このドメインは、お名前.comで取得されています。 お名前.comのトップページへ Copyright © 2018 GMO Internet, Inc. All Rights Reserved.
Webアプリケーションに対する攻撃で、狙われやすい箇所の一つが、ユーザーが文字列などを入力したときの処理にかかわる部分です。今回は、この入出力時の文字列処理を狙った攻撃と対策について説明します。 入力チェックや出力時の処理に不備があると、開発者が意図しない不正なコマンドが入力、実行されてしまいます。こうした文字列処理に起因した脆弱性には、「クロスサイトスクリプティング」「SQLインジェクション」「OSコマンドインジェクション」「ヘッダインジェクション」などがあります。特に注意すべきものとして、今回はクロスサイトスクリプティングとSQLインジェクションについて解説します。 Webアプリケーションにおける入力チェックでは、すべてのパラメーターを信用せず、漏れなく確認します。そして出力時には、出力先に応じてエスケープ処理を施す必要があります。エスケープ処理とは、言語や実行環境によって特別な意味を
小さいLinux環境の作り方 Presentation Transcript 小さい Linux環境の 作り方 Naomasa Matsubayashi 保存するアイコン フロッピーディスク 2000年代初頭 フロッピーディスクに必要な物が全部入った Linuxディストリビューションが流行った floppix http://floppix.com/ HAL91 http://chris.silmor.de/hal91/ tomsrtbt http://www.toms.net/rb/ 3.5インチフロッピーディスクの容量 1D 2D 1DD(Mac) 1DD 2DD(Mac) 2DD(PC-98) 2DD 2HD(PC-98) 2HD(PC/AT,Mac) 2ED 2TD 160KiB 360KiB 400KiB 360KiB 800KiB 640KiB 720KiB 1232KiB 1440
1.upto(100) do |n| i = (n ** 4 % -15) str = "FizzBuzz\n"[i, i + 13] if str puts str else puts n end end "FizzBuzz\n"から[]メソッドで必要な文字列を抜き出している。 []はインデックス・長さを指定して文字列を取り出せる。(String#sliceと同じ) 例えば"abc"[1, 1]だと、1番目から1文字を抜き出すので"b"が返る。 []のインデックスの調整の為、末尾に無駄な1文字が必要なので改行を挿入している。(putsで無視される) 元のコードでは、改行を直接入力することで\nと書くよりも1バイト短くなっている。 この為、一行では記述出来ない。 n ** 4 % -15って何 []のインデックス部分には、n ** 4 % -15という式が入っている。 また、同時に変数iを
ちょっとした出張でこんな豪邸に泊まれたら最高の気分だろう、ただし「合法」な国であれば 写真:YouTube 自宅を「宿」として営業し、年商500万円をあげている── 編集部の取材に応じたのはA氏だ。持ち物件であるマンション2部屋をそれぞれ4人部屋、2人部屋の宿泊先として宣伝し、インターネットで客を取っているという。 A氏が泊めた客の国籍は幅広い。中国・韓国・シンガポール、アメリカ・イギリス、最近は渡航ビザの緩和があった影響でタイ人の客も増えているという。A氏が使っているのは、米国生まれのサービス「Airbnb」だ。 「それまでは賃貸で貸していましたが、Airbnbに登録してから家賃収入が格段に上がりました」(A氏) 誰でも使える「民泊」プラットホーム Airbnbは物件を宿泊施設として登録、営業できる「民泊」プラットホームだ。利用は個人・法人を問わず、北米のバックパッカーたちを中心に火がつ
ActiveRecordは必要になるまでDB読み込みをしません。 なのでやたら複雑なビューの中でクエリを弄ったり、コントローラーが肥大化してる状態でひどいSQLがログに流れてくると、パっと見ではどこが原因なのかすぐに分からない。 なので、SQLが実行された時にそれが実際にトリガーされたソースコードの位置も一緒にログに吐いてくれるgemを作りました。 bulletで分からないような、ビューのループの中で直接モデル読んでるみたいなヤバイ箇所を速やかに見つけるためのものです。 joker1007/activerecord-cause 仕組み的にはActiveRecordのロギングの仕組みを丸パクリしてcaller_locationsを足した感じ。 全ての読み込み位置を表示するわけではなく正規表現でマッチするパスを持ったソースコードの位置のみをログに記録します。 Railsで利用する場合は自動的に
このエントリでは、Time-based SQLインジェクション、すなわち時間差を利用したSQLインジェクションが意外に実用的だったという報告をします。デモ映像ありです。 はじめに Time-based SQL Injectionという攻撃があります。これはブラインドSQLインジェクションの一種で、ある条件の場合に一定時間(例えば5秒)スリープし、そうでない時との応答時間の差で情報を盗もうというものです。1回のHTTPリクエストで1ビットの情報が得られるので、それを積み重ねることによって、いくらでも情報を盗めるはずです…理論的には。 しかし、「理屈はそうでも、時間が掛かりすぎるよね」ということで、深くは追っかけていませんでした。SQLインジェクションの検査には有効でも、悪用としての実用性はあまりないと考えていたのです。 きっかけ きっかけは、以下のYahoo!知恵袋に以下の質問です。 SQL
SmartNewsさん主催の『SmartNews Tech Night Vol.2』でお話した内容ですm(_ _)mRead less
上野と申します。 皆様にお楽しみ頂けるよう頑張らせて頂きます 恋愛、ラブホ、その他について呟かせて頂きます なお個人アカウントであり、特定の団体について呟くものでは御座いません 聞いた話とかも多いので 御質問誠に有難う御座います。 アスタリフトという化粧品をご存知でしょうか? もしかしたらご存知ないかも知れませんが、アスタリフトとは元々フィルムメーカーだった「富士フイルム」が発売している化粧品ブランドで御座います。 最近はめっきり聞かなくなりましたが、富士フイルムと言えば「お正月を写そう」などのキャッチコピーで知られた日本最大のフイルムメーカーで御座います。 フィルムというと馴染みのない方もいらっしゃるでしょう。勿論私と同年代以上の方からすれば、馴染みもあるかと思いますが、携帯カメラやデジタルカメラが普及する前には、フィルムをわざわざ現像屋さんに持って行って現像して貰わないと写真を見ること
昨日、NTTフレッツ光をWebから申し込んだんだけども、いろいろアレだったので今日申し込みを取り消したというお話。 NTTフレッツの申し込みページから申し込みが完了すると、完了画面にも記載されているが、まあ同様の主旨のメールも届く。「申し込んだ内容」「利用開始日(工事日)」「本人確認書類の件」などなどが書かれているのだが、本人確認書類の送付方法はこんな感じ。 (FAX番号とメアドは一応モザイクしといた) これがまず非常に不親切だと思うのだが、フレッツの申し込みページは「flets.com」で、この届いたメールも「@flets.com」からのメールであるが、本人確認書類の送付先は「@sysm.east.ntt.co.jp」宛。east.ntt.co.jpなんだから俺たちに決まってるだろと当たり前のような態度なのがイラッとする。というか、工事希望日の3日前までに云々というからこれは工事担当者に
我が耳を疑った人は多かったのではないか。野球評論家の張本勲氏が12日、レギュラー生出演中のTBS系『サンデーモーニング』の番組内での“問題発言”。「カズ」の愛称を持つ、サッカーJ2横浜FCの元日本代表FW・三浦知良選手に引退を促すコメントをしたからである。 【画像:ダルビッシュ有のTwitterでのコメント】 張本氏は自身がコメンテーターを務めるスポーツコーナー「週刊御意見番」で、4月5日のジュビロ磐田戦において48歳1カ月でJ最年長ゴールをマークしたカズの話題が取り上げられた際に「カズファンには悪いけど、もうお辞めなさい」とコメント。 その後も困惑する他の出演者をヨソに張本氏のカズに対する舌鋒は止まらなかった。「スポーツマンとして、もう魅力もない」「(J2は)野球で言えば二軍だから、二軍でがんばってもそんなに話題性もない」「若い選手に席を譲らないと。団体競技だから伸び盛りの若い選手が
始めに トレジャーデータは事業の急拡大を受けて、セールス、エンジニアなどの各方面で一緒に働ける人材を募集中しています。特に Sales Enginnering(SE)を私たちは必要としています。募集要項につきましては、以下のリンクをご参照下さい。 もし私を知っている方はTwitterおよびFacebookなどに気軽にお声かけ下さい。 さて今回は、私も所属するこのSEについて以下の3点をご紹介したいと思っています。 「トレジャーデータにおけるSEの役割」 「トレジャーデータにおけるSEとしてのやりがい」 「トレジャーデータではこんな方を募集しています」 トレジャーデータにおけるSEの役割 トレジャーデータは米シリコンバレーを本社に、そして日本にも支社を持つ、主にクラウド上でデータマネジメントサービスを提供する企業です。 ポイント1:ソフトウェアやハードウェアではなく、「サービス」を提供する
「うわ、意識高いわやだわー」とそう嫌がらないでください。デザインスプリントもそうなんですが、空中戦で会議するよりいいこと3つほどあります。 ひとつめは、意見のだしやすさ。とりあえず他の人が喋ってることを待たなくていいですし、人と意見がかぶっても良い(かぶった、というのはむしろ興味関心が多いものだねってのも見てわかる)。 また、公開だとまず意見してくれないような人でも意見を出さざるを得ない状態になります(そしてその意見が大体よかったりする)。 ふたつめは、意見のまとめやすさ。似てる意見をまとめたり、くっつけたり分割したりを目に見える形でできます。このおかげで「またこの話ししてんな・・・」となった時にすぐ軌道修正できたり、今何の話しをしてるのか、するのかをわかりやすく示せます。 最後、3つめですが、議事録でそんなに苦労しないこと。ホワイトボードに貼った付箋に周辺事項書いたものを撮影しておけば大
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く