CVE-2020-15702の技術的解説 - Flatt Security Blog
こんにちは。株式会社 Flatt Security セキュリティエンジニアの志賀( @Ga_ryo_ ) です。 本記事では、最近公開されたCVE-2020-15702の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiativeを経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 apportとは 脆弱性解説 PoC概要 PID再利用のタイミング調整 特権プロセスのcwdにcoreファイルを出力したときに権限昇格をする方法 余談 修正 まとめ 参考 読む前に 解説に関して誤りや疑問点があれば、個人宛に連絡をいただけると幸いです。また、本記事中におけるコードは基本的に2.20.11-0ubuntu27でのapportのソースコード
Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。
サイバーセキュリティ事業を展開する株式会社Flatt Security(本社:東京都文京区、代表取締役社長:井手康貴)はこの度、Webエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版の提供を開始いたしました。 「Flatt Security Learning Platform 」β版の登録申し込みページ https://flatt.tech/learning_platform 「Flatt Security Learning Platform」提供の背景 昨今、複雑化の一途をたどるWebアプリケーションをセキュアに保つことはますます難しいものとなっています。 そのため、セキュリティを担保するには外部機関によるセキュリティ診断やペネトレーションテストなどの事後的な検査だけでは十分でなく、全て
KENRO (ケンロー) | セキュアコーディングを当たり前にするエンジニアの学習プラットフォーム
開発者のためにつくられた 攻撃とコードの修正で学ぶ実践型演習OWASP Top 10 に含まれる脆弱性をはじめ、Webアプリケーション開発で特に意識すべき脆弱性を学ぶことが出来ます。 実際にWebアプリケーションを攻撃するCTF 形式の「ハッキング演習」と、コードを書いて脆弱性を修正する「堅牢化演習」を通じて、開発現場ですぐに活かせる学びを提供します。 脆弱性の知識を基礎から体系的に。 いつもの言語やフレームワークで学べます。演習だけでなく脆弱性の原理に関わる技術の基礎など、脆弱性について体系的に学べるコンテンツを提供しています。(堅牢化演習ではGo、Java、Ruby をはじめとした6言語に対応) また、GraphQLやJSON Web Tokenのような、まだ世の中に対策情報の少ない技術のセキュリティのコンテンツも提供しています。
エンジニア採用担当者が語る新卒・未経験エンジニアが今作るべき「自主制作物」「ポートフォリオ」|久松剛/IT百物語の蒐集家
前回のnoteでは主に2019年までIT業界を席巻していた若手エンジニアの売り手市場についてお話させて頂きました。今回は2018年から発生したプログラミング学校ブームから俄かに増加している未経験エンジニア層に関連し、今作るべき自主制作物についてお話させて頂きます。 自主制作物とは何かというと各個人で自主的に行っているプログラミングであり、実際のソースコードをGitHubに載せて職務経歴書にURL記載の上で提出するものを指します。未経験エンジニアの場合は習作といったところになります。 私は自社の採用だけでなく、リクエストベースですが人材紹介事業からの依頼で未経験者のコードレビューをすることがあります。特に自社については恐らく「未経験者の採用には企業がコストをかけたがらないので直接応募すべき」というマニュアルがプログラミング学校や情報商材で回っているようで、ご応募頂く機会は増えています。 以前
Trust is good, observation is better: Intersection Observer v2 | Articles | web.dev
Trust is good, observation is better: Intersection Observer v2 Stay organized with collections Save and categorize content based on your preferences. Intersection Observer v2 adds the capability to not only observe intersections per se, but to also detect if the intersecting element was visible at the time of intersection. Intersection Observer v1 is one of those APIs that's probably universally l
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
要はアジャイルは行き当たりばったりってことですか?