“江頭2:50”を「Google Chrome」のアドレスバーからググると……?/あまり知られていないURLの形式が罠に【やじうまの杜】
Intro IETF の RFC は、いくつかの場所で同じものが公開されている。 どの URL が最適なのか、という話。 結論は www.rfc-editor.org だ。 RFC Hosting Site 例えば RFC 9110 - HTTP Semantics で言うと、以下の 4 つがある。 https://tools.ietf.org/html/rfc9110 https://datatracker.ietf.org/doc/html/rfc9110 https://www.rfc-editor.org/rfc/rfc9110.html https://httpwg.org/specs/rfc9110.html まずは、これらの違いを簡単に解説する。 tools.ietf.org IETF がホストする RFC は、 tools.ietf.org だった。 RFC 2616: H
コロナ禍で行われた「Go Toイート」事業では、農林水産省から委託を受けた民間の会社や商工会議所などが「ドメイン」と呼ばれるインターネット上の住所を新たに取得するなどして、都道府県ごとにウェブサイトが設けられました。 ところが、「Go Toイート」の終了に伴ってウェブサイトが閉鎖されたことから、ドメインが手放されるようになっていて、ドメインの登録サービス会社のオークションを通じて落札されるなどして、同じURLで別のサイトが表示されるケースがあることがわかりました。 NHKが調べたところ、少なくとも15のドメインにこれまでと異なるサイトが開設されていて、中には、オンラインカジノの情報サイトや「パパ活」に関するサイトなどが開設されているケースもありました。 こうしたドメインの扱いについて、政府のガイドラインでは「正規のウェブサイトになりすました不正なウェブサイトに誘導されないよう、対策を講じた
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
IFTTTやZapierのように複数アプリを連携して自動化できる「n8n」で「RSSで取得したウェブサイトのタイトル&URLをGoogle スプレッドシートに出力する」というワークフローを組んでみた
無料&オープンソースで使える自動化サービス「n8n」を利用して、「GIGAZINEのRSSフィードから1日1回タイトルとURLを取得し、既存のGoogle スプレッドシートに出力する」という基本的なワークフローを構築してみました。 n8n.io - a powerful workflow automation tool https://n8n.io/ GIGAZINEは以前にn8nを自サーバー上に構築しており、そのときの手順を記事化しています。n8nの導入方法を知りたい人はまず以下の記事をチェックしてください。 無料でIFTTTやZapierっぽく全自動連携できる「n8n」を自サーバー上に構築してみた - GIGAZINE まずはn8nにアクセスして「Add Workflow」をクリックします。 次に中央の+アイコンをクリック。 「On a schedule」をクリックします。 トリガーの
GitHub - balazsbotond/urlcat: A URL builder library for JavaScript.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
公開前の福井市人事異動、URLの一部換えたら読めた…同僚にも方法教えた職員処分(読売新聞オンライン) - Yahoo!ニュース
公開前の職員人事異動のファイルを不正に閲覧し、別の職員にも方法を伝えたとして、福井市は28日、市民生活部の30歳代男性職員を戒告の懲戒処分にした。 【表】一目でわかる…自治体職員に賠償を求めた主な事例 市によると、男性職員は3月23日、インターネット上の職員専用の掲示板に保存されていた人事異動情報のファイルを不正に閲覧し、同僚に見る方法を伝えた。ファイルは未公開の状態だったが、URLの一部を書き換えると閲覧できたという。
【追記】Firefox 版も出しました。 はてなミュート - Chrome ウェブストア https://chrome.google.com/webstore/detail/agomiblbpgcimbonnfmlcealkjlegbnf 機能指定したワードを含む記事をミュート指定した URL (の一部) を URL に含む記事をミュート指定した記事を単体で非表示にする訪問済みの記事を目立たなくする( on/off 選択可)ブコメページを訪問済みの記事を目立たなくする( on/off 選択可)1, 2 をする拡張は既にあるけど、下記の機能はこの拡張だけで使える。 記事をその場でミュートするhttps://cdn-ak.f.st-hatena.com/images/fotolife/a/anond_user/20230305/20230305094515.png ミュートアイコンを押すと、ポ
旧TwitterがXへブランド変更されたのは2023年7月下旬。それまで使われていた青い鳥のロゴから、黒いXへと変わった他、アプリ名などもXへと変更されていた。一方、URLについてはtwitter.comのままであった。 関連記事 「Twitter.com」を「X.com」に自動変換 Xが仕様変更も、批判相次ぎすぐ撤回 ネット失笑 Xでポストした「Twitter.com」の文字列が自動的に「X.com」に変換されてしまう――。4月上旬、Xでそんな現象が発生し、詐欺に利用されかねないとしてユーザーが警戒を呼びかけた。間もなく問題は解消されたが、Xの混乱ぶりにあきれる声などが相次いでいる。 YOSHIKI氏、イーロン・マスク氏に「“X JAPAN”の名称で争いたくない」 Twitter改名騒動にコメント X JAPAN・YOSHIKIさんが、新曲「Angel」のリリースに併せて、Twitter
最近はMBSDでWebアプリケーションスキャナの開発をしている寺田です。 Webアプリケーションを開発していると、セキュリティの観点でURLをチェックしなければならないことがしばしばあります。本日の記事では、そのようなURLのチェックを如何に行うか、正規表現を使う場合の注意点や、バイパス方法などについて書きたいと思います。 本記事で想定するのは、ブラウザからパラメータとして来るURLをチェックしてリダイレクトやリンクのURL等として使ったり、ブラウザから来たOriginヘッダ等のURLをチェックしてアクセス制御をするケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… よく使われてそうなチェック用の正規表現と、そのバイパスは以下のとおりです。 正規表現: ^https://.+\.example\.
Cloudflare PagesでURL短縮サービスを作ってみましょう!これを作ることであなたは以下を体験することができるしょう。 HonoでWebページをつくること Cloudflare KVをアプリケーションの中で使うこと アプリケーションをCloudflare Pagesへデプロイすること アプリケーションの特徴 今回作ってもらうアプリケーションはこのような特徴があります。 Viteを使って開発 UI付き JSXを使ってHTMLを書ける メインのコードは100行以下! Zodを使ったバリデーション バリデーションエラーも表示 簡易なCSRF対策 デモ 完成品を使っている様子です。 完成品 完成済みのコードは以下にあります。 アカウント 今回、アプリケーションを作ってCloudflare PagesへデプロイするにはCloudflareのアカウントが必要です。無料の範囲で遊べるので、も
リンク 東京オリンピックは大成功に終わりました。-まとめwiki- 東京オリンピックは大成功に終わりました。-まとめwiki- 2020年の東京オリンピックで起きたことを、ちゃんと全部、後世に残すために問題点や不祥事のアーカイブ化を目的としたまとめwikiです。 1
文化庁のサイトに公開されていた漫画海賊版サイトの資料から。黒塗り部分にカーソルを合わせるとURLが表示され、海賊版サイトにアクセスできるようになっていた 文化庁のサイトで、漫画をインターネット上に無断公開した海賊版サイトのURLが誤って半年以上、公開されていたことが16日分かった。著作権に関する講習会で使用した資料から海賊版サイトにアクセス可能な状態になっていた。SNSで話題になっていることに気付いた文化庁職員が16日朝に削除した。 文化庁は「今後、同様の事態がないよう、チェック体制を確実にする」としている。 資料は昨年8月に開催された教職員向けの著作権講習会で使用されたもので、出版物の海賊版対策に取り組む一般社団法人「ABJ」(東京)が作成した。文化庁はチェックしていなかった。 日本国内からアクセスが多い海賊版サイト上位10件を紹介しており、サイト名とURLは黒塗りになっていたが、マウス
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RFC の URL はどのドメインで貼るのが良いか | blog.jxck.io
「パパ活」情報が「Go Toイート」URLで表示 ドメイン流用の実態は? | NHK
マルチバイト文字とURL | 技術者ブログ | 三井物産セキュアディレクション株式会社
メール中のURLに特殊なIPアドレス表記を用いたフィッシングに、フィッシング対策協議会が注意喚起 Amazon、ETC利用照会サービス、国税電子申告・納税システムなどをかたる
Adobe、WebブラウザーでPDFが手軽に編集できるツール「Acrobat web」を提供開始/「.new」ドメインのURLでも利用が可能
はてブの記事を、キーワードや URL でミュートする Chrome 拡張を作った
「XのURLが変更される予定です」──「twitter.com」が「x.com」にリダイレクトされる仕様に
正規表現でのURLのチェックとバイパス | 技術者ブログ | 三井物産セキュアディレクション株式会社
Cloudflare PagesでURL短縮サービスをつくる!
「東京オリンピックは大成功に終わりました。-まとめwiki-」のURLがツイートできない件
<独自>文化庁、漫画海賊版サイトを半年以上〝紹介〟URL公開