S3のメタデータを用いた攻撃
例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-
いまどきのWebアプリにおいては、ファイルのダウンロード機能が必要な場面が多々あります。例えば、バックエンドが生成したCSVデータをファイルとしてダウンロードさせる「CSVダウンロード」機能などです。 今回はAPI[1]から得られたデータをファイルとしてダウンロードさせたい場合のフロントエンドの実装方法について考察します。 要件 今回考える要件は、前述のとおり、APIから得られたデータをファイルとしてダウンロードさせることです。具体的には、以下のような要件を考えます。 APIをGETリクエストで呼び出し、そのレスポンスをそのままファイルとしてダウンロードする フロントエンドでの何らかのアクション(ボタンクリックなど)によってダウンロードがトリガーされる 追加の要件次第でやり方は変わりますが、とりあえず以上の前提で考えます。 ベストな方法 とりあえず、筆者が考える一番ベストな方法を紹介します
エンジニア懇親会あるある
よくある、「LTが3〜7件ほど行われた後、小一時間ほど懇親会が行われるタイプのイベント」の懇親会で起きる個人的あるあるをまとめました。 登壇者に話しかけたいが登壇者が埋まっていて、余った数人の人たちでグループができて変な空気になる 2×3の机に座っているとき、真ん中の2人が左右どっちの会話に属するか悩ましくなる 缶のお酒が余っても、誰も持って帰ってくれない(ので自分が持って帰るから家にあまり飲まない酒が増える) 余ってるといつも「SDGs(Sustainable Drinking Goals)ですからね!」と言って持ち帰るのだが、結果として冷蔵庫に見なれないチューハイが謎に増える。 円になって会話しているとき、1人分常に空けておいてくださいってアナウンスがあっても、実際会話している円に入るの抵抗ある 乾杯でどのグループに缶を持っていくかが運命の分かれ道すぎる 話すとき最初名前を名乗らずにい
こんにちは、PR TIMESの開発部インターンの三宅です。PR TIMESではFAXを用いてプレスリリースの発信を行うことができます。今回、私はこれまで手動で送っていたFAXをWindows環境のC言語のCGIプログラムを作成し自動送信できる仕組みを開発しました。その内容について紹介します。 背景 PR TIMESには、「プレスリリースのFAX配信」というオプションサービスが用意されています。通常はメディアリストとして選定した各メディアにメールでプレスリリースを配信しています。そこにオプションサービスを付加することで、FAXでもリリース配信が行えるようになります。 FAXの送信はカスタマーリレーション部(CR)が手作業で送付しています。PR TIMESでのプレスリリースの配信数の増加に伴いCRの負担が増加していることが課題です。そこで、FAXの送付を自動で行えるようにするプロジェクトが立ち
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
※ChatGPT o1にテーマを投げて数回やり取りして書き上げてもらいました。趣旨は自分の主張ですが、文章はほぼ全てGPTによるものです。 はじめに エンジニアとして成長し、マネジメントやリーダーシップを発揮するには、何が必要でしょうか。多くの人は「スキル」や「経験値」を思い浮かべるかもしれません。しかし、組織内でより大きな役割や裁量を担う人とそうでない人との違いは、必ずしも能力そのものではありません。 実は、「どれだけ情報を持っているか」が、その人の視座や意思決定力を大きく左右します。 本記事は、まだメンバーレベルの視点に留まっているエンジニアが、殻を破り、マネジメントやリーダーシップへとステップアップするために「情報」に着目することの重要性を解説します。スタートアップでCTOを務めるなかで得た経験を交えながら、なぜ情報が役割や裁量を生み出すのか、その実践的なヒントをお伝えします。 情報
Next.jsの画像周りのキャッシュ戦略について調べる
import Image from "next/image"; import stinCatJpg from "./stin_cat.jpg"; // 画像をJavaScriptモジュールのように扱い、指定する形式 <Image src={stinCatJpg} alt="stin cat" />; // img要素同様に文字列を指定する形式 <Image src="/stin_cat.jpg" alt="stin cat" width="300" height="300" />; 本記事では、画像をJavaScriptモジュールのように扱う形式を「モジュール読み込み」と呼び、文字列を指定する形式を「文字列読み込み」と呼ぶことにします。 モジュール読み込み形式だとビルド時に画像サイズを計測して自動でwidth, heightを指定してくれます。 これらは単にwidth,heightの指定を
Express v5.0.0 🎉 Express v5 is finally here! 🎉 After years of development, the long-awaited Express v5 has been officially released. This version focuses on simplifying the codebase, improving security, and dropping support for older Node.js versions to enable better performance and maintainability. For detailed information, please check out the official Express v5 release blog post. Most releva
生成AIの新展開!?―学術研究支援用ボットを作ってみた。その(2) - digitalnagasakiのブログ
前回記事の続きです。生成 AI が、いつの間にか新しい局面を迎えているように思います。問い合わせをするための文字数制限(正確に言えばトークンの制限)が大幅に増え、問い合わせの際に、前提知識として学術論文数十本、あるいは新書10冊くらいを読み込ませてから回答させることができるようになっています。これまでは「生成 AI が持つ知識」を問い合せる形になっていましたが、これによって、「こちらが持つ知識や情報を生成 AI に考えさせる」ことができるようになりつつあります。この流れがさらに進めば、今まではできなさそうだった有用性を発揮することができるようになるかもしれない、ということで、とりあえず今試せることをちょこちょことやってみています。 で、前回記事をみた人から、J-STAGEからPDFをダウンロードする方法についてのリクエストがありましたので、ちょこっと書いてみます。 生成AIに読み込ませる信
TL;DR Fake SMTP について MailHog と mailpit の機能差について maiplit の機能について(メール送信,API,SMTPS,SMTP_AUTH の検証) 今回の検証用ソースはこちらです。 Fake SMTP について Fake SMTP はメール送信テストの際に有用です。 わざわざテスト用の SMTP サーバーをレンタルしたりする必要がなくなります。 また実際にメール送信をするわけではないので、テスト時に誤って本番メールアドレスへ送信するという事態を防ぐことができます。 Fake SMTP の仕組みとしてはざっくり以下のような感じです。 メール送信 実際にメール送信が行われるのではなく、Fake SMTP で設定したストレージにメールが保存される そのストレージに保存したメールをブラウザもしくは API 等から確認できる 製品としては以下のようなものが有
EC2インスタンスのユーザーデータ内のdnfコマンドやyumコマンドが失敗する場合の緩和策を考えてみた | DevelopersIO
ユーザーデータでパッケージのインストールをしようとすると失敗するんだが こんにちは、のんピ(@non____97)です。 皆さんはEC2インスタンスのユーザーデータでdnfコマンドやyumコマンドが失敗したことはありますか? 私はあります。 具体的にはユーザーデータでdnf upgradeやdnf install パッケージ名を実行すると、以下のようにRPM: error: can't create transaction lock on /var/lib/rpm/.rpm.lock (Resource temporarily unavailable)とログが出力されます。 $ dnf upgrade -y --releasever=latest Amazon Linux 2023 repository 30 MB/s | 23 MB 00:00 Amazon Linux 2023 Ker
Pythonの`requests`でファイル送信するときにヘッダーにmultipart/form-dataを直接指定してはいけない | DevelopersIO
Pythonの`requests`でファイル送信するときにヘッダーにmultipart/form-dataを直接指定してはいけない Pythonの`requests`を用いて、ファイル送信する際に`multipart/form-data`をヘッダーに直接指定すると失敗してしまいます。 知らずにはまったので、確認方法を含めて共有のために記載しておきます。 DA事業本部の横山です。 Pythonのrequestsを用いて、multipart/form-dataのデータを送信する際にヘッダーに指定すると失敗してしまいます。 知らずにはまったので、確認方法を含めて共有のために記載しておきます。 前提条件 本記事で利用している各ライブラリ等のバージョンは以下になります。 Python: 3.8.13 requests: 2.29.0 概要 requestsで、ファイル情報をPOSTする リクエストヘ
こんにちは、クラウドエース SRE ディビジョン所属の荒木です。 この記事では、JavaScript のパッケージ管理ツール「pnpm」についてご紹介します。 pnpm とは pnpm は Performant NPM を略したもので、JavaScript のパッケージ管理ツールです。npm や yarn と似ていますが、主にディスク容量の節約とインストール速度の向上、node_modules の厳格さに焦点を当てています。 これは pnpm の公式サイトのトップをスクリーンショットしたものなのですが、ページリロードのたびに "p"、"n"、"p"、"m" の大文字小文字がランダムで入れ替わるようになっています。 この仕様が原因で、「PnPm が正式名称だ!」「いや、pnpM が正しい!」といった論争が起きたり起きなかったりします。 npm と比較して pnpm が優れている点 ストレージ
Building the Same App Using Various Web Frameworks [ learning engineering python 🛠 🔥 ] · 8 min read Recently, I’ve been wondering if I should migrate from my current web app stack (FastAPI, HTML, CSS, and a sprinkle of JavaScript) to a modern web framework. I was particularly interested in FastHTML, Next.js, and Svelte. FastHTML: Many folks have started building with it since Jeremy Howard launc
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フロントエンドからファイルをダウンロードさせるやり方について
C言語とCGIで大量のFAX送信作業を自動化した話 | PR TIMES 開発者ブログ
「能力不足」ではなく「情報不足」 - 成長するエンジニアに必要な視点 ✏️ by GPT
Release 5.0.0 · expressjs/express
Laravel Sail9から導入されたMailhogの後継Fake SMTP/mailpitを使ってみた
JavaScriptパッケージ管理ツール「pnpm」の紹介
Building the Same App Using Various Web Frameworks