![Hiromitsu Takagi on Twitter: "まあいいんですよ。各所で記載したIPAのURLは直さなくてもそのままでいい放っておけばいい。読者がリンク先に行ってIPAで404を目にするだけ。ああIPAってそういう組織なんだなあって読者が思うだけ。記載した側に「URL間違ってませんか?」と問い合わせが来たら、知らんわIPAに聞けやと応じればOK。"](https://cdn-ak-scissors.b.st-hatena.com/image/square/1be3eb39dffed7679b6a591a3f4e6c0450dc424d/height=288;version=1;width=512/https%3A%2F%2Fpbs.twimg.com%2Fprofile_images%2F415478705859743744%2FGowhOpzo.jpeg)
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
urllib.parse — Parse URLs into components¶ Source code: Lib/urllib/parse.py This module defines a standard interface to break Uniform Resource Locator (URL) strings up in components (addressing scheme, network location, path etc.), to combine the components back into a URL string, and to convert a “relative URL” to an absolute URL given a “base URL.” The module has been designed to match the inter
10年前から存在しますが、たまたま見かけて「5へぇ」くらいは出たので敢えて紹介してみたいと思います。 ⚠ git.io は 2022/4/29 にサービス終了しました 2022/1/11に新規の短縮 URL の作成を廃止し既存の短縮 URL のリダイレクトのみ対応していましたが、2022/4/29をもって既存の短縮 URL のリダイレクトも停止され、実質的に git.io はサービス終了しました。 git.io GitHub 公式の URL 短縮サービスです。 https://git.io/ 特徴として、GitHub 専用の URL 短縮サービスです。 GitHub 公式ブログで2011年11月に取り上げられていたので、10年前には存在していたことが確認できます。 ちなみに Twitter が t.co での URL 短縮を全ツイートに適用し始めたのが2011年10月だそうです。時代ですね
「WHATWG URL」の仕様で、ブラウザにおいて、ホスト名がIPv4でないが、数値で終わるURLは拒否されるように変更された。 github.com 例えば次のようなものです foo.0 bar.0.09 1.2.3.4.5 今まで、これらのホスト名は、その他のドメインと同じように、通常通り名前解決されます。Issueの起案者は、すでに具体的な攻撃があるわけではないとしつつも、紛らわしさや、eTLD+1 (same-site)の扱いの問題があるとのことです。 なお、次のようなものはIPv4アドレスにマッピングされアクセスできます。 http://127.1 http://1.65793 Deprecate support for URLs with non-IPv4 hostnames ending in numbers 実際に、Chromeでは、そのような変更を入れる検討が始まっていま
Firebase Dynamic Links 今の会社ではインフラ系のタスク以外にOffice IT業とかもやっていて、 ちょっと前から会社で利用する短縮URLにFirebase Dynamic Linksを利用しているという話。 公式ドキュメント見れば誰でも設定出来るので設定例とかは割愛。 3行まとめ 独自ドメインで短縮URLが利用出来る。 https://url.glidenote.com/abC みたいな感じ。 Firebase Dynamic Links自体はブラウザから数クリックで利用出来るので一旦構築すれば、運用を手放すことが出来る SaaS短縮URLを使って、セキュリティツールに怒られる事案が減ってOffice IT的な面倒な仕事が減る 他の短縮URLサービスと同様に、パフォーマンス測定も出来るので便利。
manaable(マナブル)は、利用ユーザー数25万人を突破した医療団体向け研修管理システムです。会員や研修から決済・受講・アンケートまで、研修管理に必要な機能を網羅。あらゆる業務の一元管理を可能にしたシステムだからこそ、お客様に合わせた革新的で最適な研修体制をご提供します。 Google URL shortenerのサービス終了 Google URL shortenerは2019年3月30日に終了しました。Google URL shortenerをメールマガジンのリンク設定などに利用してきた企業も多いでしょう。まだ代替のURL短縮サービスの選定に迷っている方は、これから紹介するサービスを参考にしてみてください。 代替のURL短縮サービス では、Googleの公式アナウンスで紹介されていた3つのサービスを紹介します。 Firebase Dynamic Links (FDL) Firebas
DropboxやGoogle Driveといったクラウドストレージにアップロードしたデータを共有する場合など、URLを誰かに伝えることは日常的な行いです。無料で公開されているオープンソースサービス「Link Lock」を使うと、簡単にURLにパスワードをかけることができます。 Link Lock - Password-protect links https://jstrieb.github.io/link-lock/create/ GitHub - jstrieb/link-lock: Distributed application to password-protect URLs using AES in the browser https://github.com/jstrieb/link-lock さっそくウェブサイトにアクセスすると、URLやパスワードを入力する画面が表示されます。
こちらは翻訳記事となります。原著者の許諾を得て翻訳・公開しております。 英語記事: The History of the URL原文公開日: 2020/03/05著者: Zack BloomURL: https://blog.cloudflare.com/the-history-of-the-url/ 1982年1月11日、22 人のコンピュータ科学者が「コンピュータメール」(今日の電子メール)の問題を議論するために集まりました。議論の参加者にはサン・マイクロシステムズを作った人、Zork の開発者に NTP の開発者、そして政府に Unix の支払いをするように説得した人も含まれていました。 問題は単純で、 ARPANET にある455台のホストが制御不能に陥っていたのです。 この問題は、ARPANET がもともとの NCP プロトコルから、今日の”インターネット”と呼ばれる TCP/I
On the 11th of January 1982 twenty-two computer scientists met to discuss an issue with ‘computer mail’ (now known as email). Attendees included the guy who would create Sun Microsystems, the guy who made Zork, the NTP guy, and the guy who convinced the government to pay for Unix. The problem was simple: there were 455 hosts on the ARPANET and the situation was getting out of control. This issue w
1996年にcurlプロジェクトの先駆けとなるhttpgetを始めたとき、私は初めてURLパーサを書きました。当時はまだ、ユニバーサルアドレスは URL : Uniform Resource Locators と呼ばれていました。その仕様は1994年にIETFによって発行されたものでした。この”URL”という用語からインスピレーションを得てツールとプロジェクトに命名したのが curl でした。 URLという用語は後に事実上、 URI : Uniform Resource Identifiers (2005年発行)に変わりましたが、「オンラインでリソースを指定する文字列のための構文と、そのリソースを得るためのプロトコル」という、基本的な点は変わりませんでした。curlでは、この構文仕様RFC 3986の定義に従う”URL”を許容するとうたっていますが、それは厳密には正しくありません。その理由
URL(Uniform Resource Locator)とURI(Uniform Resource Identifier)の構造の違いはご存知ですか? Webページのアドレスを指す場合はどちらを使うべきなのでしょう。URLを分解して「https:(スキーム)」「#(フラグメント)」「?(クエリ)」「パス(path)」などの名称・意味についても解説します。 今日は、ノウハウというよりは、豆知識を。「URL」という呼び方と「URI」という呼び方がありますが、どう違うのか、あなたはご存じですか? Webページのアドレスを指す場合は、どちらを使うべきなのでしょうか。 URLとURIは何が違うのか結論から言うと、URIとURLは同じものではありません。「URI」のほうが広い概念で、「URL」はURIの部分集合です。同様の仕組みに「URN」というものがあります。 その3つを別のものにたとえてわかりや
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く