GitHub - w181496/Web-CTF-Cheatsheet: Web CTF CheatSheet 🐈You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
Practical Web Cache Poisoning | PortSwigger Web Security Blog
Published: 09 August 2018 at 23:20 UTC Updated: 02 October 2023 at 14:39 UTC AbstractWeb cache poisoning has long been an elusive vulnerability, a 'theoretical' threat used mostly to scare developers into obediently patching issues that nobody could actually exploit. In this paper I'll show you how to compromise websites by using esoteric web features to turn their caches into exploit delivery sys
Cookie の性質を利用した攻撃と Same Site Cookie の効果 | blog.jxck.io
Intro Cookie はブラウザによって保存され、紐づいたドメインへのリクエストに自動で付与される。 この挙動によって Web におけるセッション管理が実現されている一方、これを悪用した攻撃方法として、 CSRF や Timing Attack などが数多く知られており、個別に対策がなされてきた。 現在、提案実装されている SameSite Cookie は、そもそもの Cookie の挙動を変更し、こうした問題を根本的に解決すると期待されている。 Cookie の挙動とそれを用いた攻撃、そして Same Site Cookie について解説する。 Cookie の挙動 Cookie は、 Set-Cookie によって提供したドメインと紐づけてブラウザに保存され、同じドメインへのリクエストに自動的に付与される。 最も使われる場面は、ユーザの識別子となるランダムな値を SessionI
Webデバイストラッキング手法の紹介
サイバーエージェントの実践×実験Snowflake 導入の経緯から最新機能のトライアルまで / How Snowflake Is Used In CyberAgent - Go To the Future
Top 10 Web Hacking Techniques of 2017 | PortSwigger Web Security Blog
Published: 11 October 2018 at 14:40 UTC Updated: 05 January 2021 at 14:10 UTC The verdict is in! Following 37 nominations whittled down to a shortlist of 15 by a community vote, our panel of experts has conferred and selected the top 10 web hacking techniques of 2017 (and 2016). The panel consisted of myself, and distinguished researchers Gareth Heyes, Nicolas Grégoire, Frans Rosén, and Soroush Da
Zalando RESTful API と イベントスキーマのガイドライン
License: CC-BY-SA 3.0 © Zalando SE 2020 & CC-BY-SA 3.0 © kawasima 2020 Zalandoのソフトウェアアーキテクチャは、疎結合なマイクロサービスを中心としており、 それらはJSONペイロードをもつRESTful API群によって、機能が提供されています。 小さなエンジニアのチームは、自分たちでAWSアカウントにこれらのマイクロサービスを デプロイしたり運用したりしています。 私たちのAPIは、その多くが私たちのシステムが何をするのかを完全に表現しており、 それゆえに貴重なビジネス資産となっています。 Zalandoがとあるオンラインショップから価値あるファッションプラットフォームへと変貌を とげるために、私たちは新しいオープンプラットフォーム戦略の展開をはじめました。 なので、高品質で長持ちするAPIの設計は、私たちにとっ
リニューアルした日経電子版が高速すぎてヤバイ件|こんぴゅ
日本経済新聞は国内を代表する経済誌だ。その電子版はwebでの継続課金を大成功させ、いまや50万以上の有料会員を擁するモンスターサイトだ。 その日経電子版が11月6日に全面リニューアルしたのだが、公開後、web業界がにわかにざわついた。表示速度が爆速だったのだ。日経公式もモバイルで2倍の表示速度を達成したと堂々と宣言していた。 webサービスは継続率こそ神KPIで、その継続率には速度が大きく影響する。 これはチェキらないとヤバイと感じ、友人のkitakさんとスピードの秘密を調査してみた。 Fastlyをコンテンツキャッシュに使う殆どのデータはFastlyを経由して取得されていた。Fastlyは最近注目を集めているCDN(世界中にエッジサーバーを配置し、高速にコンテンツを配信するサービス)で、非常に高機能でユニークなサービスだ。 一般に、CDNはいったん世界中にコンテンツをばらまくと、それを無
JWT.IO
JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties. JWT.IO allows you to decode, verify and generate JWT. Learn more about jwtSee jwt libraries Warning: JWTs are credentials, which can grant access to resources. Be careful where you paste them! We do not record tokens, all validation and debugging is done on the client side.
Wayback Machine
We’re fighting to restore access to 500,000+ books in court this week. Join us! Can You Chip In? Please don't scroll past this—the Wayback Machine is fighting for universal access to quality information. The Internet Archive, which runs this project, relies on online donations averaging $15.58 to help us keep the record straight. We'd be deeply grateful if you'd join the one in a thousand users th
.gitディレクトリをwebサーバの公開ディレクトリに保存することについて - yasulib memo
webサーバに.gitディレクトリが公開されている状態でどういったリスクがあるのかについてメモしておきます。 webサーバ [root@localhost html]# cat /etc/redhat-release CentOS release 6.7 (Final) webサーバにアクセスしてみた結果 % curl http://target/.git/ <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN"> <html><head> <title>403 Forbidden</title> </head><body> <h1>Forbidden</h1> <p>You don't have permission to access /.git/ on this server.</p> <hr> <address>Apache/2.2.15
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webアプリケーション実行環境におけるセキュリティ - Speaker Deck
Website Security | US-CERT
http://sectanlab.sakura.ne.jp/seminar/2014_malware/03_web.pdf
https://github.com/k-tamura/easybuggy4django/blob/master/README.jp.rst
OWASP Juice Shop - An Intentionally Insecure Webapp For Security Trainings Written Entirely In Javascript
GitHub - WebAppPentestGuidelines/WebAppPentestGuidelines: Webアプリケーション脆弱性診断ガイドライン
Web Application Security Testing Cheat Sheet - OWASP
CODE BLUE 2016 - 機械学習でWebアプリケーションの脆弱性を見つける方法
Webシステム/Webアプリケーションセキュリティ要件書 2.0 - OWASP Japan セキュリティ要件定義書ワーキンググループ
GitHub - yahoo/gryffin: Gryffin is a large scale web security scanning platform.
