Go 1.15 リリースノート 日本語訳 - Qiita
この記事は https://golang.org/doc/go1.15 を日本語訳したものです. 前のバージョンはこちら: Go 1.14 リリースノート 日本語訳. 次のバージョンはこちら: Go 1.16 リリースノート 日本語訳. Go 1.15 の紹介 最新の Go リリース、バージョン 1.15 は、Go 1.14 から6か月後に届きます. その変更点のほとんどは、ツールチェーン、ランタイム、およびライブラリの実装になります. いつものように、このリリースは Go 1 の互換性の約束を守っています. 私たちは、ほとんどすべての Go プログラムが以前と同じようにコンパイルし実行し続けれると予想しています. Go 1.15 には、リンカの大幅な改良、多 CPU コア数での小さなオブジェクトの割り当ての改善、X.509 CommonName の廃止が含まれています. GOPROXY
Photo by Quino Al (以下、4/21のtweetのまとめ) 日本でも無いと大騒ぎのマスクだが、もちろん世界でも無い。そして修羅の国もびっくりな争奪戦が世界のあちこちで繰り広げられている。 ドイツはスイスが輸入したマスクの出荷をブロック、一方でドイツに輸送中のマスクはタイの空港で飛行機から飛行機への積み替え中にアメリカが横取り。 アメリカはさらに国内でも、国・州・病院が相互に争っている。アメリカだけで世界の感染者の 1/3〜1/4 がいる状態でそんなことしてる場合ではないのだが、「医療機器、PPEの確保は州が自分でやれ」と大統領が公言していることもあり、国に横取りされるのを恐れた州や病院はマスク等を秘密裏に取り寄せようと画策している。 ■マスク争奪戦の例 マサチューセッツ州は、3月だけで300万枚のマスクが国に奪取され、アメフトチームPatriotsのプライベートジェットを直
JSer.info #521 - WebAssemblyのランタイムであるWasmer 1.0がリリースされました。 Wasmer 1.0. By leveraging Wasm for software… | by Syrus Akbary | Wasmer | Jan, 2021 | Medium wasmer/CHANGELOG.md at master · wasmerio/wasmer Wasmer 1.0では、Wasmファイルを.dllなどにプリコンパイルするwasmer compileの追加、クロスコンパイルの対応、エラーレポートの改善などが含まれています。 1.0ではAOT (Ahead Of Time) compilation(wasmer compileによるprecompile)などをサポートしたことでproduction readyとなったと書かれています。 次の記
ファイア・フェスティバル - Wikipedia
ファイア・フェスティバル(Fyre Festival)は、Fyre Media IncのCEOであるビリー・マクファーランド(英語版)と、ラッパーのジャ・ルールが詐欺的なマーケティング手法を用いて企画していた音楽祭である。2017年の4月28日から30日と5月5日から7日にかけての開催を予定していた。多数のインフルエンサーやセレブリティにInstagramでイベントの告知を行わせるステルスマーケティングを用いたプロモーションキャンペーンを展開した。インフルエンサーらはFyre側から報酬を支払われていたが、この事実を当初は公にしていなかった者が多数存在していた。 開催初日に至った時点でこのイベントは警備態勢、食事の提供、宿泊施設、医療態勢、出演するミュージシャンらとの関係等において深刻な問題に直面しており、無期限の延期が発表され次いですぐに中止が発表された。イベントの参加者は数百ドルの参加費
What is HTTP request smuggling? Tutorial & Examples | Web Security Academy
HTTP request smuggling In this section, we'll explain HTTP request smuggling attacks and describe how common request smuggling vulnerabilities can arise. Labs If you're already familiar with HTTP request smuggling and just want to practice on a series of deliberately vulnerable sites, check out the link below for an overview of all labs in this topic. View all HTTP request smuggling labs What is H
SMTP Smuggling
[An updated version of this text may be found at https://www.postfix.org/smtp-smuggling.html] Author: Wietse Venema Last update: January 22, 2024 Summary Days before a 10+ day holiday break and associated production change freeze, SEC Consult has published an email spoofing attack that involves a composition of email services with specific differences in the way they handle line endings other than
3月11日に開催予定のColabo代表仁藤夢乃氏ら講演イベントで、真正な同意なく参加客を撮影した疑いです。個人情報保護法、肖像権侵害を検討します。 https://twitter.com/echonewsjp エコーニュースは現在、仁藤夢乃さんおよびColaboと名誉毀損訴訟で裁判をして闘っています。 仁藤夢乃さんには、多額の国税が流れ込んでいて、敵方は資金力潤沢です。 こちらもカウンターで裁判支援・取材支援を募集しています。 【※音無ほむら・エコーニュースへの投げ銭はこちらから】 https://ofuse.me/homura ↑「OFUSE」で投げ銭してくれた方は、名前を読み上げたうえで動画でメッセージに返信します。 ペイパルでのご寄付はこちら→ https://paypal.me/echonewsjp?country.x=JP&locale.x=ja_JP 「ほむらのほ
Paul Le Roux - Wikipedia
Early life[edit] Le Roux was born on 24 December 1972, at Lady Rodwell Maternity Home in Bulawayo, Zimbabwe and given up for adoption. His birth certificate gives his first name as "unknown" and makes no mention of his father.[4][6][7] His biological mother's identity has not been disclosed; one source claims she was a poor teenager, while another states that his maternal grandmother was married t
"},"dump":{"kind":"string","value":"CC-MAIN-2013-20"},"url":{"kind":"string","value":"http://%20jwashington@ap.org/Content/Press-Release/2012/How-AP-reported-in-all-formats-from-tornado-stricken-regions"},"date":{"kind":"string","value":"2013-05-18T05:48:54Z"},"file_path":{"kind":"string","value":"s3://commoncrawl/crawl-data/CC-MAIN-2013-20/segments/1368696381249/warc/CC-MAIN-20130516092621-00000-
Mitmproxy 8
We’re delighted to announce the release of mitmproxy 8, a free and open source interactive HTTPS proxy. This release brings major improvements to mitmweb, our web interface, and new functionality for addon developers. Web UI Improvements This release includes a whole bunch of mitmweb improvements, contributed by our fantastic Google Summer of Code 2021 student, Toshiaki Tanaka! Mitmweb now renders
2021 Trafficking in Persons Report - United States Department of State
Message From the Secretary of State Dear Reader: This year’s Trafficking in Persons Report sends a strong message to the world that global crises, such as the COVID-19 pandemic, climate change, and enduring discriminatory policies and practices, have a disproportionate effect on individuals already oppressed by other injustices. These challenges further compound existing vulnerabilities to exploi
CTFとかBoot2Rootとか競技化(ゲーム化)されたセキュリティ関連の情報をまとめておく。 実世界では使わないこと。 WriteupとかWalkthroughとか(どちらも問題解説のこと)はSecurity カテゴリーの記事一覧 - はまやんはまやんはまやんに大量にあるので、漁ってください。 CTF CTFにおけるWebセキュリティ入門とまとめ - はまやんはまやんはまやん CTFのWebセキュリティにおけるHTTP通信まとめ(HTTP, Request Smuggling, Response Splitting, HTTP2) - はまやんはまやんはまやん CTFのWebセキュリティにおける認証認可まわりまとめ(Cookie/Session、Authentication/Authorization、JWT、IDOR, TOTP, OAuth) - はまやんはまやんはまやん CTFのW
(Update 4-Jan-2021) Security releases available Updates are now available for v10,x, v12.x, v14.x and v15.x Node.js release lines for the following issues. In addition to the vulnerabilities listed below, these releases also include an update to npm in order to resolve an issue that was reported against npm by security scanners even though it was not vulnerable. use-after-free in TLSWrap (High) (C
Smugglers are sawing through new sections of Trump’s border wall
SAN DIEGO — Smuggling gangs in Mexico have repeatedly sawed through new sections of President Trump’s border wall in recent months by using commercially available power tools, opening gaps large enough for people and drug loads to pass through, according to U.S. agents and officials with knowledge of the damage. The breaches have been made using a popular cordless household tool known as a recipro
JSer.info #611 - TypeScript 4.9 betaがリリースされました。 Announcing TypeScript 4.9 Beta - TypeScript 型キャストはせずに型の一致をチェックできるsatisfies演算子の追加、in演算子での型の絞り込みの改善、== NaNをコンパイルエラーに変更などが行われています。 satisfies演算子については次の記事が詳しいです。 Typescript’s new ‘satisfies’ operator | by Cefn Hoile | Aug, 2022 | Medium また、--watchでのファイル監視のデフォルトをuseFsEventsに変更、exportsフィールドのtypeVersionsの優先度を修正なども含まれています。 Cloudflare Workersのruntimeであるworkerd
バグバウンティにおける Critical な脆弱性報告の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際に報告されている危険度が Critical (致命的)な Web アプリケーションの脆弱性について事例をもとに紹介します。 1. 始めに 免責事項 想定読者 Critical な脆弱性 CVSS 2. Critical な脆弱性報告の事例 XSS (Cross-site Scripting) SQL Injection Command Injection SSRF (Server Side Request Forgery) Path Traversal Code Injection XXE (XML External Entitie) Insecure Deserialization Improper Access Control IDOR (Insecure Direct Object Reference
The Bad Guys Are Winning
The future of democracy may well be decided in a drab office building on the outskirts of Vilnius, alongside a highway crammed with impatient drivers heading out of town. I met Sviatlana Tsikhanouskaya there this spring, in a room that held a conference table, a whiteboard, and not much else. Her team—more than a dozen young journalists, bloggers, vloggers, and activists—was in the process of chan
45 days of hell: Father thrown in jail during desperate search for his kids
The father of two has not seen his children since May last year. Photo/ AP An Australian father thrown in jail during a desperate search for his missing children in Japan says he was tortured, threatened and told he was "subhuman" during his incarceration. Freelance sports journalist Scott McIntyre spent 45 hellish days behind bars — including a stint at a notorious detention centre where death ro
Transfer-Encoding: chunked 送信するデータを、chunk(塊)毎に16進数でバイト数を記す。 最後に0のみからなる行と空行を示してレスポンスを返す。(改行はバイト数に含まれない) POSTパラメータの改行 以下のように改行してもパラメータxの値と見なされる。 これからは、下図のネットワーク構成をもとに話を進めていきます HTTP Request Smuggling(HRS)とは フロントエンドサーバとバックエンドサーバでリクエストの終端の解釈が異なる場合に発生する脆弱性 CL.TE vulnerabilities 例えば、フロントエンドがContent-Length(以下CL)のみに対応していて、バックエンドがTransfer-Encoding(以下TE)にのみ対応していた場合のリクエストの処理の流れを見ていく。 まず、CLに対応しているフロントエンドがConte
(Update 07-July-2022) Security releases available Updates are now available for the v18.x, v16.x, and v14.x Node.js release lines for the following issues. HTTP Request Smuggling - Flawed Parsing of Transfer-Encoding (Medium)(CVE-2022-32213) The llhttp parser in the http module does not correctly parse and validate Transfer-Encoding headers. This can lead to HTTP Request Smuggling (HRS). More deta
Published: 31 December 2019 at 14:39 UTC Updated: 07 September 2020 at 13:49 UTC Update: the results are now in! View them here: Top 10 web hacking techniques of 2019Nominations for the top 10 new web hacking techniques of 2019 are now open! Every year, professional researchers, seasoned pentesters, bug bounty hunters and academics release a flood of blog posts, presentations, videos and whitepape
はじめに 基礎技術研究部リサーチエンジニアの末吉です。 HTTP リクエストスマグリング(HTTP Request Smuggling: HRS)の CVE 登録数を見ると、最初に発表された 2005 年に大量に登録されて以降は下火傾向で、2018 年までは毎年数件ずつ登録される程度でした*1。 ところが 2019 年から再燃し、今年に至るまで再び大量に登録されだしています。 上記は CVE の登録数だけを見た傾向ですが、実際 HTTP リクエストスマグリングは 2019 年を境に急激に発展し、今年に至るまで毎年様々な新手法が発表され、注目を浴びています。 ただ、その割には日本語で HTTP リクエストスマグリングを扱った記事は少なく、この名前を聞いたこともないという方もそこそこ多いと思います。 そこで、この記事では HTTP リクエストスマグリングの基礎から Black Hat USA
By Andrew Harding, Reporting from France, Belgium, Luxembourg and the UK As he ambled, nonchalantly, across a sunlit public square, the smuggler appeared to have no idea he was being followed. He was a short, stocky, 39-year-old in a pale green shell suit and baseball cap - an unremarkable figure taking an afternoon stroll from a tented migrant reception centre to a nearby tram station. Our team b
Ubuntu Weekly Topics 2020年10月30日号Ubuntu 21.04 “Hirsute Hippo”の開発、Microsoft Edge preview builds for Linux Ubuntu 21.04 “Hirsute Hippo”の開発 Groovy(20.10)のリリースから数日、「次」(=「H」で始まるなにか)のUbuntuの開発がスタートしました。distro-info-dataパッケージに含まれる情報や、開発のためのポケットの解放アナウンス、そしてwiki上の記載によると、コードネームは“Hirsute Hippo”、『毛むくじゃらのカバ』(注1)となります。 開発のスタートから2時間ほどでおもむろにPython3のデフォルトを3.9に切り替えるための準備がスタートしたり、よく考えてみればまだGroovyのOpenStackがリリー
Cocaine cartels encroach on Unification Church’s Paraguayan paradise
The South Korean religious organization founded by self-proclaimed messiah Sun Myung Moon bought a remote piece of land in Paraguay about a quarter century ago, hoping to create an oasis for followers. Now the area is a hub for global drug trafficking. PUERTO CASADO, Paraguay Early one morning in July of last year, about 30 Paraguayan anti-narcotics officers flew into a vast wooded wilderness know
Zero-Day Disclosure: Palo Alto Networks GlobalProtect VPN CVE-2021-3064 Overview: CVE-2021-3064 On November 10, 2021 Palo Alto Networks (PAN) provided an update that patched CVE-2021-3064 which was discovered and disclosed by Randori. This vulnerability affects PAN firewalls using the GlobalProtect Portal VPN and allows for unauthenticated remote code execution on vulnerable installations of the p
Ruby 3.0.1/2.7.3/2.6.7/2.5.9セキュリティ修正がリリースされました|TechRacho by BPS株式会社
Ruby 3.0.1/2.7.3/2.6.7/2.5.9セキュリティ修正がリリースされました。 Ruby 3.0.1 Released https://t.co/hDTy7hNOj1 — Yukihiro Matsumoto (@yukihiro_matz) April 5, 2021 リリースノート: Ruby 3.0.1 Released コミットログ差分: Comparing v3_0_0...v3_0_1 · ruby/ruby リリースノート: Ruby 2.7.3 Released コミットログ差分: Comparing v2_7_2...v2_7_3 · ruby/ruby リリースノート: Ruby 2.6.7 Released コミットログ差分: Comparing v2_6_6...v2_6_7 · ruby/ruby リリースノート: Ruby 2.5.9 Relea
A story of leaking uninitialized memory from Fastly
This post will go through a QUIC (HTTP/3) implementation bug in the H2O webserver. The bug is pretty interesting as it affected Fastly in a way that it allowed stealing random requests and responses from uninitialized memory of its’ nodes, somewhat similar to CloudBleed (but unlike CloudBleed, this vulnerability required a specific actions from an attacker). Initially, I was hunting for HTTP Reque
Node.js — Node v14.11.0 (Current)
Notable Changes This is a security release. Vulnerabilities fixed: CVE-2020-8251: Denial of Service by resource exhaustion CWE-400 due to unfinished HTTP/1.1 requests (Critical). CVE-2020-8201: HTTP Request Smuggling due to CR-to-Hyphen conversion (High). Commits [dd828376a0] - deps: update llhttp to 2.1.2 (Fedor Indutny) nodejs-private/node-private#215 [753f3b247a] - http: add requestTimeout (Mat
Published: 09 February 2022 at 13:59 UTC Updated: 10 February 2022 at 15:20 UTC Welcome to the Top 10 (new) Web Hacking Techniques of 2021, the latest iteration of our annual community-powered effort to identify the most significant web security research released in the last year. Since kicking off the selection process in January, the infosec community has nominated 40 research papers, then voted
GraphQL Cheat Sheet¶ Introduction¶ GraphQL is an open source query language originally developed by Facebook that can be used to build APIs as an alternative to REST and SOAP. It has gained popularity since its inception in 2012 because of the native flexibility it offers to those building and calling the API. There are GraphQL servers and clients implemented in various languages. Many companies u
Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
This request triggered an extremely suspicious intermittent 400 Bad Request response from various websites that were running AWS Application Load Balancer (ALB) as their front-end. Investigation revealed that ALB was mysteriously adding a 'Transfer-Encoding: chunked' header while downgrading the request to HTTP/1.1 for forwarding to the back-end, without making any alterations to the message body:
PHPの脆弱性CVE-2018-17082は「XSS」として報告されていますが、実際にはHTTP Request Smuggling(HRS)として解釈するべきです。脆弱性の原因はContent-LengthとTransfer-Encodingの両方を含む場合、RFCの定義ではContent-Lengthを無視すべきところ、PHP側がRFC通りの実装になっていなかったことにあります。この動画では、Chunked EncodingとHRSの基礎的な説明を行います。 ------------ ■EG セキュアソリューションズ株式会社 https://www.eg-secure.co.jp/ ■お仕事の依頼はこちらから https://www.eg-secure.co.jp/contact/ ------------
uBlock, I exfiltrate: exploiting ad blockers with CSS Published: 06 December 2021 at 14:00 UTC Updated: 07 December 2021 at 12:15 UTC Ad blockers like uBlock Origin are extremely popular, and typically have access to every page a user visits. Behind the scenes, they're powered by community-provided filter lists - CSS selectors that dictate which elements to block. These lists are not entirely trus
When it’s not only about a Kubernetes CVE…
Who we are :We are two French security researchers who worked and found a Kubernetes vulnerability together. Our names are Brice Augras and Christophe Hauquiert, but you might also know us as Reeverzax and Hach on many Bug Bounty platforms. Brice Augras — https://hackerone.com/reeverzax — BZHunt Christophe Hauquiert — https://hackerone.com/hach — Sekost What happened ?This testimony is our way to
How the war split the mafia
Aleksandr otdelnov owns an unusual tourist attraction: a smuggling museum. Contraband has been flowing through his native Odessa since the 18th century. Until it closed because of covid-19, the museum displayed everything from pearls and pistols sneaked into imperial Russia to more contemporary loot. Then came the war in February 2022. “The port stopped working, and everything stopped,” says Mr Ot
スワンナプーム国際空港に到着 - 旧友に会いにバンコクへ スワンナプーム国際空港 マレーシアからの帰国途中、タイのスワンナプーム国際空港でトランジットをすることとなった。次のフライトまでの時間に余裕があったので、久し振りにバンコク市内を訪れ、タイの旧友に会うことに決めた。 実に4年ぶりのバンコク。Grabを利用してタクシーを手配し、プロンポン駅近辺へと向かった。雨模様だったが、移動は順調だった。市内の変化を捉えようと窓から外を眺める。風景は4年前に見たものと何ら変わりはないように感じた。 旧友との待ち合わせ時間まで、プロンポンにある漫画喫茶「春らんまんカフェ」で漫画を楽しみながら時を過ごした。そして、近くのスターバックスで友人と再会。彼は華人系(潮州系)のタイ人で、我々のコミュニケーションは英語で行われる。 旧友との再会は心温まるものだったが、彼が最近「Deep South(タイの深南部)
Smuggler caught with 256 Intel Core i7-10700/i9-10900K processors strapped to his body - VideoCardz.com
Intel Core processors are now being smuggled to ChinaChinese customs officers have seized a total of 304 Intel 10th Gen Core processors after two individuals have tried to carry the processors over a Hong Kong-Macao border. The global shortage of computer hardware calls for desperate measures. Despite the rather good availability of 10th Gen Core processors across the globe, some regions still see
Dec 21, 2021 I recently worked out a promising idea with Niko Matsakis and Yoshua Wuyts to solve what I’ll call the “context problem” in Rust. The idea takes inspiration from features in other languages like implicit arguments, effects, and object capabilities. While this is very much at the early stages of development, I’m sharing it here to hopefully get more perspectives and ideas from the Rust
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
戦後の闇市状態のPPE・人工呼吸器の世界争奪戦、そしてモサド
2021-01-07のJS: Wasmer 1.0、2021年のウェブ標準とブラウザ、xstyled
仁藤夢乃講演会 まともな同意なしに集まった客席を撮影 個人情報保護法違反の疑い
HuggingFaceFW/fineweb · Datasets at Hugging Face
競技セキュリティまとめのまとめ - はまやんはまやんはまやん
Node.js — January 2021 Security Releases
2022-09-29のJS: TypeScript 4.9 Beta、workerd(Cloudflare Workers runtime)、Web Almanac 2022
HTTP Request Smuggling を理解する - Qiita
Node.js — July 7th 2022 Security Releases
Top 10 web hacking techniques of 2019 - nominations open
HTTP リクエストスマグリング入門から最新研究まで - FFRIエンジニアブログ
BBC tracks down man behind Channel crossing which killed Sara, 7
2020年10月30日号 Ubuntu 21.04 “Hirsute Hippo”の開発、Microsoft Edge preview builds for Linux | gihyo.jp
Zero-Day Disclosure: PAN GlobalProtect CVE-2021-3064
Top 10 web hacking techniques of 2021
GraphQL - OWASP Cheat Sheet Series
CVE-2018-17082に学ぶHTTP Request Smuggling(HRS)入門
uBlock, I exfiltrate: exploiting ad blockers with CSS
タイ深南部の歴史探訪|ある王国の光と影 -マレーシア クランタンで開いた扉- - 語学で活きる
Contexts and capabilities in Rust
https://blog.zeddyu.info/2019/12/08/HTTP-Smuggling-en/
