Magic: Future-proof passwordless authenticationMagic provides the leading wallet-as-a-service plus essential NFT capabilities.
Burp Suiteの紹介 | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSDの国分です。 先日参加したワーキンググループ(後の懇親会)で、私を含む3人が同じポーズで写真を撮られていたことがわかりました。 偶然その3人が別々のウェブプロキシツールを使っていたため、並べるとプロキシツールのエバンジェリストっぽいと言われました。 日々プロキシツールの普及に努めている本物のエバンジェリストさんに失礼なので、ジェリストくらいでいいです…。 とはいえ折角の機会なので、私が普段愛用しているプロキシツール「Burp Suite」について紹介したいと思います。 Burp Suiteは様々な機能を持っており、その中で私が最も使う機能は「Proxy」です。 診断やデバッグに必須の機能です。詳細は割愛します。 一方、最も好きな機能は「Manual testing simulator」です。この機能は有償のプロフェッショナル版にのみ含まれる機能で、無償版では使えません。 この機能は
SourceForge.net、GIMP for Winの管理権限を奪ってアドウェアを配布 | スラド IT
SourceForge.net(SF.net)にあったGIMP for WindowsのプロジェクトがSF.net運営者側にアカウントを乗っ取られ、配布物がアドウェア付きのインストーラーに置き換えられたという騒動が起きたようだ(Ars Technica)。 インストーラには「Norton anti-virus」および「myPCBackup.com remote backup」がバンドルされていたと報告されている。SF.net側は「18か月以上プロジェクトが放置されていたのでミラーに切り替えた」としているが、GIMP側はWindowsバイナリの配布用としてメンテをしていたと主張している。 こちらのツイートにあるように以前はGIMP側の人が管理者になっていたGIMP for Winのページが、sf-editor1というアカウントの管理下になっていることが分かる。アドウェア配布の前にそもそも管理
Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS
ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script> 知られていないだけでなく、知っていたとしても、スクリプトで文字列を処理するときに、U+2028/2029まで考慮する開発者がどれだけいるのかという話です。 実際、U+2028/2029を放り込むと文字列リテラル内にその文字が生のまま配置され、エラーが出るページは本当にたくさんあります。まあ、エラーがでるだけなら、大抵の場合大きな問題にはなりません。 ところが、U+2028/2029によってXSSが引き起こされてしまう場合というのを最近実際に見ました。 Googleのサービスで見つけた2つのケースを取り上げたいと思います。 ケ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
