Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog
※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。 通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。 ほぼすべてのオンラ
SSH Tips & Tricks
Experience SSH certificates for yourself in <5min⚡! Here are some of our best tips & tricks for using SSH more effectively. This post will cover how to: Add a second factor to your SSH login Use agent forwarding safely Exit from stuck SSH sessions Keep a persistent terminal open Share a remote terminal session with a friend (without Zoom!) Add a second factor to your SSH Here's five different ways
AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog
こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。 クラウドサービスが発展し続ける今日この頃、多くの企業がパブリッククラウドやプライベートクラウドなどを駆使し顧客へサービス提供しているのを目にします。そのような中で、サービスが利用するクラウドにおいて設定不備や意図しない入力、構成の不備により顧客情報や IAM をはじめとする認証情報が脅かされるケースが多々あります。 本記事では、そのような脅威の一例をもとにクラウドサービスをより堅牢で安全に利用する一助になればと、攻撃手法や対策などについて解説をしていきます。 また、私の所属する 株式会社 Flatt Secur
TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
Linux perf Examples
Recent posts: 24 Mar 2024 » Linux Crisis Tools 17 Mar 2024 » The Return of the Frame Pointers 10 Mar 2024 » eBPF Documentary 28 Apr 2023 » eBPF Observability Tools Are Not Security Tools 01 Mar 2023 » USENIX SREcon APAC 2022: Computing Performance: What's on the Horizon 17 Feb 2023 » USENIX SREcon APAC 2023: CFP 02 May 2022 » Brendan@Intel.com 15 Apr 2022 » Netflix End of Series 1 09 Apr 2022 » Te
本当はこういう話、恥ずかしくて記事にしたくないのですが… BANされた時、下記の記事に助けられたので私も記録として残しておこうと思います。 Twitterアカウント,appsの凍結で生きた心地のしない正月7日間を過ごした話 何がダメだったのか 結論から言うと、下記の自動化ルールに違反していました。 2.自動化された@ツイートや返信の投稿 返信と@ツイートは、Twitter利用者が簡単にコミュニケーションをとれるように用意されている機能です。この機能を自動的に利用して、不特定多数の利用者に一方的にメッセージを送ることは不適切な行為であり、禁止されています。たとえば、単純にキーワード検索にヒットしただけのツイートに対して自動的に返信を送ることは許可されません。@ツイートや返信をスパムとして利用したり、同一内容の@ツイートや返信を繰り返し投稿したりした場合、検索結果からの該当ツイートの除外や、ア
Podman Desktop を使った Kubernetes コンテナーのデプロイとテスト - 赤帽エンジニアブログ
Red Hatでソリューションアーキテクトをしている田中司恩(@tnk4on)です。 この記事は Red Hat Developerの Deploy and test Kubernetes containers using Podman Desktop を、許可をうけて翻訳したものです。 本記事で紹介する Podman や Podman Desktop に関する情報を日本語で紹介するTwitter アカウントがあります。こちらもフォローして情報収集に活用ください。(ハッシュタグ #podmanjp) Podman(https://t.co/ipoaatoD4a)の非公式Twitterアカウント。#Podman に関する情報を日本語で配信中。ツイートは個人のものであり特定の組織や企業を代表するものではありません。The unofficial Twitter account for Podma
We are delighted to introduce Spin 1.0, the first stable release of the open source developer tool for building serverless applications with WebAssembly (Wasm)! Since we first introduced Spin last year, we have been hard at work together with the community on building a frictionless developer experience for building and running serverless applications with Wasm. For this release, we focused on bui
Last updated on July 30, 2020, at 5:45 PM PT with new sections below on “What we know now” and “What we’re doing to protect our service”. ---------------------------------------------------------------------------------------------------------- July 30, 2020 As our investigation continues, we’re sharing an update to answer some of the remaining questions based on what we’ve discovered to date. We
Terrapin Attack
Paper Vulnerability Scanner Q&A Patches News The Terrapin Attack will be presented at Real World Crypto Symposium 2024, and USENIX Security Symposium 2024. We compiled a comprehensive list of SSH implementations adopting the "strict kex" countermeasure by OpenSSH. Recommended Articles: Ars Technica (Dan Goodin), The Register (Connor Jones) Introduction SSH is an internet standard that provides sec
TwitterにOAuth 2.0でログインできるomniauth-twitter2 gemを作りました | うなすけとあれこれ
tl;dr unasuke/omniauth-twitter2: omniauth strategy for authenticating with twitter oauth2 ↑ これをつくりました Twitter認証、要求される権限がデカい問題 Twitter認証でログインできるWebアプリというものは色々あり、便利なので日々使っているという方は多いことでしょう。 しかしTwitter loginで要求される権限の粒度はこれまで以下の3つしかありませんでした。 Read Read and Write Read and write and Direct message これはあまりにも大雑把で、「要求される権限が広すぎる!」「いやいやこういう事情で……」というやりとりを見掛けたことは何度もあります。 「Twitterのアプリ連携で余計な権限まで求められる!」その理由がよくわかるまとめ【
In our first post in our series on CI/CD we went over some of the high level best practices for using Docker. Today we are going to go a bit deeper and look at Github actions. We have just released a V2 of our GitHub Action to make using the Cache easier as well! We also want to call out a huge THANK YOU to @crazy-max (Kevin :D) for the of work he put into the V2 of the action, we could not have d
パスワードなしでサインインできる認証システムの標準規格「パスキー」を、X(旧Twitter)がサポートすることになりました。まずは「アメリカのiOSユーザー」向けに提供がスタートしています。 Today we’re excited to launch Passkeys as a login option for our US-based users on iOS! A passkey is a new, easy to use, and secure way to log in to your account - all from your device. Passkeys are more secure than traditional passwords since they’re individually generated by…— Safety (@Safety) How to
NotGitBleed - TL;DR
NotGitBleed - TL;DR Due to configuration errors or human error, significant numbers of people may have accidentally checked GitHub credentials into GitHub commits as metadata, most commonly a username as the author name and a password in the email address field. We estimate in the region of 50,000 to 100,0001 user credentials may have been affected covering a wide range of organisations including
We Hacked Apple for 3 Months: Here’s What We Found | Sam Curry
Between the period of July 6th to October 6th myself, Brett Buerhaus, Ben Sadeghipour, Samuel Erb, and Tanner Barnes worked together and hacked on the Apple bug bounty program. Sam Curry (@samwcyo) Brett Buerhaus (@bbuerhaus) Ben Sadeghipour (@nahamsec) Samuel Erb (@erbbysam) Tanner Barnes (@_StaticFlow_) During our engagement, we found a variety of vulnerabilities in core portions of their infras
らくだ🐫にもできるRailsチュートリアル|11.3
11.3 アカウントを有効化する メールが生成できるようになったのでAccountActivationsコントローラのeditアクションを書いていく。 テストも書いて、しっかりテストできていたらUserモデルにコードを移していく (リファクタリング) authenticated?メソッドの抽象化 有効化トークンとメールはそれぞれparams[:id]とparams[:email]で参照できるので 次のようなコードでユーザーを検索して承認する user = User.find_by(email: params[:email]) if user && user.authenticated?(:activation, params[:id]) (この後、上の式に論理値を1つ追加します。何が追加されるか考えてみましょう。) (→予想:アカウントが有効化されていないことを確認する論理値 #とは 🤔
Security and Privacy Implications of Zoom - Schneier on Security
Security and Privacy Implications of Zoom Over the past few weeks, Zoom’s use has exploded since it became the video conferencing platform of choice in today’s COVID-19 world. (My own university, Harvard, uses it for all of its classes. Boris Johnson had a cabinet meeting over Zoom.) Over that same period, the company has been exposed for having both lousy privacy and lousy security. My goal here
EveryEvery week I come across another headline about how someone got hacked and within moments many of their online accounts had become compromised. These aren't simple cases of bad actors using account credentials from large public data breaches and the unfortunate result of people using the same password across many websites. These hacks, horror stories rather, are all the result of increasingly
Ken Thompsonの(loginへの)トロイの木馬の現代(open-ssh)版 - 間違いだらけの備忘録
security.sios.jp xzのtarボールで、アップストリームバージョンの5.6.0以降に悪意のあるコードが混入されていることがわかりました。liblzmaビルドプロセスにおいて複雑な難読化を用いてソースコード内の偽装テストファイルからビルド済みオブジェクトファイルを抽出します。このファイルは、liblzmaコード内の特定の関数を変更するために使用されます。 難読化してテストで入れ込むの手が込んでるな。 そして良く見付けたなという感でじっくり見ていったら。 postgresqlのmicro-benchmarkしてたところ, username間違えてログインしてるのにsshdがCPU使いすぎだな?ということで気がついたみたい… なんだと? mastodon.social Saw sshd processes were using a surprising amount of CPU
SecurityGitHub Security Lab audited DataHub: Here’s what they foundThe GitHub Security Lab audited DataHub, an open source metadata platform, and discovered several vulnerabilities in the platform's authentication and authorization modules. These vulnerabilities could have enabled an attacker to bypass authentication and gain access to sensitive data stored on the platform. At GitHub, we really ca
The boring technology behind a one-person Internet company
[Updated @ Dec, 2019] I found that this old blog post got shared & discussed a lot recently on Hacker News and Reddit. I’d like to clarify a few things: This post is not very up-to-date now. The tech stack keeps evolving… and is becoming a bit complex over the full-time work in the past 2 years. Initially, Listen Notes was running on 3 DigitalOcean droplets (~$30/month) in Jan 2017. “Boring” doesn
<g> <g> <defs> <rect id="SVGID_1_" x="-468" y="-1360" width="1440" height="3027" /> </defs> <clippath id="SVGID_2_"> <use xlink:href="#SVGID_1_" style="overflow:visible;" /> </clippath> </g> </g> <rect x="-468" y="-1360" class="st0" width="1440" height="3027" style="fill:rgb(0,0,0,0);stroke-width:3;stroke:rgb(0,0,0)" /> <path d="M13.4,12l5.8-5.8c0.4-0.4,0.4-1,0-1.4c-0.4-0.4-1-0.4-1.4,0L12,10.6L6.2
Today, we’d like to highlight a dangerous anti-pattern in the identity world: the false identifier anti-pattern. An anti-pattern is a common response to a recurring problem that’s usually ineffective and risks being highly counter-productive. You may have also heard of the password anti-pattern. Today's discussion represents a possibly even more dangerous practice. The false identifier anti-patte
更新:2021.8.23 公開:2020.4.13 VRのメインコンテンツの一つと言えるVRSNS「VRChat」、皆さん楽しんでいますか? VRChatには様々な魅力がありますが、その一つに自分のお気に入りのアバターを使って好きな姿になってVRコミュニケーションをとれる点があります。 本記事では、VRChatどころかVRで遊ぶことも初めてという初心者の方でもVRChatのユーザーになり、アバターを導入して楽しんでいただけるような魅力を紹介しています。必要な作業は、「全て」「詳細に」80枚近くに及ぶ画像を使ってわかりやすく説明しています。 それではさっそく、VRChatのアバターアップロード方法について学んでいきましょう! 【関連記事】 VRChatとは?:【初心者向け】VRChatの概要から楽しみ方のコツまでまるっとご紹介します! 目次 1. 【VRChat】アバターアップロード方法(ア
First published: Oct 2, 2019 Last updated: Jan 5, 2023 Tagged: webperf, ramblings, webpagetest. Matt Hobbs Read time: 149 mins Table of contents Basic Layout 1 - Key 2 - Request list 3 - Request timeline 4 - CPU Utilisation 5 - Bandwidth In 6 - Browser Main Thread 7 - Page is Interactive (Long Tasks) Vertical lines Horizontal timings Request 1 - The HTML Request 7 - A third-party JavaScript file R
Svelte for Sites, React for Apps
swyx Posted on Oct 18, 2020 • Updated on Dec 1, 2020 • Originally published at swyx.io Translations: 中文版 In 2020, my personal recommendation to web developers is to use Svelte for Sites, and React for Apps. This is, remarkably, a nuanced enough opinion that it pisses off fans of either of them. I mentioned this in my Shoptalk Show interview and Chris Coyier encouraged me to blog about it. Let me t
週刊Railsウォッチ(20190708-1/2前編)ActiveRecord::FixtureSetがめちゃ強くなってた、MacだとRubyが遅い理由、Puma 4登場ほか|TechRacho by BPS株式会社
2019.07.08 週刊Railsウォッチ(20190708-1/2前編)ActiveRecord::FixtureSetがめちゃ強くなってた、MacだとRubyが遅い理由、Puma 4登場ほか こんにちは、hachi8833です。「👨🦲」という絵文字をSlackに貼ったらこんなふうにぶっ壊れたことで合字だということを知りました。 つっつきボイス:「Bald?」「人間の顔の絵文字にズラのコンポーネントをかぶせてたことが判明しました😆」「😆」 参考: 👨🦲 Man: Bald Emoji 参考: 🦲 Emoji Component Bald Emoji 「そうそう😆、Unicodeってこんなふうに複数の文字を組み合わせて合字が作れるんですよね☺️」「4人家族もパパとママと子ども2人を悪魔合体っぽく作ったりしてますね👨👩👧👦」「こういうのに長けたUnicod
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Visiteurs depuis le 26/01/2019 : 6063 Connectés : 1 Record de connectés : 29 Clash Of Clans Ios Hack For Mac DownloadHello there and welcome to our Clash of Clans hack tool guide! Are about to show you how you can generate unlimited gems for Clash of Clans and add them to your account instantly. If you’re anything like us, you also look for shortcuts everywhere possible. That is why we prepared a
環境 第1章 Deviseをはじめよう 001 Deviseを使ってみよう 002 ヘルパーを使ってみよう 第2章 モジュールを使う 003 モジュールとは? モジュールの種類 モジュールのカラム モジュールのルーティング モジュールのコントローラーとビュー モジュールのメソッド モジュールのメール送信 モジュールの設定 004 Registerableモジュール コントローラーとルーティング 設定 参考 005 Database Authenticatableモジュール コントローラーとルーティング カラム 設定 メソッド メール 参考 006 Rememberableモジュール カラム 設定 メソッド 参考 007 Recoverableモジュール コントローラーとルーティング カラム 設定 メソッド メール 参考 008 Validatableモジュール バリデーション項目 設定 参
はじめに これは2021年6月7日付けで変更された App Store 審査ガイドラインの翻訳&差分ガイドです。 前回からの主な変更点は、開発者に対する行動規範の明記が目立ちます。2.3.1 で App Store 外の悪質行為を削除対象に、5.6 全般で誠実でなければ削除対象になど。これは、今年3月の Trezor に偽装した詐欺アプリ問題などが影響しているはず。 注目しておきたいのは、鬼門である「機能が少ないからリジェクト」の 4.2 に「実用性」が追記されたこと、5.6.4 にて、レビュー評価が開発者登録の抹消に影響することあたり。あと、地味に影響がありそうなのは、アカウントの作成機能と対で必須になる削除機能でしょうか。 https://developer.apple.com/app-store/review/guidelines/ 新規項目 1.2.1 Creator Conten
PowerPoint Presentation
© 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. AWS 公式 Webinar https://amzn.to/JPWebinar 過去資料 https://amzn.to/JPArchive Solutions Architect 辻 義一 2020/06/30 Amazon Cognito サービスカットシリーズ [AWS Black Belt Online Seminar] © 2020, Amazon Web Services, Inc. or its Affiliates. All rights reserved. 自己紹介 辻 義一(つ
VRプラットフォームのOculusを提供するMetaは、これまでOculusのログイン時にFacebookアカウントを必須にしていましたが、2022年8月からFacebookアカウントを使わず新しいアカウントでログインできるようにすると発表しました。 Metaアカウントのご紹介: VRでの新しいログイン方法 https://www.oculus.com/blog/meta-accounts/ Introducing Meta Accounts and Meta Horizon Profiles for VR | Meta https://about.fb.com/news/2022/07/meta-accounts-and-horizon-profiles-for-vr/ Mark Zuckerberg just announced that later this summer, we’l
Mastodon's Founder Says Trump's New Social Network Is Just Mastodon
response to Daily Dot reporter Mikael Thalen posting a screenshot of a Truth Social account he managed to register in Donald Trump’s name. Rochko told Motherboard this Truth Social screenshot “looks exactly like the Mastodon UI with the light theme.” Another screenshot shows that the HTML for the Truth Social login screen still mentions Mastodon explicitly. Do you know anything else about Truth So
Remote Drive, File Browser Player For Mac - diskgreenway
Visiteurs depuis le 30/01/2019 : 963 Connectés : 1 Record de connectés : 18 Open your Windows Explorer or Mac Finder to find every file you need, edit like. Working with files in Box Drive feels like working with files in a network drive. Remote Drive File Browser Player For Mac Windows 10Remote Drive File Browser Player For MacNow you can enjoy flash player on iPhone or iPad that can run flash vi
Velja
Open links in a specific browser or a matching native app. Easily switch between browsers. In-depth review of Velja. Example use-cases Use Safari as your primary browser but open Google Meet links in Chrome Open links to figma.com directly in the Figma desktop app Open links to the internal company website in Firefox Open Zoom meeting invitations directly in the desktop Zoom app Open all links cli
Visiteurs depuis le 28/01/2019 : 1075 Connectés : 1 Record de connectés : 4 Zoom App For Mac. Command-X: Cut the selected item and copy it to the Clipboard. Command-C: Copy the selected item to the Clipboard. This also works for files in the Finder. Command-V: Paste the contents of the Clipboard into the current document or app. This also works for files in the Finder. Command-Z: Undo the previous
pwa-auth in action: fast, frictionless successive sign-ins using new web APIsWe’re releasing pwa-auth, a new open source web component that lets your users sign-in through Microsoft, Google, Facebook, or Apple. Try it here. It’s modern: using new web APIs to speed through sign-in It’s flexible: using Web Components and CSS shadow parts so you can use it anywhere and customize it to your heart’s co
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Your API Shouldn't Redirect HTTP to HTTPS
バグバウンティ入門(始め方) - blog of morioka12
Twitter APIのWrite権限を凍結された2019夏 - Qiita
Spin 1.0 — The Developer Tool for Serverless WebAssembly
An update on our security incident
Docker Github Actions | Docker
X(旧Twitter)がログイン手段の1つとして「パスキー」のサポートを開始
Getting started with security keys
GitHub Security Lab audited DataHub: Here's what they found
Developer Agreement – Twitter Developers
The False Identifier Anti-pattern
【2021年版】初心者向け:VRChatのアバターアップロード方法
How to read a WebPageTest Waterfall View chart - Matt Hobbs
Firebase Summit 2019 で発表された新機能
新しい Google Play Console ベータ版のご紹介
Clash Of Clans Ios Hack For Mac
Devise入門 64のレシピ - 猫Rails
新 App Store 審査ガイドライン 翻訳&差分ガイド 2021年6月号 - Qiita
Oculusでのログイン時に必須だったFacebookアカウントが不要に
Better Zoom For Mac - coachgirlgema
pwa-auth: A New Sign-in Component for the Modern Web