はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
脆弱性を探す話 2023 - Qiita
最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ 主にWebアプリに関すること 診断と自分で勝手に脆弱性を探す行為との違い 網羅性は全く必要ない 診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。 期間が永遠 診断期間は自由なので後で気づいて頭を抱えることはない 攻撃に到るまでを説明する必要がある 「バージョンが古いのでダメです」だけでは許してもらえない 変なことすると逮捕される可能性がある 無闇にツール回すと不正アクセス禁止法に引っかかるので だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない 日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向 コモディティ化が進む 自分だけしか知らないような脆弱性はない まだ知られていない手法もほぼ
2021年に登場したウェブハッキングテクニックトップ10
セキュリティ企業のPortSwiggerでリサーチディレクターを務めるジェームス・ケトル氏が、「2021年に登場したウェブハッキングテクニックトップ10」をPortSwiggerのブログにまとめています。 Top 10 web hacking techniques of 2021 | PortSwigger Research https://portswigger.net/research/top-10-web-hacking-techniques-of-2021 「2021年に登場したウェブハッキングテクニックトップ10」は、PortSwiggerが毎年行っている、過去1年間で発表されたウェブセキュリティに関する研究の中で最も重要なものを特定するための取り組みの2021年版です。2022年1月に選考プロセスをスタートし、情報セキュリティコミュニティから推薦された40件の研究論文の中からお
Jonathan Amsterdam 22 August 2023 The new log/slog package in Go 1.21 brings structured logging to the standard library. Structured logs use key-value pairs so they can be parsed, filtered, searched, and analyzed quickly and reliably. For servers, logging is an important way for developers to observe the detailed behavior of the system, and often the first place they go to debug it. Logs therefore
PHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話
最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。 徳丸浩のウェブセキュリティ講座 そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082 を取り上げようと思ったんですよ。表向きXSSで出ているけど、金床さんのツッコミにもあるように、実はHTTP Request Smuggling(HRS)だというやつです。でね、下準備であらためて調べていると、なんかよく分からない挙動がワラワラと出てくる。なんじゃ、こりゃ。CVE-2018-17082 全然分からない。僕は気分で CVE-2018-17082 を扱っている… で、雑に整理すると、以下のような感じなんです。 古い環境だとCVE-2018-17082は発現しない(2015年以前) 少し古い環境だとCVE-2018-17082は発現する 新しい環境だとCVE-2018
HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
アメリカ製半導体の輸出が厳しく制限されている中国に9万6000個もの半導体を密輸したとして、韓国政府が国内の企業を起訴しました。調べによると、139億ウォン(約15億円)相当の半導体が税関に申告されることなく輸送されていたようです。 Massive Operation Smuggling Semiconductors from US to China Uncovered - Businesskorea https://www.businesskorea.co.kr/news/articleView.html?idxno=210248 South Korean company smuggled $11.6 million worth of US-made chips into China | TechSpot https://www.techspot.com/news/101678-sout
Black Hat USA 2019: 今注目すべき Web セキュリティ関連トピックの解説 - Flatt Security Blog
はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。 HTTP Desync Attacks: Smashing into the Cell Next Door API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web Denial of Service with a Fistful of Packets:
[アップデート] ALB および CLB に HTTP Desync 緩和モードが機能追加されました | DevelopersIO
本日のアップデートで ALB および CLB が HTTP Desync 緩和モードをサポートするようになりました。 Application and Classic Load Balancers are adding defense in depth with the introduction of Desync Mitigation Mode 何がうれしいのか HTTP Desync 攻撃とは このアップデートの何が嬉しいのかを理解するには、まず HTTP Desync 攻撃 について知る必要があります。 近年では Web アプリケーションでは CDN やプロキシをフロントエンドに配置し、バックエンドのサーバーにリクエストを転送するような構成を一般的にとられているかと思います。まず大前提として HTTP Desync 攻撃は、このようなフロントエンド、バックエンド構成において成り立ちます
![[アップデート] ALB および CLB に HTTP Desync 緩和モードが機能追加されました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/876809e40a16193d45c580a01a3f67fc9a50a044/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Felastic-load-balancing.png)
The activities of the Central Intelligence Agency (CIA) in Japan date back to the Allied occupation of Japan. Douglas MacArthur's Chief of Intelligence, Charles Willoughby, authorized the creation of a number of Japanese subordinate intelligence-gathering organizations known as kikan.[1] Many of these kikan contained individuals purged because of their classification as war criminals.[2] In additi
In the course of a research project in collaboration with the SEC Consult Vulnerability Lab, Timo Longin (@timolongin) - known for his DNS protocol attacks - discovered a novel exploitation technique for yet another Internet protocol - SMTP (Simple Mail Transfer Protocol). Threat actors could abuse vulnerable SMTP servers worldwide to send malicious e-mails from arbitrary e-mail addresses, allowin
Security Best Practices Intent This document intends to extend the current threat model and provide extensive guidelines on how to secure a Node.js application. Document Content Best practices: A simplified condensed way to see the best practices. We can use this issue or this guideline as the starting point. It is important to note that this document is specific to Node.js, if you are looking for
SVG画像を悪用したHTMLスマグリング攻撃が発見される
Cisco Talos Intelligence Groupは12月13日(米国時間)、「HTML smugglers turn to SVG images」において、スケーラブル・ベクター・グラフィックス(SVG: Scalable Vector Graphics)画像を悪用した比較的新しいHTMLスマグリング手法が攻撃者に使われていると伝えた。HTMLスクリプトタグを含むSVG画像をエンコードしたHTML添付のフィッシングメールを発見したと報告されている。 HTML smugglers turn to SVG images HTMLスマグリングはHTTPリクエストでリモートサーバからマルウェアを取得するのではなく、HTMLとJavaScriptの正当な機能を悪用して、添付ファイルに含まれるエンコードされた悪質なコードを実行し、被害者のマシン上でペイロードを組み立てる攻撃手法とされている
JVNVU#99039870 HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性 HTTP/2をサポートするHTTP WebプロキシやWebアクセラレータに対して、HTTP/1への変換処理の実装不備によりHTTP Request Smuggling攻撃が可能になる脆弱性が報告されています。 HTTP/2 をサポートするWebプロキシやアクセラレータを、HTTP/1 のみをサポートしているWebサーバと組み合わせて使用している場合、HTTP/2リクエストはHTTP/1リクエストに変換されてWebサーバに届けられます。 一部のWebプロキシやアクセラレータでは、HTTP/2からHTTP/1への変換処理において、不正な形式のリクエストやレスポンスを生成してしまうことが報告されています。 例えば、HTTP/1リクエスト(やレスポンス)で
Assuming you're already familiar with HTTP/1, there are only three new concepts that you need to understand. Pseudo-HeadersIn HTTP/1, the first line of the request contains the request method and path. HTTP/2 replaces the request line with a series of pseudo-headers. The five pseudo-headers are easy to recognize as they're represented using a colon at the start of the name: :method - The request m
by cynoclub 日本では「土用の丑の日」などでよくウナギの蒲焼きが食べられていますが、同じ島国であるイギリスもまたウナギのゼリー寄せなどにしてよくウナギを食べています。そんなイギリスで、生きたウナギ約75億円相当を密輸しようとした男が逮捕される事件が発生。その規模から、世界でも類を見ない密輸事件だと取り沙汰されています。 Man found guilty of smuggling £50m worth of live eels out of UK | UK news | The Guardian https://www.theguardian.com/uk-news/2020/feb/07/man-guilty-smuggling-millions-pounds-worth-live-eels-uk-hong-kong Seafood trader convicted of smu
EngineeringSecuritymTLS: When certificate authentication is done wrongIn this post, we'll deep dive into some interesting attacks on mTLS authentication. We'll have a look at implementation vulnerabilities and how developers can make their mTLS systems vulnerable to user impersonation, privilege escalation, and information leakages. Although X.509 certificates have been here for a while, they have
サイバー犯罪者の間でHTMLスマグリングが人気に、注意を
TrustwaveのSpiderLabsはこのほど、「HTML Smuggling: The Hidden Threat in Your Inbox|Trustwave」において、サイバー犯罪者グループによるHTMLスマグリング攻撃が増加していることを伝えた。HTMLスマグリングは、HTMLとJavaScriptの正当な機能を悪用して、添付ファイルに含まれるエンコードされた悪質なコードを実行し、被害者のマシン上でペイロードを組み立てる攻撃手法。 HTML Smuggling: The Hidden Threat in Your Inbox|Trustwave SpiderLabsの調査により、HTML5属性を悪用したいわゆるHTMLスマグリング攻撃が増えていることが明らかとなった。MicrosoftがインターネットからダウンロードしたMicrosoft Office文書に含まれるマクロをデ
Show Your Support: Did you know that the hundreds of articles written on Phoronix each month are mostly authored by one individual? Phoronix.com doesn't have a whole news room with unlimited resources and relies upon people reading our content without blocking ads and alternatively by people subscribing to Phoronix Premium for our ad-free service with other extra features. Nginx 1.22 Released With
Introduction to Go 1.15 The latest Go release, version 1.15, arrives six months after Go 1.14. Most of its changes are in the implementation of the toolchain, runtime, and libraries. As always, the release maintains the Go 1 promise of compatibility. We expect almost all Go programs to continue to compile and run as before. Go 1.15 includes substantial improvements to the linker, improves allocati
CommunityOpen Source30 free and open source Linux games – part 3With Linux celebrating it’s 30 year anniversary, I thought I’d use that as an excuse to highlight 30 of my favorite free and open source Linux games, their communities, and… With Linux celebrating it’s 30 year anniversary, I thought I’d use that as an excuse to highlight 30 of my favorite free and open source Linux games, their commun
ブラジャーにNintendo Switchのソフトを詰め込み、中国本土への密輸をはかったとして、遼東(リャオトン)港の税関職員が女性を逮捕しました。 Bra中塞入350張遊戲卡 女子經蓮塘口岸闖關失敗被查 https://www.hk01.com/%E5%8D%B3%E6%99%82%E4%B8%AD%E5%9C%8B/1028761/bra%E4%B8%AD%E5%A1%9E%E5%85%A5350%E5%BC%B5%E9%81%8A%E6%88%B2%E5%8D%A1-%E5%A5%B3%E5%AD%90%E7%B6%93%E8%93%AE%E5%A1%98%E5%8F%A3%E5%B2%B8%E9%97%96%E9%97%9C%E5%A4%B1%E6%95%97%E8%A2%AB%E6%9F%A5 【41J肉聲】妹子胸部脹得不單純 海關老司機鷹眼攔下!胸罩內塞350張遊戲卡 http
本稿では、武力紛争や政治変動の連鎖によって国家機構が脆弱になり、それに伴って国境管理が揺らぎ、移民・難民やテロ、組織犯罪といった越境的な問題が交錯している状況を分析する。また、北アフリカのリビアに焦点を当て、「人の移動(migration)(注1)」と安全保障問題の交差によって生じる問題を明らかにする。 2010年末からの「アラブの春」を契機として、中東・アフリカから欧州を目指す人の移動は激増した。これにより、「欧州難民危機」、つまり大量の移民・難民が欧州連合(EU)諸国に押し寄せ、欧州域内で対応しきれず、政治的・社会的な混乱・変革が発生している状況や、また大規模かつ広範囲な移動の途上で多くの人命が失われる状況が発生した(注2)。 2017年以降、EUの国境管理や移民政策の厳格化を背景として欧州に渡る移民の数は減少している一方で、移民・難民を取り巻く環境は悪化していると指摘される。地中海を
HTML smuggling surges: Highly evasive loader technique increasingly used in banking malware, targeted attacks | Microsoft Security Blog
HTML smuggling, a highly evasive malware delivery technique that leverages legitimate HTML5 and JavaScript features, is increasingly used in email campaigns that deploy banking malware, remote access Trojans (RATs), and other payloads related to targeted attacks. Notably, this technique was observed in a spear-phishing campaign from the threat actor NOBELIUM in May. More recently, we have also see
「Advisory Content-Length for HTTP」と自転車置場の話し - ASnoKaze blog
プロトコルの標準化の場では、自転車置き場(Bikeshed)の話がたまに出てきます。そのやり取りが面白かったので、今回新しく出た提案仕様自体の解説にあわせて紹介します。 Advisory Content-Length for HTTP IETFでHTTP WGの議長も務める Mark Nottingham氏から「Advisory Content-Length for HTTP」という提案仕様が提出されています。 ここで背景としている問題は次のとおりである。HTTPにおけるContent-Lengthヘッダーは、2つの意味で使用されています。1つめは、HTTP/1.1におけるメッセージの終端を示すため。2つめは、メッセージボディ(内容)の長さを示すために使用されます。 HTTP/1.1に置いてメッセージの終端を示すのに使用されていますが、Transfer-Encodingヘッダと合わせて使用
2023年3月14日(火)にOpenAIが正式発表した大規模言語モデル「GPT-4」は、従来のGPT-3.5だけでなく、既存のAIの性能を大きく上回っているとされています。一般的にGPT-4のような言語モデルは出力するテキストに制限がかけられていますが、テキスト入力によってこの制限を外すことが可能で「ジェイルブレイク(脱獄)」と呼ばれています。そんな中、ワシントン大学でコンピューターサイエンスを学ぶアレックス・アルバート氏によってGPT-4をベースにしたChatGPTでジェイルブレイクに成功したことが報告されています。 GPT-4 Simulator https://www.jailbreakchat.com/prompt/b2917fad-6803-41f8-a6c8-756229b84270 アルバート氏は2023年3月17日に「コンテンツフィルターを回避するGPT-4ベースのChat
はじめに 世界的に知られているウェブサーバ実装のApache HTTP Serverがパストラバーサルの脆弱性を出してしまいました。しかも最初に発見されたCVE-2021-41773だけでなく、すぐに別のパストラバーサル脆弱性CVE-2021-42013も見つかり、わずか数日という短い期間において2度のバージョンアップが行われるという慌ただしい状況になりました。今回はこのApacheの脆弱性と、それに対してScutumがどのように対応できたかについて簡単にご紹介します。 ゼロデイ防御に成功 Scutumはクラウド型WAFとして、パストラバーサルへの攻撃を防ぐことを1つの目的にしています。そして今回Apacheに見つかった2つの脆弱性については、どちらもゼロデイで(脆弱性が発見されるよりもはるか昔から)防御ができる状態でした。そもそもこのような攻撃を想定した防御機能を展開していたためです。
Ruby 3.0.1, 2.7.3, 2.6.7, 2.5.9 がリリースされた。安定版へのメンテナンス、リリースありがとうございます。 https://www.ruby-lang.org/ja/news/2021/04/05/ruby-3-0-1-released/ https://www.ruby-lang.org/ja/news/2021/04/05/ruby-2-7-3-released/ https://www.ruby-lang.org/ja/news/2021/04/05/ruby-2-6-7-released/ https://www.ruby-lang.org/ja/news/2021/04/05/ruby-2-5-9-released/ 脆弱性対応 Ruby 3.0 系から、このたび EOL になった 2.5 系まで含めると、以下3つの脆弱性への対応となるようです。 C
Published: 07 August 2019 at 21:00 UTC Updated: 07 September 2022 at 09:06 UTC AbstractHTTP requests are traditionally viewed as isolated, standalone entities. In this paper, I'll explore forgotten techniques for remote, unauthenticated attackers to smash through this isolation and splice their requests into others, through which I was able to play puppeteer with the web infrastructure of numerous
Benefits for LWN subscribersThe primary benefit from subscribing to LWN is helping to keep us publishing, but, beyond that, subscribers get immediate access to all site content and access to a number of extra site features. Please sign up today! The scp command, which uses the SSH protocol to copy files between machines, is deeply wired into the fingers of many Linux users and developers — doubly
Richard Stallman's personal political notes from 2019: July - October These are my personal opinions and do not speak for the GNU Project, the FSF, or anyone else. [ 2023 July - October | 2023 March - June | 2022 November - February | 2022 July - October | 2022 March - June | 2021 November - February | 2021 July - October | 2021 March - June | 2020 November - February | 2020 July - October | 2020
Transfer-Encoding: chunked 送信するデータを、chunk(塊)毎に16進数でバイト数を記す。 最後に0のみからなる行と空行を示してレスポンスを返す。(改行はバイト数に含まれない) POSTパラメータの改行 以下のように改行してもパラメータxの値と見なされる。 これからは、下図のネットワーク構成をもとに話を進めていきます HTTP Request Smuggling(HRS)とは フロントエンドサーバとバックエンドサーバでリクエストの終端の解釈が異なる場合に発生する脆弱性 CL.TE vulnerabilities 例えば、フロントエンドがContent-Length(以下CL)のみに対応していて、バックエンドがTransfer-Encoding(以下TE)にのみ対応していた場合のリクエストの処理の流れを見ていく。 まず、CLに対応しているフロントエンドがConte
Men Arrested For Selling Over 45,000 Fake COVID-19 Test Kits
Fake test kits found in Bangkok Images adapted from: Thansettakij It’s not just COVID-19 itself that we should be cautious of, but also of those who take advantage of innocent people during this harsh period of time. On 8th April 2020, Police Lieutenant General Permpun Chitchob, the Assistant Commissioner–General reported a case of fake COVID-19 test kits, masks, and thermometers being sold. The c
8/7~8にラスベガスで開催されたBlack Hat USAに参加してきました。筆者が参加したのは2016, 2017に引き続き3度目です(ブログ記事 2016年、2017年)。今年もWeb関連のブリーフィングを中心に報告します。 ■HTTP Desync Attacks: Smashing into the Cell Next Door https://www.blackhat.com/us-19/briefings/schedule/#http-desync-attacks-smashing-into-the-cell-next-door-15153 Burpの開発元であるPortSwigger社のJames Kettle氏の講演です。 発表した攻撃は、フロントエンドにプロキシなどが存在する場合に成立しえます。 図のように、フロントからバックのWebサーバへの接続には複数のHTTPリク
『Anbox Cloud』サービスの発表 Canonicalから新しいプラットフォーム、『Anbox Cloud』が発表されました(同日本語版)。Anboxは、Linux上でAndroidアプリケーションを動作させるための互換性レイヤをコンテナとして提供するソフトウェアで、これを大規模にデプロイできるようにしたものがAnbox Cloudです。Anboxそのものは以前から存在しており、そこまで新しいものではないものの、「JujuやMAASを用いることで、任意の規模のインストールベース上でサービスを展開できる」「CI/CDフローともセットになっている」という点が新しさとなっています[1]。 アナウンスに含まれるIntelとの共同ホワイトペーパーを見ると、Intel(+Celestica)のVCAシリーズの最新モデル、VCAC-R[2]との併用も想定されており、いわゆるクラウドゲー
ウガンダで横行する化粧品密輸、背負った赤ちゃんに見せかけて
ウガンダ共和国の税務当局は、赤ん坊のように見せかけた輸入禁止の化粧品を押収したと発表、1月8日、ツイッターでその写真を公開した。 化粧品が詰まった赤ん坊 On face value, it's a mother carrying a child on her back. In reality,it's a smuggler bringing in carefully concealed banned cosmetics from DRC. Intel had been gathered about this smuggling mode.Mpondwe enforcement nabbed her as she crossed via a shallow point of River Rubiiha. pic.twitter.com/I3gQVO6e4k — Uganda Revenue
Ubuntu Weekly Topics 2019年11月22日号Meltdown/Spectre/Foreshadowの後の世界・“TAA”, “MCEPSC”への対応 Meltdown/Spectre/Foreshadowの後の世界・“TAA”, “MCEPSC”への対応 また新しいCPU脆弱性がやってきました。Intelの今年2度目の定期アドバイザリで公表された、TAA(TSX Asynchronous Abort)と呼ばれるこの攻撃手法(INTEL-SA-00270; CVE-2019-11135)は、半年前のMDS(としてグループにされた攻撃手法のひとつ、ZombieLoad)のバリエーションで、TSX命令をターゲットとするものです。TSX命令はCascade Lake以降(=第8世代Coreシリーズ/第2世代Xeon Scalable Processsorシリーズ以降)のInt
English | Chinese (simplified) 简体中文 | Chinese (traditional) 繁體中文 | Japanese 日本語 | Korean 한국어 Letter by Concerned Economists Regarding “Contracting for Sex in the Pacific War” in the International Review of Law and Economics Please click here to sign this letter Frequently Asked Questions and More resources Statements by Al Roth and Paul Milgrom, Pinelopi Goldberg, Roger Noll, the twelve editors of
One-lined Python
Convert any* Python 2 script into a single line. No newlines allowed. No semicolons, either. No silly file I/O tricks, or eval or exec. Just good, old-fashioned λ. Oh dear God, why? Yeah, I know, I’m a terrible person. Why no semicolons? That would be against the spirit of this exercise. Why pass up a perfectly good excuse to abuse lambda functions, ternary expressions, list comprehensions, and ev
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
Structured Logging with slog - The Go Programming Language
さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング | yamory Blog
韓国から中国へ15億円相当のアメリカ製チップが密輸されていたことが判明
複数のSMTPプロトコル実装になりすましメールを送信される脆弱性「SMTP Smuggling」/深刻度は「MEDIUM」で「Postfix」、「Sendmail」、「Exim」に影響
CIA activities in Japan - Wikipedia
SMTP Smuggling - Spoofing E-Mails Worldwide
Node.js — Security Best Practices
JVNVU#99039870: HTTP WebプロキシやWebアクセラレータのHTTP/2実装不備によるHTTPリクエストスマグリングの脆弱性
HTTP/2: The Sequel is Always Worse
世界最大級の密輸事件が発生、約75億円相当の「生きた絶滅危惧種のウナギ」を密輸した男が逮捕され有罪判決を受ける
mTLS: When certificate authentication is done wrong
Nginx 1.22 Released With OpenSSL 3.0 Support - Phoronix
Go 1.15 Release Notes - The Go Programming Language
30 free and open source Linux games 💾 3 of 3
下着にNintendo Switchのソフトを350枚隠して密輸を試みた女性が逮捕される
複合的問題としての人の移動――安全保障問題との交差/小林周 - SYNODOS
GPT-4をハッキングして出力するテキストの制限を解除する「ジェイルブレイク」に早くも成功したことが報告される
ApacheのパストラバーサルをWAFでゼロデイ防御できたのは何故か
Ruby 3.0.1, 2.7.3, 2.6.7, 2.5.9 がリリースされた - koicの日記
HTTP Desync Attacks: Request Smuggling Reborn
Deprecating scp [LWN.net]
2019: July - October Political Notes - Richard Stallman
HTTP Request Smuggling を理解する - Qiita
Black Hat USA 2019 参加報告(Web編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
2020年1月24日号 『Anbox Cloud』サービスの発表・19.04のEOL | gihyo.jp
2019年11月22日号 Meltdown/Spectre/Foreshadowの後の世界・“TAA”, “MCEPSC”への対応 | gihyo.jp
Letter by Concerned Economists Regarding “Contracting for Sex in the Pacific War” in the International Review of Law and Economics