サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog
はじめに こんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。 本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。 はじめに AWS Lambda について サーバーレスにおけるセキュリティリスク AWS Lambda で起こりうる脆弱性攻撃 Lambda での脆弱性攻撃によるリスク 脆弱性攻撃による更なるリスク OS Command Injection XML External Entity (XXE) Insecure Deserialization Server Side Request Forgery (SSRF) Remote Code Execution (RCE) AWS Lambda におけるセキュリティ対策 セキュリティ
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
こんにちは。プロダクトグループの坂井です。 Pythonのフレームワークの一つであるFlaskを使う機会がありましたので、まずはローカル開発環境をDockerで構築してみました。 作業環境 macOS Mojave 10.14.6 Docker 19.03.1 Docker Compose 1.24.1 Dockerのインストールについては割愛します。 構築するローカル開発環境 Python 3.7.4 Flask 1.1.1 さっそく構築 Pythonの公式イメージがDocker Hubにありますので、公式イメージを利用してコンテナを作成します。 Dockerfile FROM python:3.7.4 ARG project_directory WORKDIR $project_directory RUN pip install flask 6行目で最新バージョン1のFlaskをインス
TypeScript Future Corporation 2022 11 14 i TypeScript 1 3 1.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 1.2 TypeScript . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 1.3 TypeScript . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.4 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 1.5 . . . . . . . . .
Orange Tsai tweeted a few hours ago about “One of [his] PHP vulnerabilities, which affects XAMPP by default”, and we were curious to say the least. XAMPP is a very popular way for administrators and developers to rapidly deploy Apache, PHP, and a bunch of other tools, and any bug that could give us RCE in its default installation sounds pretty tantalizing. Fortunately, for defenders, the bug has o
5 modern alternatives to essential Linux command-line tools
In addition, htop provides system overview information at the top and a command bar at the bottom to trigger commands using the function keys, and you can customize it by pressing F2 to enter the setup screen. In setup, you can change its colors, add or remove metrics, or change display options for the overview bar. While you can configure recent versions of top to achieve similar results, htop pr
CORS 完全手冊(一):為什麼會發生 CORS 錯誤?
前言三年前的時候寫了一篇文章:輕鬆理解 AJAX 與跨來源請求,提到了串接 API、AJAX、same-origin policy、JSONP 以及 CORS,當時把自己想講的都放進去了,但現在回頭看,好像有很多滿重要的部分沒有提到。 三年後,再次挑戰這個主題,並且試著表達地更完整。 會想寫這個系列是因為在程式相關的討論區上,CORS 是發問頻率很高的主題,無論是前端或是後端都有可能來問相關的問題。 所以我就想說:「好,那我來寫一個系列好了,我要試著把這個主題寫到每個碰到 CORS 問題的人都會來看這個系列,而且看完以後就知道該怎麼解決問題」,這算是我對這篇文章的目標,如果文章的品質沒辦法達成這個目標,我會持續改進。 這系列一共有六篇文章,分別是: CORS 完全手冊(一):為什麼會發生 CORS 錯誤? CORS 完全手冊(二):如何解決 CORS 問題? CORS 完全手冊(三):CO
フルスクラッチして理解するOpenID Connect (2) トークンエンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の2記事目です。前回はこちら。 www.m3tech.blog 7. トークンエンドポイントの実装(POST /openid-connect/token) 7.1 アクセストークン 例 7.2 ID トークン 例 7.3 IDトークンを返す部分を作る 7.4 アクセストークンを返す 7.5 パラメーターの検証 7.6 認可コードの検証 7.7 クライアント認証 8 イントロスペクションエンドポイントを作る(POST /openid-connect/introspect) まとめ We're hiring 今回は全4回中の第2回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 7. トーク
Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO
みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー
ALBでAWS WAFv2(以下WAF)を利用する環境を構築します。以下のような構成です。 S3にWAFのログを出力する際は、Kinesis Data Firehoseが必要になります。ここでは、Kinesis Data Firehoseで配信(S3への出力)エラーが発生した際に、CloudWatch Logsへロギングされる構成にしました。 ALBなどVPCリソースが構築済みであることを前提に、赤枠の箇所を中心に構築(説明)していきたいと思います。 前提 VPCリソースが構築済みであること 前提となる環境をCFnテンプレートにしました Gist/ALB-PublicWeb.yml WAFと周辺リソース構築 赤枠の箇所を構築するCFnテンプレートを作成しました。前提の環境が構築されていれば、利用できるようになっています。 Gist/Logging-WAF.yml CFnテンプレートを用意し
AmplifyでCognitoのHosted UIを利用した認証を最低限の実装で動かしてみて動作を理解する | DevelopersIO
AmplifyとCognitoを利用すると、Amplifyがうまいことやってくれるので、プログラム開発者は認証フローを意識することなく認証機能が実装できます。 その、うまいことってのが具体的に何をやっているのかを暴きます。 Amplifyを使うと、Cognitoを利用して簡単に認証機能を作れて便利です。 詳しくは弊社ブログをご覧ください。 AWS Amplify+Angular6+Cognitoでログインページを作ってみる ~バックエンド編~ | Developers.IO AWS AmplifyとAngular8を使ってCognitoでAWS Management Consoleにログインするページを作ってみる | Developers.IO また、こういったログインのほかに、CognitoにはホストされたUIを利用してユーザー認証をするという機能があります。 イメージ動画を作成したので
DAR APIでデジタル広告のリーチ計測を「人」ベースに行う|Dentsu Digital Tech Blog
こんにちは!電通デジタルのBI担当です。 今回は、技術記事でありつつも実験的に少し柔らかめな文体でお送りします。専門知識がなくても伝わるように書いていきます。応援よろしくお願いします。 応援よろしくお願いします はじめに今回は「DAR(ディーエーアール)」というサービスの一部のAPIについて説明します。このAPIですが、(広告業界も狭いため)ネット上に参考情報や日本語記事がなかなか存在しません。 APIから取得できるデータが更新されるタイミングなど、いくつかつまづきポイントもあるため、Tech blogという形で残せればと思い今回記事を書きました。 DARとはデジタル広告の出稿や計測を担当されている方なら一度は聞いたことがある名前だと思いますが…DARという名前はご存知でしょうか? 知らないという方のために説明すると、DARは「Digital Ad Ratings」の略で、Nielsen社
はじめに 最近Microsoft Graph APIについて調べる機会がありました。この記事はその中から一般的な範囲についてまとめたものです。 AzureもAD(Aictive Directory)もGraph APIも詳しくないので誤りがあるかもしれません。間違いを発見されたらコメントや編集リクエストをお待ちしています。 Microsoft Graph APIとは ざっくり言うと、Officie 365 や Azure ADなどの情報を検索、更新できるWeb API。例えば次のようなリソースにアクセス可能(許可を与えれば) ユーザー グループ ディレクトリ(AD) デバイス情報 カレンダー メール チャット ファイル 通知 チーム 場所 今回はユーザー情報にターゲットを絞る。 Graph API の種別 (A) ユーザーの代わりにアクセスを取得(ユーザーが対話的に許可を与える) ブラウザ
App Storeの新ガイドラインのためにSign In with Apple のトークン無効化に対応した話 | DevelopersIO
prismatix事業部の宮部です。 私は prismatix 認証サービス という OpenID Connect と OAuth2.0 に準拠したID製品の開発をおこなっているわけですが、 prismatix 認証サービス 自身が他のIdPを使ってソーシャルログインを行うことも可能になっています。 今回はその機能の一環で対応した Sign In with Apple についての記事になります。 App Store レビューガイドラインの改訂 先日、アカウントの削除機能に関する要件の適用が6月30日開始というアナウンスが Apple社からありました。 アカウントの作成が必要なアプリの場合はアプリ内に退会機能が必要なことや、アカウントに紐づくデータの削除をしなければならないなどの事項が記載されていますが、今回はその中で Appleでサインインに対応したAppでは、AppleでサインインのRE
Kotlin+Ktorで技術要素を試しながらクリーンアーキテクチャでAPIサーバ構築 - rinoguchiのメモブログ
サーバサイドKotlinといえばSpring Bootを採用することが多いと思います。 個人的にはSpring Bootは、Auto Configurationのブラックボックス感が辛くて、もっとシンプルなフレームワークに乗り換えたいという思いが常々ありました。 JetBrains社製のWebフレームワークであるKtorが、2018年11月にv1.0.0がリリースされ、2020年4月現在v1.3.2まで順調にアップデートされ続けており、そろそろ本格的に利用しても良さそうな気配を感じています。 この記事では、Kotlin+KtorでREST APIの作成に必要な技術要素をStep By Stepで検証してみながら、クリーンアーキテクチャなAPIサーバを構築してみたいと思います。 最初の画面を表示 IntelliJでGradleプロジェクト作成 build.gradleにKtorのGradle
【AWS CDK】API Gateway と Cognito で Client Credentials Grant による認証を試してみた | DevelopersIO
【AWS CDK】API Gateway と Cognito で Client Credentials Grant による認証を試してみた はじめに テントの中から失礼します、CX事業本部のてんとタカハシです! API Gateway と Cognito で Client Credentials Grant による認証を行うための構成を CDK で作成して試してみました。 マネコン上で同じようなことを試す場合は、下記の記事が参考になります。 ソースコードは下記のリポジトリに置いています。 GitHub - iam326/cognito-client-credentials-by-cdk 環境 環境は下記の通りです。 $ cdk --version 1.102.0 (build a75d52f) $ yarn --version 1.22.10 $ node --version v14.7.
外部システムからSalesforceのREST API を使用してみる 接続アプリケーションの作成から標準REST APIをコールするまで。 Apex REST Webサービスおよび Apex REST コールアウトはここでは扱いません。 1. インテグレーション用ユーザの作成 REST APIを使用するためにはまず、インテグレーション用ユーザを作成する必要があります。 外部システムからSalesforceのREST APIを使用する際は、まずインテグレーション用ユーザにログインする必要があります。 外部システムはインテグレーション用ユーザの権限、共有設定によって制限を受けます。 インテグレーション用にユーザとプロファイルを作成します。 インテグレーション用プロファイルでシステム管理者権限の「API の有効化」が有効になっているのを確認します。 参考 実装に関する考慮事項 | SOAP A
[アップデート] AWS WAF向けAWS製のManaged Rulesが出ました | DevelopersIO
本日AWS Managed Rules for AWS WAFが発表されたのでご紹介します。 早速、その変更点と、「SQL databaseルール」でWAFを検知させてみましたのでご紹介します。 こんにちはコカコーラ大好き、カジです。 本日AWS Managed Rules for AWS WAFが発表されたのでご紹介します。 Announcing AWS Managed Rules for AWS WAF | AWS News Blog 早速、その変更点と、AWS Managed Rulesの「SQL databaseルール」で検知させてみました。 また、AWS Managed Rulesの一覧をまとめてみましたので、どなたかのお役に立てれば光栄です。 目次 変更点 試してみる AWS Managed Rules一覧 変更点 AWS製のManaged RulesがGUIで簡単に設定ができ
コマンドラインからHTTPのデータ送信をするのに便利な curl コマンド。 筆者は頻繁に利用するわりに、コマンドを記憶しておらず、いつもコピペに頼っているので、そんな自分のためにも、ここに利用方法をまとめておきたいと思います。 本項ではPOSTメソッドでデータを送信する方法をまとめて整理します。 データをPOSTすると言っても、一般的なPOSTから、JSON形式、XML形式 だったり、ファイルを送信したい場合もあるため、それぞれについてまとめます。 送信データなし 送信するデータがないPOSTメソッドでのリクエストは、HTTPのリクエストメソッドをPOSTにする -X POST オプションをつけてエンドポイントのURLを指定すればOKです。 $ curl -X POST https://xxxxx.net/xxxxxx 一般的な Web Form 同様の POST (applicatio
Kyash QAチーム*1の @konifar です。 Kyashでは、一部のAPIに対してQAチームがテストを実施しています。開発経験のないメンバーもいるため、GUIで比較的簡単に操作できるPostmanを採用しています。 自分はもともとPostmanを単なるcurlの上位互換のようなものとして認識していたのですが、実はかなり高機能で、変数を利用したりフォルダ分けて一斉に実行したり、実行後のレスポンスやステータスコードの検証をJavaScriptのコードで書けたりもします。実行前にスクリプトで任意の処理を実行もできますし、NewmanというCLIツールを使えばCIに組み込むこともできます。便利ですね! この記事では、KyashのQAチームでPostmanを利用する上での機能の使い分けや命名規則などの運用方針を紹介します。未だ完璧なものではないので、よりよい意見があれば是非教えていただける
クエリパラメータを取得する クエリパラメータを取得するには req.query を使います。 const express = require('express'); const app = express(); app.get('/hello', (req, res) => { res.send('Hello ' + req.query.name); }); app.listen('3000', () => { console.log('Application started'); }); $ curl 'http://localhost:3000/hello?name=Suzuki' Hello Suzuki パスパラメータを取得する リクエストされたパスからパラメータを取得するには req.params を使います。 const express = require('express')
TikTok has a reputation for its aggressive data collection. In fact, an article published on 22 December 2022 uncovered how ByteDance spied on multiple Forbes journalists using TikTok. While some of the data they collect may seem benign, it can be used to build a detailed profile of each user. Information such as user location, device type, and various hardware metrics are combined to create a uni
はてなブログを更新したら Mastodon に投稿する IFTTT を作る → mstdn.jp 対策に GAS も併用 - Neo's World
はてなブログを更新したら Mastodon に投稿する IFTTT を作る → mstdn.jp 対策に GAS も併用 はてなブログに限らずだが、RSS フィードを発行するブログ等の媒体を更新した時に、その RSS フィードの更新を検知して IFTTT の Webhook が発火し、Mastodon API を使ってブログの更新内容をトゥートする、そんな仕組みを作ってみた。 前半は通常のマストドン・インスタンスで成功するであろう構成で、後半は mstdn.jp 固有の問題を解消するための対策版を紹介する。 目次 準備するモノ Mastodon API の準備をする IFTTT の Applet を作成する mstdn.jp は IFTTT からのリクエストを拒否している模様 GAS を経由して送信する 参考文献 準備するモノ Mastodon のアカウント : 以降の例では mstdn.
HTTP Requests - Code Generator for Google Apps Script, Node.js and cURL
function makeHttpPostRequestWithAppsScript() { const url = "https://postman-echo.com/post?source=web&foo=bar"; const response = UrlFetchApp.fetch(url, { "method": "POST", "headers": { "x-api-key": "123xyz", "cache-control": "no-cache", "Content-Type": "application/x-www-form-urlencoded" }, "muteHttpExceptions": true, "followRedirects": true, "validateHttpsCertificates": true, "contentType": "appli
はじめに 先日GoogleのAPIを使う際に見落としでNot FoundエラーとBad Requestのエラーがありましたので、メモとしてまとめます。 Googleのコンソールからプロジェクト作成 API認証情報の作成 1. OAuthクライアントID 利用者は画面から認可同意を行う場合はこちらを選択 アプリケーション種類、名前、承認済みのリダイレクトURIは3つは入力すると、クライアント ID、クライアント シークレットを生成されました。 2. サービスアカウントキー 画面操作不要で裏でJSON形式でアクセストークンを取得。バッチなどの処理の場合はこちらを選択 JSON形式でファイルをダウンロードする ※APIのClientのライブラリを利用して通信 https://developers.google.com/api-client-library/java/google-api-java
CORS 強かった… Next.js + typescript + prisma + PostgreSQL で Bearer 認証付き API を作って、サーバに Deploy したら、CORS エラーでアプリ側から全然呼べなかった。アプリ側は、React.js で axios を使っていて、build したものが Deploy されている。 "Access-Control-Allow-Origin": "*"を header に付けてやれば良いだけでしょと舐めてたが、そんな簡単には解決しなかった。にわか知識では突破できない CORS。強かった。 Preflight Request の理解不足が今回のハマりポイントだった。 API の概要 header の "Authorization": "Bearer {access_token}" で認証 Request の Content-Type
sentry-ravenでエラー通知するとrack envの中身が書き換わることがある - valid,invalid
エラー検知・監視ツールであるところのSentryが提供するRubyのSDKにsentry-ravenというgemがあります。 このgemを利用するとごくわずかなコードの記述をするだけでSentryに対してイベントを送信することができます。イベントにはユーザーが定義したカスタムタグや実行環境を含む多様な情報を含めることができ大変便利です。 begin some_dangerous_code! rescue => ex Raven.capture_exception(ex) end # とか if record.unknown? Raven.capture_message("Found suspisious data") end 上述のようなコードを見た/書いた方も多いと思います。しかしながら特定条件下では上記のような Raven.capture_*メソッドの呼び出しの内部でRack envの
Installing with OAuth
Slack apps are installed with a v2 OAuth 2.0 flow. We're sorry about all the "2s": OAuth 2.0 refers to the 2.0 version of the OAuth spec, and this is our second version of OAuth 2.0. For the rest of this guide, we'll just refer to it as "OAuth". For posterity, this OAuth flow works the same as the OAuth flow for legacy Slack apps. Only a few details have changed; URL and method names have gained a
[アップデート] Amazon SQS で AWS JSON プロトコルがプレビューとして利用出来るようになったので何が変わるのかを確認してみた | DevelopersIO
[アップデート] Amazon SQS で AWS JSON プロトコルがプレビューとして利用出来るようになったので何が変わるのかを確認してみた いわさです。 今朝、Amazon SQS に関する次のアナウンスがありました。 「なんだかよくわからないがパフォーマンスが向上するのか?」という感じだったので、少し掘り下げてみてみました。 AWS JSON プロトコルに Amazon SQS の API が対応した(プレビュー) 上記のアナウンスに色々書いてあるのですが、変更点としては SQS を AWS API 経由で呼び出す際に、従来の方法(クエリプロトコル)の他に、AWS JSON プロトコルと呼ばれる形式もサポートとしたよという点があります。 この形式を使うことで HTTP 経由で API を呼び出す際のリクエストとレスポンスの形式がより効率的な形式になり、処理レイテンシーの削減やクライ
![[アップデート] Amazon SQS で AWS JSON プロトコルがプレビューとして利用出来るようになったので何が変わるのかを確認してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/8977429ff97da80040f72ef01c062af706039e17/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Famazon-sqs.png)
HTTPメッセージと構成 HTTPは、クライアントが出したリクエストをサーバが処理してレスポンスを返すプロトコルです。 このようなプロトコルをリクエスト/レスポンス型のプロトコルと呼びます。また、リクエストを出したクライアントはレスポンスが返ってくるまで待機します。 HTTPのリクエストとレスポンスをまとめて「HTTPメッセージ」と呼びます。 それぞれ以下のような構成となっています。 リクエストメッセージ リクエストライン ヘッダ ボディ レスポンスメッセージ ステータスライン ヘッダ ボディ 使ってみる 実際にHTTPメソッドをテストしてみるのに便利なサイトがあったので、curlコマンドとこちらを利用してみます。 curl / Docs / Tool Documentation / Manual http://httpbin.org まずはサーバがサポートする情報を確認してみます。 #
![[初心者向け]Webサービスを利用する際のHTTPについて再入門 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6f1fde3cff7767965729d2d96d3e31da5b8a643d/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2018%2F11%2Feyecatch_developers.io_1200x630.jpeg)
kyaml2go を使って yaml から簡単にGolang のコードを生成して遊びたい - じゃあ、おうちで学べる
前書き curl をgolang で行いたい時にはcurl-to-Go を利用することができる。 ConoHa のAPIを利用して トークン発行 を発行するしたい場合には以下のようなcurl を実行する必要がある トークン発行 - Identity API v2.0 / ConoHa API を参照 curl -i -X POST \ -H "Accept: application/json" \ -d '{"auth":{"passwordCredentials":{"username":"ConoHa","password":"paSSword123456#$%"},"tenantId":"487727e3921d44e3bfe7ebb337bf085e"}}' \ https://identity.tyo1.conoha.io/v2.0/tokens curl-to-Go を利用する
Kotlin+Ktorで技術要素を試しながらクリーンアーキテクチャでAPIサーバ構築 – rinoguchi's techlog
まずは各ディレクトリを作成して、先ほど作ったApplication.ktをinfrastructureディレクトリに移動します。 設定(application.conf)を読み込んで /gradlew run 実行 設定ファイルでサーバーを構成できるようにしたいと思います。 Ktorでは、こちらを参照すると、mainClassNameで特定のWebサーバエンジンのEngineMainクラスを指定する必要があるようです。embeddedServerを利用する場合は、lambdaとDSLで記述するようです。 今回は Nettyエンジンを使うようにしたいと思います。 ./gradlew runで起動するメインクラスをNettyエンジンのメインクラスに変更 これまでは、対象のメインクラスを右クリックして直接プログラムを起動していましたが、Nettyエンジンのメインクラスを起動する際にはその方法は使
[AWS CDK] Cognito + API Gateway で M2M 認証をやってみた | DevelopersIO
こんにちは!LINE 事業部のたにもんです! Cognito + API Gateway による M2M 認証機構を AWS CDK を用いて作成して、実際に認証・認可が行えるか試してみました。 なお、この記事における M2M 認証は OAuth 2.0 の Client Credentials Grant を意味しています。 今回開発したソースコードはこちらのリポジトリで公開しているので、プロジェクト全体のソースコードを確認したい方はご参考にしてください。 構成図 環境 $ node --version v16.14.0 $ npm --version 8.3.1 $ aws --version aws-cli/2.4.29 Python/3.9.12 Darwin/21.4.0 source/arm64 prompt/off $ cdk --version 2.18.0 (build
![[AWS CDK] Cognito + API Gateway で M2M 認証をやってみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/0ec0ee9c77915978e247a132c7051857accedd24/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-cognito.png)
SharePointのAPIからファイル情報を取得したり、ファイルをダウンロードする。 簡単そうなことなのに、いかんせん情報が少なかったりガセネタばかりで手こずったので、ここに詳しく記録しておく。 前提条件確認、下準備 仮に、テナント名を{{MYTENANT}}、サイト名を{{MYSITE}}としよう。 ブラウザでSharePointの画面を閲覧する際は以下のようなURLになる。 https://{{MYTENANT}}.sharepoint.com/sites/{{MYSITE}} 「ドキュメント」をクリックすると以下のようなURLに飛ぶ。 https://{{MYTENANT}}.sharepoint.com/sites/{{MYSITE}}/Shared%20Documents/Forms/AllItems.aspx 「Shared Documents」がURLエンコードされて「Sh
🐼はじめに この世にはソーシャルログインというものがある。 「GoogleIDでログイン」「TwitterIDでログイン」「FacebookIDでログイン」と言ったもので、 既に様々なサイトで利用されている。 今回は「DiscordIDでログイン」が実装できるように頑張りましょう。 更新 2023/02/02 更新 参照 Discord公式リファレンス 目次 Discord Developer Portal にてApplicationを登録 「CLIENT ID」「CLIENT SECRET」を取得 Oauth用URLを作成 作成したURLを実行し「code」を取得する 「code」を「token」に変換する 「token」と共にアクセスしユーザ情報を得る リフレッシュトークンでアクセスしアクセストークンを再取得する Discord Developer Portal にてApplicat
JPCERT/CCは、2019年6月から継続して攻撃キャンペーンDangerousPassword(CryptoMimicまたは、SnatchCryptoとも呼ばれる)に関連すると考えられる暗号資産交換事業者への攻撃を確認しています。攻撃者は、ショートカットファイルをメールでターゲットに送信して、マルウェアに感染させようとする攻撃手法を長年続けているのですが、その他にもいろんなパターンの攻撃を行いながらマルウェア感染を狙っていることがわかっています。今回は、最近確認されたDangerousPasswordの攻撃手法について紹介します。 今回、紹介する攻撃パターンは以下の4つです。 Linkedinから不正なCHMファイルを送りつけてくる攻撃 OneNoteファイルを利用した攻撃 仮想ハードディスク(Virtual Hard Disk)ファイルを利用した攻撃 macOSを狙った攻撃 Link
Protecting Next.js apps from CSRF attacks - LogRocket Blog
Using HTTP-only cookies By setting the HttpOnly cookie flag, you can reduce the likelihood of a CSRF attack since HTTP-only cookies cannot be retrieved by JavaScript through client-side scripts. res.setHeader("Set-Cookie", `session=${sessionId}; Path=/; Max-Age=600; SameSite=Strict; HttpOnly`); Using CSRF tokens One way to protect your web application against a CSRF attack is to use CSRF tokens. A
PythonのHTTPServer/BaseHTTPRequestHandlerを使って、簡単なHTTPサーバーを書く - CLOVER🍀
これは、なにをしたくて書いたもの? Pythonにはhttp.serverというライブラリがあり、簡単にHTTPサーバー(Webサーバー)を起動することができます。 21.22. http.server --- HTTP サーバ — Python 3.6.9 ドキュメント こんな感じで起動して、簡単にカレントディレクトリをドキュメントルートにしたHTTPサーバーを立てられます。 $ python3 -m http.server Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ... これでカレントディレクトリ配下にあるファイルを公開できるわけですが、そうではなくてhttp.serverライブラリを使って自分でHTTPサーバーを 書く方法について調べてみました、と。 環境 今回の環境は、こちら。 $ python3 -V Py
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
Your API Shouldn't Redirect HTTP to HTTPS
Flaskのローカル開発環境を構築してみた | DevelopersIO
仕事ですぐに使えるTypeScript - PDF版
No Way, PHP Strikes Again! (CVE-2024-4577)
S3にログを出力するAWS WAFの構築 | DevelopersIO
訳あってMicrosoft Graph API調べてみた - Qiita
外部システムからSalesforceのREST API を使用する - Qiita
curlコマンドでPOSTする, 様々な形式別メモ |
KyashのAPIのテストにおけるPostmanの運用方針 - Kyash Product Blog
[Node.js][Express]リクエストからパラメータを取得する・POSTされたデータを取得する
Reverse Engineering Tiktok's VM Obfuscation (Part 1)
GoogleAPIのアクセストークンとリフレッシュトークン - Qiita
Bearer認証付きAPIでCORSエラーとたたかった記録 - Qiita
[初心者向け]Webサービスを利用する際のHTTPについて再入門 | DevelopersIO
SharePointのREST APIを使ってファイルをダウンロードする(バッチ処理)
「DiscordのIDでログイン」を実装する(Oauth2) - Qiita
攻撃キャンペーンDangerousPasswordに関連する攻撃動向 - JPCERT/CC Eyes