GitHub - roottusk/vapi: vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top 10 scenarios through Exercises.You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Swaggerに深刻な脆弱性、NodeJS、PHP、Ruby、Javaなどのコードジェネレータに影響
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2016-06-24 10:29 「Swagger」の仕様に、NodeJS、PHP、Ruby、Javaのコードジェネレータツールに影響を及ぼす脆弱性が発見された。 Rapid7によれば、この脆弱性は、これらの言語用のSwagger Code Generatorを通じて生成された、インジェクション可能なコードペイロードに見つかった。この脆弱性が悪用されると、攻撃者は遠隔からクライアントまたはサーバ内でコードを実行して、サービスシステムの定義に干渉できる。 同様の他のプログラミング言語用のツールにも、同じ脆弱性が存在する可能性がある。 Swaggerの仕様は寄付され、現在はOpen API Initiative(OAI)の基盤となっており、REST APIの記述のベースとして使用されている。このフ
日産「リーフ」のアプリに脆弱性、他人の車を遠隔操作可能に
アプリのAPIに認証の仕組みがなく、車両識別番号の下5ケタが分かれば、他人の車を制御できることが判明。オーストラリアからインターネット経由で、英国にあるリーフのエアコンやファンを作動させたり、運転履歴を取得することができてしまった。 日産自動車の電気自動車「リーフ」の専用アプリに、他人のリーフのエアコンなどを遠隔操作できてしまう脆弱性があることが分かり、セキュリティ研究者が2月24日、ブログで詳細を公表した。地球の裏側から他人の車を操作する実証ビデオも公開している。 セキュリティ研究者トロイ・ハント氏のブログによると、問題が発覚したきっかけは、同氏がノルウェーで行ったワークショップで、たまたまリーフを保有している参加者が、iPhoneアプリのリスクを指摘したことだった。 詳しく調べたところ、リーフのアプリのAPIには認証の仕組みが実装されておらず、個々の車に割り当てられている車両識別番号(
HashiCorp社が出したVaultとはどういうものなのか - 理系学生日記
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
各社のログインAPIで返ってくるIDは何であるのかと、PPIDの現状について
Linuxユーザ管理の決定版? 〜STNSとサーバレスで夢が広がる〜【cloudpack大阪ブログ】 - Qiita
Walti サーバーサイドのセキュリティ スキャンを身近に
