バグハント入門 (OSS編) - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
DKIM ADSP は廃止されています (HISTORIC です) | IIJ Engineers Blog
IIJ ネットワーク本部アプリケーションサービス部・(兼)社長室所属。 メールサービスの運用業務に従事し、日々世界の悪と戦う一児の父親。社内 Power Automate エバンジェリスト(自称)。M3AAWG member / openSUSE Users / WIDE Project メンバー。趣味は大喜利。はがき職人。 結論 https://www.rfc-editor.org/rfc/rfc5617.html (HISTORIC) (※1) 新しくドメイン名を登録された方へ DKIM ADSP レコードは、もはや書く必要はありません。 誰も見ていませんし、評価の対象になっていないと考えて差し支えありません。 すでにドメイン名を運用されている方へ DKIM ADSP レコードが書いてあるかは、次のように調べられます。 $ dig _adsp._domainkey.example.jp
【追記】山道を制限速度でチンタラ走り続けるドライバーは運転が下手
私はドライブが趣味で、特に深夜に山道を運転する機会が多いのだが、こういう道でチンタラ走るドライバーはことごとく運転が下手。道路の流れを無視し制限速度以下のスピードでチンタラ走り続け、後ろに行列を作ることが多い。 こういうドライバーは後ろから追いつかれても絶対に譲らない。チンタラ走り続ける。制限速度で走る場合その速度をキープしてくれればまだマシなのだが、上り坂でアクセルを踏まず大減速して渋滞を作るし、下りではローギアに落とさずブレーキをパカパカ踏んで減速するため傍から見ていても危なっかしい。カーブのライン取りも甘く、インから入って外に膨らみ、曲がりきれずカーブ後半で急旋回する。同乗者はたまったもんじゃないだろう。車内はきっとゲロまみれだ。 こういうドライバーは運転の三要素(認知、判断、操作)の三点すべてがグダグダで、前述のようにスピードを出さないこと以外にも問題があるのだが、この類のドライバ
「実は日本の漫画業界が韓国資本に負けつつある」という内情をこれほどの説得力で書ける人は他にいるのかという記事が熱い
丸山 恭右 / TSUYOSHI 連載中 @maruccckey 編集目線のコラムですが、漫画家こそ読んだ方がいい内容だと思いました。 結論、「今後、漫画家の億万長者が増える!! この波に乗れ!」 しかし韓国強いなぁ。 2023-09-12 13:53:56 石橋和章 | Zoo | 漫画編集者&原作者&経営者🎨 @mikunikko ほぼ漫画業界コラム22 回顧録11【LINEマンガ】 【LinkーU】 そのスタートアップ企業はLink-Uと言った。今ではプライム上場もしている大きな会社だ。 当時の代表は三重野将大氏という若者だった。ちなみに僕はスタートアップ企業という存在を理解していなかった。要は生まれたての会社の事をそういうのだと思っていた。ベンチャー企業と同じだと思っていた。この誤解が僕の失敗の一要因だ。物を知らないと損をする。ググレカスとはよく言うものだ。その一手間を惜しみ何か
OSINTツール「GreyNoise」を使ってみる - セキュリティ猫の備忘録
こんにちは、セキュリティ猫です。 久しぶりに(ホントに久しぶりに)何かを書きたい欲が出てきたので、自分でも使い方の整理・機能の確認の意味を込めてツールの使い方を扱うことにしました。 今回は、調査で便利なツール「GreyNoise」について紹介していこうと思います。 GreyNoise はじめに 【注意事項】 GreyNoiseとは? 機能 IPルックアップ GREYNOISEクエリ言語 (GNQL) タグトレンド その他の機能 主な使い方 まとめ はじめに 【注意事項】 本記事内で、GreyNoiseの使い方や調査方法について記載しています。本内容は脅威から守るために利用しているものであり、決して悪用することはしないでください。 GreyNoiseを利用することで外部組織の情報を得ることができます。しかしながら、ここで得られた情報をもとにアクセスは行わないでください。アクセスを行う場合は自
OpenInterpreter / ついにAIがガチのアシスタントに!これは凄い、というか凄すぎる|shi3z
凄いものが出てきてしまった。 ChatGPTの「Code Interpreter」が話題になったが、あれはあくまでクラウド上で動いているだけ。それを模してローカルで動作するようになった「Open Interpreter」は、衝撃的な成果である。 Open Interpreterのインストールは簡単。コマンド一発だ $ pip install open-interpreter起動も簡単 $ interpreter -yこれだけでOK。 あとはなんでもやってくれる。 たとえばどんなことができるのかというと、「AppleとMetaの株価の推移をグラフ化してくれ」と言うとネットから自動的に情報をとってきてPythonコード書いてグラフをプロットしてくれる。 凄いのは、ローカルで動くのでたとえばApplescriptを使ってmacOSで動いているアプリを直接起動したり操作したりできる。「Keynot
『編集者からの修正指示を守り続けたんだな…』って感じのマンガの第1話を読んだ→案の定2、3巻で打ち切りだった
Rootport🍽 @rootport 作家・マンガ原作者。/好きな言葉は「群盲撫象」/TIME誌「世界で最も影響力のあるAI業界の100人」選出/Blog→rootport.hateblo.jp /マシュマロ→marshmallow-qa.com/rootport youtube.com/channel/UCp6RK… Rootport🧬 @rootport さすがに作品名を出すのは憚られるのだけど「編集者からの修正指示を忠実に守り続けた結果なんやろうな」って感じるマンガの第1話を読んでしまった。要素が次々に足されて増設されていて、脚本の九龍城みたいになっている。結果は2~3巻で打ち切り。 2023-09-05 16:10:32
漫画編集者&原作者・石橋和章氏のガンガン、サンデー編集部時代回想が異様に面白い - INVISIBLE Dojo. ーQUIET & COLORFUL PLACE-
※「さらに表示」をクリックすると続きが読めます ほぼ漫画業界コラム11 本日は趣向を変えて僕の回顧録とします。お題はそうだな…僕が編集者になった2001年〜2003年をテーマを書きましょう。回顧録第1章【エニックスお家騒動】です。 1・就職活動…— 石橋和章 | Zoo | 漫画編集者&原作者&経営者🎨 (@mikunikko) September 1, 2023 ……7人いた編集部は3人になっていた。主要な連載作家はほぼいなくなった。これはガンガンWINGだけでなく、本誌の少年ガンガンや、女性向け漫画誌のステンシル、峰倉和也氏の『最遊記』が載っていたGファンタジーでも起きた現象だ。当時の編集長たちは自分の担当作家を連れだして起業した。この事件は僕に取って漫画編集者の力の強さを教えてくれた。そうか、漫画家は会社でも雑誌でもなく編集者に着いてくるのだと。残された社員たちが怒りと悲しみで騒然
Zenn に Content Security Policy を段階的に導入した話
この記事について 先日、Zenn では Content Security Policy を導入しました。 この記事では Content Security Policy を Next.js ( Pages Router ) で導入する方法を解説するともに、Zenn の実例を紹介したいと思います。 Content Security Policy とは? そもそも Content Security Policy を知らない人が居るかもしれません。 Content Security Policy ( 以後 CSP と表記 )とは、ブラウザに備わっている機能の一つで、この機能を使うことで設定したサイト内のセキュリティリスクを軽減することができます。 基本的には導入した方がいいのですが、設定項目が多いうえに少し設定を間違えるとサイトが機能しなくなったりするので、導入コストがけっこう高いです。そのため、
AWSのPublic IPv4構成をIPv6に切り替える | 外道父の匠
AWS の IPv6化について調査は済んだけど、書き始めるのに非常にドンヨリしております。図を書いて少しでも楽しくいきましょそうしましょ。 皆様も読んだらドンヨリするかもしれませんが、できるだけ丁寧に書いてみますので、PublicIP 有料化に抗いたい人は頑張って追ってみてください:-) 目次 また長いです。でもひきかえさないほうがいいかもしれない。 はじめに 前提知識 目的 IPv6 の設計 従来のプライベート IPv4 IPv6 の割り当て Gateway と Routing VPC SecurityGroup Network ACL Subnet Egress Only G/W NAT64 RouteTable Public Private インスタンスで動作確認 IPv6 アドレスの確認 IPv6用の設定 疎通確認 IPv6リソースの配置 既存リソースの入れ替え アプリケーションの
Amazon EC2 におけるセキュリティ(脆弱性)事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、Amazon EC2 上で動く Web アプリケーションの脆弱性によって脆弱性攻撃が可能だった実際の事例について紹介します。 1. 始めに 2. Amazon EC2 におけるセキュリティリスク Amazon EBS 被害があった公開事例 3. Amazon EC2 で起こりうる脆弱性攻撃 SSRF が可能な脆弱性 SSRF における回避方法 4. Amazon EC2 の脆弱な報告事例 画像読み込み機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 SAML アプリケーションに潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデンシャルの不正入手が可能 Webhook 機能に潜む SSRF を悪用した EC2 のクレデ
【続報】スタートアップという蟻地獄で死んだ後の話。
どうも増田です。 以前鬱状態で死をも考えた中、独り言が言いたくて【スタートアップという蟻地獄で死にゆくザマ】を書いた者です。 https://anond.hatelabo.jp/20230515224250 その後、生きてんのかどうなったのかわからんままだとちょっと後味悪いなと思って続報を書きます。 会社は亡くなりました。俺の財産は全く無かったのですが自己破産になりました。 重度の鬱と自律神経失調になったんですが生きました。 なんか最後の方はVC担当の論点のすり替えと業界構造の話してんのに人間性云々になってたのでイラッとして「あの、それって論点ズレていませんか。まずこの件に関しては」と虚無で反論した結果ブチ切れられたけど淡々と「落ち着いて下さい、まずここの論点をクリアにしてそこからです。俺の人間性はまず置いて、物事についてを語らないとどうしようもないでしょう」と伝えたらブチ切れられちった⭐
スタートアップという蟻地獄で死にゆくザマ
どうも初めまして。 スタートアップとかいうカテゴリーの代表をしている増田です。 もう10年近く経ったんだろうか。それでもスタートアップなのか謎だ。 もしかしたら、みんなが見る頃自分はこの世にはもういないかも知らない。なんつって。一生に一回言ってみたかった言葉なんだ許してくれ。 ベンチャーキャピタルとかいう方々にも投資を受けたり、個人名義で借金もした。 組織崩壊して、彼らが信頼していたという人物が競合に入ったりして、社員に脅されたりもしたっけ。 それでも立て直そうと頑張ったんだけど、もう疲れたみたいだ。やる気が一番とかいうけど、本当だな。 頑張ったんだけど、彼等は自分が代表にふさわしく無いというらしい。 数年前からは安定剤無しでは株主と話せなくなってた。 かれこれ10回くらい言われ続けて、能無しとか、強みがないとか、投資した俺らがバカだったとか言われてもなんとかやってきた。 融資も何度もやっ
「基礎からの新しいストレージ入門」は、2023年夏の課題図書
夏も終わりに近づいた時期ですが、エンジニア必読のストレージ入門が発売されました[1]。 基礎からの新しいストレージ入門 基本技術から設計・運用管理の実践まで こちらはゼットラボやSNIAで最新ストレージの情報発信をして下さっている坂下さんの待望の新刊技術書です。 クラウド時代にも陳腐化しないストレージ技術について、基礎からわかりやすく説明してくれています。 (私が考える)対象となる読者 アプリケーション開発をしている方からストレージ以外のインフラエンジニアまで、「ストレージなんもわからん」と感じている人々に、ぜひおすすめしたい入門書です。 特にクラウドからシステム開発に入って、 EBSとかEFSとか雰囲気で使ってる とりあえずS3、他は難しくて分からない ファイルストレージ?ファイルシステム?マウント?なんのこと?? という方は、最初から最後まで本書を通して読んでもらえれば、会社に1人は居
AWSコスト削減とリソース管理 | 外道父の匠
クラウド使いなエンジニアの皆様、猛暑と円安の中いかがお過ごしですか。上層部からインフラコスト削減を突きつけられてはおりませんでしょうか。 今回はおそらく初めてコスト削減についてAWSを軸に書いていきますが、考え方はどこの環境でも似たりよったりなので何かしらの足しになればと思う次第であります。 目次 長いです。ひきかえしたほうがいいぞ! コミュニティに捧げます AWSの売上 コスト削減とは 三大使命 コスト状況整理 Load Balancer 参考リンク 統合による削減 EC2 Autoscaling 参考リンク 情報整理 古いインスタンスタイプの変更 スケジュールの調整 スポットインスタンスの適用 軽量インスタンスの統合・サーバーレス化 アプリケーション処理の軽減 EC2 EBS EBSは高い 不要EBSを削除・スナップショット化 ボリュームタイプの変更 EC2 AMI NAT Gatew
逮捕された頂き女子「りりちゃん」のマニュアルには何が書かれていたのか|山野祐介
「頂き女子」を名乗っていた「りりちゃん」が逮捕された、というニュースを見た。リンクは以下。 「頂き女子りり」を逮捕 恋愛感情利用し男性から金をだまし取るマニュアルを販売か 詐欺幇助の疑い 「頂き女子」とは、「男性からお金を頂く女子」という意味で、恐らくりりちゃんの作った造語だと思われる。 パパ活をする女性に、男性から現金をだまし取るためのマニュアルを販売した詐欺ほう助の疑いで逮捕されたようだ……が、正直「逆に今まで捕まってなかったのか」という感想が先に来てしまった。詐欺は立件が難しいから本人は詐欺で捕まらず、マニュアルの販売で逮捕されるというのもすごい話だが。 そういえば、このりりちゃんが販売していたマニュアルを持っていたので、読み返してその辺のことを書こうと思う。ただ、このマニュアルにはいくつかバージョンがあるらしく、俺が持っているこれが逮捕の決め手になったものかどうかは知らない。 記憶
プレミアムモルツにみる、キラキラ広告と孤高の天才クリエイターの終焉|Yuka Kudo
この動画を見つけた発端は、大好きな2コマ漫画作家である犬犬さん(@inu_eat_inu)のTwitterでした。子育ての面白さや大変さをコミカルな2コマ漫画で配信してくれる犬犬さんが、この動画の企画に関与しているというツイート。最初はクスリと笑いながら軽い気持ちで見た動画でしたが、だんだんと重大なことに気づき始めました。 広告戦略とクリエイターの役割が、遂に大きく転換している。 既に色々な研究者やマーケッターの皆さんが提案し、提唱してきたことなので今更感はありますが、日本の広告の始祖であり牽引者たるサントリーがこの動画を公開したことで、遅ればせながら私もガツンと気付かさました。このnoteでは私なりの気づきをまとめてみます。 偉大な広告企業サントリーとキラキラ広告サントリーといえば日本の広告の歴史を作ってきた企業であり、広告によって日本の食文化を開拓し、日本人を啓発してきた会社であること
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
uudaiy|note
NECプラットフォームズ、国内初のUPnP IPv6対応。「Aterm WX5400HP」のアップデートにより コナミデジタルエンタテインメント「eFootball 2024」が対応
定番サーバー「1U2ソケット」に迫る危機、液冷方式は熱問題の解決策になるか
