PythonでWebスクレイピングする時の知見をまとめておく - Stimulator
- はじめに - 最近はWebスクレイピングにお熱である。 趣味の機械学習のデータセット集めに利用したり、自身のカードの情報や各アカウントの支払い状況をスクレイピングしてスプレッドシートで管理したりしている。 最近この手の記事は多くあるものの「~してみた」から抜けた記事が見当たらないので、大規模に処理する場合も含めた大きめの記事として知見をまとめておく。 追記 2018/03/05: 大きな内容なのでここに追記します。 github.com phantomJSについての記載が記事内でありますが、phantomJSのメンテナが止めたニュースが記憶に新しいですが、上記issueにて正式にこれ以上バージョンアップされないとの通達。 記事内でも推奨していますがheadless Chrome等を使う方が良さそうです。 - アジェンダ - 主に以下のような話をします。 - はじめに - - アジェンダ
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
2020年はペパボに9人の新卒エンジニアが入社しました。今年も新卒エンジニアを対象に、3ヶ月に及ぶエンジニア研修を開催しました。 本エントリでは、研修の全体像のご紹介や、研修で利用した各資料を公開します。また、領域別に研修担当者より概要の紹介をします。 新卒研修の資料作成を担当している方や、新卒・中途問わず、新しい領域にチャレンジしたいエンジニアの方はぜひご覧ください! GMO ペパボの研修 GMO インターネットグループでは、毎年 GMO Technology Bootcamp(以下、GTB) と題して、グループ全体のエンジニアとクリエイター(デザイナ)が集まってプロダクトを作っていく上で必要となるベースラインの技術を学ぶ研修を行っています。 GMO ペパボの新卒入社のメンバーは今年から本格的に GTB に参加しました。新卒メンバーが参加するなら、と講義の内容の作成や講師としての参加につ
伝えたいことは全てタイトルに書いた。 動機 https://github.com/topics/awesome を眺めていて本当にawesomeなものばかりだった (割にあまりどこにもそのawesomeさが書かれていないように見えた) ので書く。 awesomeリストとは GitHub で使われる慣習的なリポジトリについてまとめてみた#awesome より: 「特定テーマに関するキュレーションを行うリポジトリ。Markdown のリスト表記で一覧化するのが一般的。また、Contribution も受け付けている(人気のあるリポジトリはガイドラインも厳しめ)。」 Where? ここのことです: https://awesome.re/ 画像はリポジトリから引用。 What? What is an awesome list? よりDeepL翻訳 awesome マニフェスト もしあなたのリストを
はじめに 今年のエンジニア研修の担当をしたkurotakyとtokkyです。ペパボのエンジニア研修2021がはじまっていますという記事を書いてあっという間に時が経ち、先日研修が終わったので研修資料を公開します。各研修の講師からコメントをもらっているので、ぜひ読んでいってください! 研修を実施するにあたって、専門的な内容を学んでから現場に入る方法や、幅広い技術層に触れてから現場に入る方法など、さまざまなスタイルがあります。ペパボでは最新の技術の幅広く触れてOJTに入っていくやり方を選択しています。それはなぜかというと、GMOペパボのわたしたちが大切にしている3つのことの中で、「みんなと仲良くする」ということ話がありますが、みんなと仲良くするというのは、エンジニアという職種だけでも100人以上になり、そのみんなと仲良くするのは実際は結構難しいと思います。過去にCTOのあんちぽさんが2017年の
初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な
問題は、多くの場合、大事な仕事よりも緊急な仕事の方が優先されてしまうことです。しかし、1日に使える時間が限られている場合は、どうすれば大事な仕事のための時間が確保できるのでしょう? 大事なことを決めるために「意思決定マトリクス」を使う アイゼンハワー元大統領が使っていた「意思決定マトリクス」を使って、大事なものを見極めるというのもひとつの手です。 このマトリクスは、やらなければならない仕事を判断する時に便利です。 大事+緊急:危機的状況、締め切り間近、問題発生事案 大事+緊急でない:人間関係に関すること、長期的なプロジェクトの計画、余暇 大事でない+緊急:妨害、会議、運動 大事でない+緊急でない:時間の無駄、楽しみな活動、取るに足らない仕事 大事でもなく緊急でもない仕事を排除するのはかなり簡単です。頭を悩ませる必要がありません。そこに使う時間は極力減らすようにしましょう。また、大事であり緊
こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日 普段は Web Security や Cloud Security 、バグバウンティなどを興味分
Google、終了予定サービスを発表 「Google Desktop」や「Web Security」も 米Googleは9月2日(現地時間)、“秋の大掃除”と題した公式ブログで、10のサービスの打ち切りを発表した。同社のラリー・ペイジCEOが7月の業績発表の際に説明した主力サービスへのリソース集中の取り組みの一環という。 同社は最近、Google Labs、Google Health、Google PowerMeterのほか、2010年8月に買収した米Slideのほとんどのサービスを打ち切ると発表している。 今回打ち切りが発表されたのは以下の10サービスだ。 Aardvark Aardvarkは、Googleが2010年2月に買収した同名企業のソーシャル検索サービス。コミュニティー内のユーザー同士が質問/回答する仕組みで、FacebookやMySpaceとも連係する。買収後、同社のチームは
W3C - W3Cの仕様書等の文書の日本語訳集
注意 日本語翻訳集は w3c-translators@w3.org メーリングリスト上で報告された日本語翻訳文書へのリンクを集めたものです. リンクされた翻訳はボランティアによって行われたものです. またこれらの翻訳には誤りが含まれる可能性もあります. 正式なものはあくまでも英語版ですので, この点をご理解頂いた上でご利用下さい. またコピーライトに関する情報を含め,W3Cの文書の翻訳に関しての一般的な情報や, 翻訳の際のヘルプは, http://www.w3.org/Consortium/Translation/にあるW3C翻訳ページ(英語版) をご覧下さい. TR集 勧告 ・ 勧告案 ・ 勧告候補 ・ 草案 ・ 技術ノート その他の文書等 FAQ集 ・ その他 TR集 勧告 HTML 4 (勧告) http://www.asahi-net.or.jp/~bd9y-ktu/html4re
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
A Codelab by Bruce Leban, Mugdha Bendre, and Parisa Tabriz Want to beat the hackers at their own game? Learn how hackers find security vulnerabilities! Learn how hackers exploit web applications! Learn how to stop them! This codelab shows how web application vulnerabilities can be exploited and how to defend against these attacks. The best way to learn things is by doing, so you'll get a chance to
体系的に学ぶモダン Web セキュリティ (#seccamp 全国大会 2019 B5) / Learn Modern Web Security Systematically
セキュリティ・キャンプ全国大会 2019 開発と運用トラックで提供した講義の資料の一部です。誤りに気がついたら、ぜひ @y0n3uchy あるいは @lmt_swallow にお知らせください。
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。 Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。 メイン画面です。 テストを行うURLを入力します。実行前に確認が出ます。 テストの実行中です。 完了しました。 レポート画面でインシデントの詳細が確認できます。 Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります
860+ Free Online Programming & Computer Science Courses You Can Start This New Year
By Dhawal Shah Twelve years ago, universities like Stanford and MIT opened up free online courses to the public. Today, over 1,200 schools around the world have created thousands of free online courses. To welcome the new year, I’ve compiled this list of 860+ such free online courses that you can start right now. For this, I leveraged Class Central’s database of over 100,000 online courses. When a
by Eljay 中国最大級の認証局「沃通(WoSign)」がニセ証明書を発行していた問題で、ウェブブラウザの1つ・FirefoxがWoSignの証明書をブロックする方針を固めました。 WoSign and StartCom - Google Docs https://docs.google.com/document/d/1C6BlmbeQfn4a9zydVi2UvjBGv6szuSB4sMYUcVrR8vQ/ Firefox ready to block certificate authority that threatened Web security | Ars Technica http://arstechnica.com/security/2016/09/firefox-ready-to-block-certificate-authority-that-threatened-we
[無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。
![[無視できない]IEのContent-Type無視](https://cdn-ak-scissors.b.st-hatena.com/image/square/f8699f6fec76c2d2b8f650af7a420b6f67f0ebfe/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0903%2F30%2Fwebapp0201.jpg)
Web セキュリティ入門 / Introduction to Web Security - Speaker Deck
セキュリティ・ミニキャンプ in 岡山 2018 で使用されたコンテンツです。 誤りがあればぜひツッコミをください! Twitter: @lmt_swallow, en: @y0n3uchy 演習の殆どはローカル向けのものだったので, 現在はアクセスできません e.g. ホストが websec.example になっているもの ただし XSS Challenge に関しては, 以下の URL からお試しいただけます: https://xss.shift-js.info
- WinMirror - 任意のアプリケーションのウィンドウやデスクトップをミラーリングして表示できます。 解説: オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ - 音声字幕機能付きのWebカメラ - Web Audio APIを使ってマイク入力をスピーカーから出力 - LTタイマー - JavaScriptセキュリティの基礎知識:連載|gihyo.jp … 技術評論社 - HTML5時代の「新しいセキュリティ・エチケット」- @IT - 教科書に載らないWebアプリケーションセキュリティ - @IT - 連載:本当は怖い文字コードの話|gihyo.jp … 技術評論社 - JSF*ck - encode JavaScript with only 6 letters - []()!+ (broken) JSF*ck demo
Use our SQL Injection Cheat Sheet to learn about the different variants of the SQL injection vulnerability. In this cheat sheet you can find detailed technical information about SQL injection attacks against MySQL, Microsoft SQL Server, Oracle and PostgreSQL SQL servers. What is an SQL injection cheat sheet? An SQL injection cheat sheet is a resource where you can find detailed technical informati
脆弱性診断をやっていると、たまにtype=hiddenのinput要素にXSSがあるけど、現実的な攻撃には至らないものにぶちあたることがあります。サンプルコードを以下に示します。 <body> 入力確認をお願いします。 <?php echo htmlspecialchars($_GET['t']); ?><br> <form action='submit.php'> <input type='hidden' name='t' value='<?php echo htmlspecialchars($_GET['t']); ?>'> <input type='submit'> </body> 正常系の呼び出しは下記のようになります。 http://example/hidden-xss.php?t=yamada HTMLソースは下記の通りです。 <body> 入力確認をお願いします。 yamad
Hands-on web security testing Test, find, and exploit vulnerabilities faster with a complete suite of security testing tools.
HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの?」みたいなリクエストもあればぜひ言って下さいませ。 JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013) HTML5セキュリティ その1:基礎編、XSS編 (2013-06-13 OWASP Night 6th) Web::Security beyond HTML5 (2012-09-28 YAPC::Asia 2012) HTML5時代のWebセキュリティ (2012-09-15 第5回愛媛情報セキュリティ勉強会) Same-Origin Policy とは何なのか。 - 葉っぱ日記 XMLHttpRequestを使ったCSRF対
昨日の日記「IE8以前はHTMLフォームでファイル名とファイルの中身を外部から指定できる」にて、福森大喜さんから教えていただいた内容として、ファイルアップロードのHTMLフォーム(enctype="multipart/form-data")にて、アップロードするファイル名とファイルの中身を外部から指定できることを報告しました。この際にIE8以前という条件がありましたが、今度は、三井物産セキュアディレクションの望月岳さんから、「それIE9以降でもできるよ」と教えていただきました。既にご存じだったそうです。福森さん、望月さんという日本を代表するバグハンターから「秘伝のたれ」をおすそわけいただいたようで、興奮気味ですw まず、おさらいとして、IE8以前でのパターンは下記の通りでした(要点のみ)。 <form enctype="multipart/form-data" action="pro_ad
Front-end Developer Handbook 2019 - Learn the entire JavaScript, CSS and HTML development practice!
Written by Cody Lindley Sponsored by Frontend Masters, advancing your skills with in-depth, modern front-end engineering courses Download: PDF | epub Overview: This is a guide that everyone can use to learn about the practice of front-end development. It broadly outlines and discusses the practice of front-end engineering: how to learn it and what tools are used when practicing it in 2019. It is s
People often see passwords are the original sin of authentication on the web. Passwords can be easy to guess and vulnerable to breaches. Frequent reuse of the same password across the web makes breaches even more profitable. As passwords are made stronger and unique, they can quickly become unusable for many users. Passwords indeed look notorious, but are passwords themselves the problem, or is it
Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy
Cross-site scripting (XSS) cheat sheet This cross-site scripting (XSS) cheat sheet contains many vectors that can help you bypass WAFs and filters. You can select vectors by the event, tag or browser and a proof of concept is included for every vector. You can download a PDF version of the XSS cheat sheet. This is a PortSwigger Research project. Follow us on Twitter to receive updates. Downloaded
他人事じゃない!WEBサイトに対する10の攻撃パターンと対策方法まとめ更新日: 2017年5月22日公開日: 2015年7月22日 Web 制作初心者にとって、web デザインやサイト構成など考えることがたくさんある中で、さらに追い打ちをかけるように「セキュリティ」に関しても一応の知識が求められます。「Web サイトといってもブログだから大丈夫」「簡単な商品紹介のサイトだから大丈夫」と安易に思っていると、知らない間に自分の作ったサイトが誰かに作り変えられて、知らない間に加害者になっているという事例もあります。 せっかく一所懸命作るサイトを悪意ある人に邪魔されないためにも、基本的なセキュリティー対策を講じておく方が賢明と考えられますよ。 Web サイトとセキュリティ 引用:Symantec’s 2015 Internet Security Threat Report 2015年に入って世界の
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change | メルカリエンジニアリング
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change * English version follows after the Japanese こんにちは。メルカリのProduct Securityチームでセキュリティエンジニアをしている@gloriaです。ブログを書くのが随分お久しぶりなのですが、前にQAと自動化テストについて記事をフォローしていた方がいらっしゃったら、当時に自動化テストエンジニアとして書いたISTQBテスト自動化エンジニア認定資格、STARWESTカンファレンス、とAQA POP TALKの記事を読んだことがあるかもしれません。 今回は、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについてお話して、キャリア
GUIアプリケーション型 Burp Suite ZAP zap-cli Fiddler Vex Watcher X5S コンソールアプリケーション型(CUI型) SQLMap NoSQLMap w3af Arachni (終了) SCNR Scan My Server (※提供終了) WhatWeb Skipfish Nikto Vega Grabber Wapiti WebScarab Ratproxy Wfuzz Grendel-Scan WAScan Paros SaaS型 VAddy(バディ) AeyeScan(エーアイスキャン) komabato(コマバト) Securify(セキュリファイ) secuas(セキュアズ) Walti (※提供終了) 特徴 診断種別 「Web Server」のスキャン結果 Acunetix WVS Qualys - Web Application
製品担当副社長のホロビッツ氏は、「Google Buzz」で学んだ多くのことを「Google+」に反映させていくと語った。 米Googleは10月14日(現地時間)、主力サービスへのリソース集中のため、「Google Buzz」をはじめとする5つのサービスを打ち切ると発表した。ラリー・ペイジ氏のCEO就任以来、「Google Desktop」や「Sidewiki」など、20以上のプロジェクトが終了になっている。 今回発表されたのは以下の5サービス。また、7月の予告通り、実験的サービスの発表の場であった「Google Labs」は閉鎖され、www.googlelabs.com/はGoogle検索のトップページにリダイレクトされる。 Google Code Search Google Code Searchは、2006年10月にスタートしたオープンソースのコードやAPIを検索するサービス。正規
Internet Engineering Task Force (IETF) I. Fette Request for Comments: 6455 Google, Inc. Category: Standards Track A. Melnikov ISSN: 2070-1721 Isode Ltd. December 2011 The WebSocket Protocol Abstract The WebSocket Protocol enables two-way communication between a client running untrusted code in a controlled environment to a remote host that has opted-in to communications from that code. The securit
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast [Blog] Intigriti Q1 2024 の成績 インタビュー記事 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Mac
マクロな視点から捉える Web セキュリティ / Web Security from the Macro Perspective
セキュリティ・キャンプ全国大会 2020 オンラインの 講義 B7 「マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価」のスライドです。 発表者の情報: https://shift-js.info Twitter: htt…
Web API: The Good Parts 作者: 水野貴明出版社/メーカー: オライリージャパン発売日: 2014/11/21メディア: 大型本この商品を含むブログ (6件) を見る 同僚から借りて読みました。 全体としては Web API の設計に少しでも携わる人間ならとりあえず読んでおいたらいいんじゃないかなーという感じです。 薄いし。 本書を読んだからと言って最高の Web API の設計ができるようになるとは思わないですが、Web API の設計をする際に知っておくべきことが一通りまとまっていて良い感じだと思いました。 学びメモ 知らなかったことや、なんとなく知ってたけど改めて調べたことなどまとめておきます。 RFC 5861 での Cache-Control ヘッダの拡張 RFC 5861 にて、Cache-Control ヘッダの 2 つの拡張が定義されています。 sta
バグハンターのためのクライアントサイドJavaScriptの静的解析 - No1zy Web Security Blog
はじめに JavaScriptは、最新のWebブラウザで最も普及した技術の1つになっています。AngularJS、ReactJS、Vue.jsなどのクライアントサイドJavaScriptフレームワークを使用して構築されたアプリケーションは、多くの機能とロジックをフロントエンドに提供します。そしてロジック、機能の増加によってクライアントサイドのAttack Safaceも増加します。これらのAttack Safaceを理解し、脆弱性を発見する方法を身に着けることが必要です。 このブログ記事では、効率よくWebアプリケーションの脆弱性を発見するために、クライアントサイドJavaScriptの静的解析に注目して説明します。 今回は脆弱性を探す対象はOWASP Juice Shopです。Juice ShopはJavaScript製の意図的に脆弱に作られたアプリケーションです。 何を探すか? セキュ
Google's Recipe for Scaling (Web) Security – LocoMocoSec 2024
http://anond.hatelabo.jp/20111230052116 KVSって何かと思ったら,要するにNoSQLのことか. 「英語で読めばいいと思うよ」って言っちゃいかんのかな. ああそうだいまだにMongoDBの日本語オラ本は出ていない。英語ではもう4冊か5冊は出ているというのにだ。乱立KVSのの先頭を走っているMongoDBについて 乱立してるから利用者が少なく,仮に訳しても買う人がいないから儲からないんだよ.「まだ出てない」じゃなくて「購入者がいないから出さない」が正解だろう.「自分は英語が読めないから,オライリーは日本語訳を出せ」というのは「オライリーはオレのためにこの本の日本語訳を出せ」と言ってるようなものだと気づかないのかな.*1 「先頭を走っている」については誰がそのように主張しているのか要出典.*2 Cassandra 作者: Eben Hewitt,大谷晋平,
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
ペパボの新卒研修で利用した資料を公開します - Pepabo Tech Portal
GitHubのawesomeリストが本当にawesomeなものばかりだから一度見てほしい - Qiita
GMOペパボのエンジニア研修2021の資料を公開します - Pepabo Tech Portal
日々の業務に忙殺されず、自分にとって本当に大事なことを確実に終わらせる方法 | ライフハッカー・ジャパン
セキュリティ視点からの JWT 入門 - blog of morioka12
Google、終了予定サービスを発表 「Google Desktop」や「Web Security」も
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
Web Application Exploits and Defenses
問題が起きる前に。Webサーバセキュリティチェッカー·Websecurify MOONGIFT
中国最大の認証局「WoSign」が証明書発行日改竄などを行っていたとしてFirefoxがブロックの方針
[無視できない]IEのContent-Type無視
UTF-8.jp
SQL Injection Cheat Sheet | Invicti
hiddenなinput要素のXSSでJavaScript実行
Burp Suite - Application Security Testing Software
HTML5関連のセキュリティ情報 - 葉っぱ日記
IE9以降でもHTMLフォームでファイル名とファイルの中身を外部から指定できる
Meet Face ID and Touch ID for the Web
他人事じゃない!WEBサイトに対する10の攻撃パターンと対策方法まとめ | CodeCampus
【随時更新】Webセキュリティ診断ツールのまとめ - まったり技術ブログ
Google、「Buzz」や「Code Search」も終了へ
RFC 6455: The WebSocket Protocol
バグバウンティ入門(始め方) - blog of morioka12
『Web API: The Good Parts』 を読んだ - ひだまりソケットは壊れない
Git道場 技 本日の課題、 テクニックの解説
日本人技術者が洋書を読まなければならない時代 - カレーなる辛口Javaな加齢日記