JavaVMがプロセスのMax open filesのソフトリミットを変更する件
JavaVMを起動するとそのプロセスのMax open filesのソフトリミット(soft limit:一般ユーザが変更できる上限値、ulimit -Snで参照可能)をハードリミット(hard limit:rootが変更できる上限値、ulimit -Hnで参照可能)まで引き上げます。 Ubuntu14.04LTSでは一般ユーザのMax open filesは以下のようにソフトリミット1,024、ハードリミット4,096になっています。 $ ps PID TTY TIME CMD 2447 pts/0 00:00:00 bash 3766 pts/0 00:00:00 ps $ cat /proc/2447/limits | grep 'Max open files' Max open files 1024
XSS in Google Maps (again)
おそらくは前回のXSSのあとで機能追加されたリンクだと思う。 cnnでWeb検索してからMapsに移動すると、「Search the web for cnn」というリンクが左側に表示される。 このリンクのhrefがシングルクォート(')でくくられていた。 しかも前回見つけた「必要なのかどうかわからない機能」がこのリンクで発動していた。 前回は同じサービス内のリンクでのみ発動したので、なんでここだけ?と不思議に思ったが同じ手口であっさり通った。 成功して報告したあとに気づいたが、このリンク実は普通にqパラメータにシングルクォート入れるだけでhrefを終わらせることができていた。しかしへんな文字を入れるとすぐにこのリンク自体が表示されなくなってしまう。 がんばれば普通にXSSできるのではないか?と思ってORでつなげたりしてみたが、残念ながらイコール(=)がエンコード(%3D)されてしまった。
グーグル脆弱性報奨プログラム(まとめ) - グーグルからお金をもらう
今回は「ですます」調で。 日本語のセキュリティのページに書かれていないので、日本では気付いている人が少ないのかもしれません。 Googleでは昨年の11月から脆弱性報奨プログラム(Vulnerability Reward Program)というのをやっていて、同社のサービスに脆弱性を見つけて報告すると、報奨として$500から$3,133.7もらえます。 今後続く方のために、私がXSSを見つけた時の経緯を書いておきます。 最初、ショッピングにXSSを見つけて、すぐにSecurity Team(security@google.com)にメールしました。最初に見つけたものは、ページ表示後ユーザの操作によってスクリプトが動くものでしたが、その後同じサービス内の別のページで、ページ表示時点ですぐにスクリプトが動くものを見つけました。 この時点ではまだ、バグの管理番号が割り振られていませんでしたが、そ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
