違いへのツッコミかあれば歓迎ですが優しくお願います。 長いからこれだけ読んでおくと大丈夫 ① 欧州圏からアクセスできるとかユーザー1人いるとGDPR対象事業者になる、わけじゃない ② プライバシーポリシー更新してるだけで対応済みとしている企業も多い セキュリティコンサル的な会社が専
JITコンパイルでの冒険 パート1:インタプリタ | POSTD
本記事は、JITコンパイラに関するシリーズの第1回目です。計画としては、シンプルな入力言語を使ってそのインタプリタとJITをいくつか開発し、段々と複雑なものにしていくつもりです。このシリーズが終わるまでに、JITコンパイラの開発に何が必要か、そのためにどんな支援ツールが使えるかを、読者の皆さんによく理解していただけるようになれば幸いです。 入力言語は Brainfuck です。本シリーズでは以後、BFと呼んでいきます。BFはプログラマビリティの本質を突き詰めるので、今回の目的に適した言語だと思います。BFは、プログラミングは非常に冗長ですが、なじみのC構造体に直接マップするメモリポインタやループのような概念を持つ点で、プログラミング言語としてはかなりの”メインストリーム”です。 実装言語にはC++を使います。”手始め”の言語としては一般的ではないかもしれません。とはいえ、私の知っている大部
コンピュータシステムの理論と実装
コンピュータを理解するための最善の方法はゼロからコンピュータを作ることです。コンピュータの構成要素は、ハードウェア、ソフトウェア、コンパイラ、OSに大別できます。本書では、これらコンピュータの構成要素をひとつずつ組み立てます。具体的には、NANDという電子素子からスタートし、論理ゲート、加算器、CPUを設計します。そして、オペレーティングシステム、コンパイラ、バーチャルマシンなどを実装しコンピュータを完成させて、最後にその上でアプリケーション(テトリスなど)を動作させます。実行環境はJava(Mac、Windows、Linuxで動作)。 ● 本書のサポートサイト ● 本書で使用するツール「Nand2tetris Software Suite」 ● 「Nand2tetris Software Suite」のチュートリアル 目次 賞賛の声 訳者まえがき:NANDからテトリスへ まえがき イント
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
