12. 調査方法 ❶ URLの#以降にU+2028とDOM based XSSが起き得る文字列をつけて まわる ❷ 変なエラーがでないかみる http://host/#[U+2028]'"><svg/onload=alert(1)> 13. すると Benesseのサイトにメチャ普通のDOM based XSSがあった https://web.archive.org/web/20130723155109/http://manabi.benes se.ne.jp/#"><svg/onload=alert(1)> function writeAccesskeyForm(){ var htm = ''; var ownURI = location.href; //略 htm+= '<input type="hidden" name="backurl" value="' + ownURI + '"
Cure53 offers classic black-box penetration tests (zero-knowledge) as well as white-box tests and code audits. Web application and mobile app developers speak many languages and so do we. From classic languages as PHP, JavaScript, ActionScript, Java, Ruby, Python and Perl to more exotic candidates like web back-ends written in C++ and Delphi – we've seen them. During our assignments we appreciate
サイボウズ、脆弱性報奨金最大5倍キャンペーンを開始 2013年開設以来初めての試み、最高額は1件あたり200万円 サイボウズ株式会社(本社:東京都中央区、社長:青野慶久、以下サイボウズ)は、本日7月7日(金)より12月20日(水)までの期間限定で、当社が採用している「脆弱性報奨金制度」における報奨金金額を、最大5倍とするキャンペーンを開始することを発表いたします。 キャンペーン開始の背景 「脆弱性報奨金制度」の実施は今年で4年目となりました。17年6月現在で、延べ250名のバグハンターの皆様からのご報告により、年を追うごとに製品が堅牢な状態に改善されております。しかしその一方で、長らく制度を運用していることによる堅牢なイメージゆえ、報告の件数が毎年減少しつつあります。そこで、改めてバグハンターの皆様に、当社製品の脆弱性探索に関心を持っていただき、さらなる製品の改善に役立てることを目的とした
CVSS(Common Vulnerability Scoring System) ~脆弱性の深刻度を評価するための指標~ 共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会(NIAC: National Infrastructure Advisory Council)のプロジェクトで2004年10月に原案が作成されました。 その後、CVSSの管理母体としてFIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)(*1)で適用推進や仕様改善が行われており、2005年6月にCVSS v
翻訳家志望だった文系女子が「セキュリティエンジニア」になった理由:セキュリティ、若手に聞いてみよう(3)(1/2 ページ) メディアではあまり脚光を浴びることのない“若手社員”の声を聞いてみるインタビューシリーズ。今回は、サイボウズでセキュリティエンジニアを務める長友氏にお話を伺いました。 「もともとは翻訳家になりたかったんです。でも、自分には才能がないことが分かって……」――そう語るのは、サイボウズ グローバル開発本部 東京品質保証部 PSIRT(Product Security Incident Response Team)の長友比登美氏。現在はセキュリティエンジニアとして同社製品の品質を守る社会人2年目の同氏だが、学生時代は社会学を専攻する“文系ど真ん中”の学生だった。 では一体何が、そんな長友氏をサイバーセキュリティの世界へと駆り立てることになったのだろうか? そして現在の仕事につ
LINE株式会社 久保田 量大 (LINE セキュリティ室) セキュリティ未経験だったけど入社1年目から Bug Bounty Program 運営に参加してみた SECCON2017決勝大会での発表資料です。 https://2017.seccon.jp/news/seccon2017.html LINE Security Bug Bounty Programについて紹介します。 LINEはBug Bountyを2015年から始めて、国を問わずたくさんのバグハンターの方々に報告してもらっています。 そこで得た運用での知見や実際に報告された問題を共有します。 どうやって自社でBug Bountyをするのか?どうしてBug Bountyを行うのかと言った運用や動機の他、 Bug Bountyを知らなかった人や興味のある人でも楽しめるようにどうやってバグを見つけ、どのように報告すればよいかを紹
# LINE URLスキームでLINEの機能を使う LINE URLスキームを使うと、スタンプショップやLIFFアプリを開いたり、カメラを起動したりできます。LINE URLスキームは、LINE公式アカウントでも利用できます。たとえば、リッチメニューにLINE URLスキームを開くアクションを設定しておくことで、メニューをタップしたユーザーに対してLINE内のコンテンツを表示できます。 利用できるLINE URLスキームは、以下のとおりです。 https://line.me/R/ https://liff.line.me/ line://(非推奨) ユーザーがline://で始まるURLにアクセスした際に、ユーザーおよびLINEヤフー株式会社の意図に反して、LINE以外のアプリを起動させる「乗っ取り攻撃」を防ぐため、line://は非推奨です。「乗っ取り攻撃」は、特定の条件を満たした場合に
お久しぶりです&あけましておめでとうございます。昨年はブログを書く時間をうまく作ることができず、あまり記事を書けませんでした。今年はできるだけ月に1回程度何か書いていきたいと思っています。今年もよろしくお願いします! さて、ブログを書かなかった間にXSSからSQLインジェクションへ興味が移った、なんてことはありませんでしたので、今日もいつも通り大好きなXSSの話をしたいと思います! 最近、正規表現にユーザ入力を使っていることに起因するDOM based XSSに連続して遭遇しました。あまり見慣れていない注意が必要な問題だと思うので、この記事では、見つけたもの2つがどのように生じたか、また、問題を起こさないためにどうすればよいかを紹介します。 そのうちの1つはLINEのBug Bounty Programを通じて報告した問題です。 賞金と、"LINE SECURITY BUG BOUNTY"
Notice 2019年11月より、LINE Security Bug Bounty ProgramのプラットフォームはHackerOneへと移行しました。 最新の情報はHackerOneのプログラムページ上で掲載されています。 以下の内容は、プラットフォーム移行前のものとなります。 1. Hall of fame LINE Security Bug Bounty Program (2016/6/2から) において、発見・報告いただいた内容が 弊社による審査によって、該当の脆弱性であると認定された方々を「Hall of fame」に掲示いたします。 No Profile Name Vulnerability
Kopin社、2K×2Kかつ120Hzで動作する有機ELディスプレイを発表 ヘッドセットシステム用のマイクロディスプレイや、光学系、チップなどの開発、製造を行っているKopin社は、VR用HMD向け高解像度有機ELディスプレイ「Lightning」を発表しました。 Lightningは、2048×2048ピクセルの解像度かつ120Hzのリフレッシュレート、網戸効果を抑える特徴を持つ対角1インチサイズのディスプレイです。さらに、低消費電力、低放熱ながら低リフレッシュレイテンシ(10μs)を誇っています。 Kopinは、LightningをVR用HMD向けのソリューションとして実証するため、「Pantile」と呼ばれる独自の特許取得済みの光学系を持つデバイスを開発しています。Kopinの最新のレポートによると、このデバイスは、厚めの眼鏡ぐらいのサイズ(厚さ30mm以下)で視野角90度を実現する
2018/05/15 ■ どしぇすぽーん! 「べーしっ君」の荒井清和先生に似顔絵を描いてもらったよ!! 変な擬音が脳裏に残る、元マイコン少年ならみんな知ってる「べーしっ君」や、ファミコン通信のクロスレビューのレビュアーイラストなどでおなじみの荒井清和先生。シンプルな描線なれどひとめ見ると「あっ」となる、あの独特の優しい絵柄は自分のココロの中の「少年」と深く結びついている感覚があります。 で。 その荒井清和先生が、なにやら似顔絵絵師としてショッピングモールなどで似顔絵を描くサービスをはじめたとのこと。え!?マジで!?ただの一般人でも、「あの」絵柄で似顔絵を描いていただけるんですか!?あこがれの!?あの絵を!?と思って調べてみたら… 5月13日、14日、アクアシティお台場 4F セントラルテラスの似顔絵コーナーで描きます。11時〜20時。よろしくお願いいたします。— 荒井清和 (@kiyoka
m5stack.connpass.com M5Stackユーザーミーティング vol.1 に参加してきました。 ブログ枠なので書きますw。 内容もおもしろく参加者が多くて、大盛況でした。 何か作って、次はLTできるようにしたいですね。 #M5Stack_UGjp 本日のスケジュール pic.twitter.com/Deexq7fTkA — ミクミンP/Kazuhiro Sasao (@ksasao) 2018年5月14日 keynote: M5Stack CEO Jimmyさんビデオメッセージ 新しいカラバリとかLEGO互換のM5GOとか新しいGPSモジュールとかPoE対応とか新製品をCEOが生き生きと語ってるの強かったですね。期待がふくらみます。 ビデオメッセージ!M5GOのお話! #M5Stack_UGjp #M5Stack pic.twitter.com/jUMJIv81bZ — 1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く