タグ

2016年12月28日のブックマーク (6件)

  • ロード シェディングを利用して想定以上のトラフィックをさばく : CRE が現場で学んだこと

    Google Cloud Platform (Google App Engine, Compute Engine, BigQuery や Container Engine など)の情報の日公式ブログ

    ロード シェディングを利用して想定以上のトラフィックをさばく : CRE が現場で学んだこと
    side_tana
    side_tana 2016/12/28
    リンク

  • カラーボールソーダたちの思い出 by side_tana - Quyo

    Join Quyo! Quyo(クヨウ)は、捨ててしまったモノの思い出をつづって共有するサービスです。 Sign in with Hatena ID カバヤ品の製品にジューCっていうラムネがある.だいたい有名なのは筒状のケースにタブレット状に整形された固めのラムネが15粒ほど入っているやつだと思う. 「カラーボールソーダたち」っていうのはジューCブランドの商品の一つなんだけどかなり雰囲気が違って,すごい口のどけのいいラムネが糖衣で固められてる.ポリっと噛むとラムネの甘くてさわやかなのが口の中に広がるんだけど,くどくないのでコーヒーとの相性がとっても良い.しかもラムネなので砂糖だから,頭使ってるときめっちゃ助かる. とにかく最高で,身近なところでは大学生協のコンビニで買えたから重宝していたのだけれど,先週買いに行ったら陳列棚からスペースが消えていた. めちゃくちゃ悲しくて,普段だったら絶対

    カラーボールソーダたちの思い出 by side_tana - Quyo
    side_tana
    side_tana 2016/12/28
    懐かしい これその後すぐ補充されてただの欠品だったし僕はちゃんと卒業できました
    リンク

  • 安全な脆弱性の作り方 - 葉っぱ日記

    この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」16日目の記事です。具体的な脆弱性の話でなくてすみません。いろいろコードを書いていると、安全に脆弱性を発生させたくなるときがあります。って書くとさっぱり意味がわからないと思いますが、セキュリティの講義のための演習環境とかそういうやつです。 受講生自身の手でWebアプリケーションの脆弱性を探してもらうような演習では、検査対象となる脆弱性を含むWebアプリケーションを用意する必要があります。こういった「脆弱なWebアプリケーション」は例えば Broken Web Applications Project のようなものを代表にいくつかのものがありますが、これらはUI英語であったり、あまりにもメジャーすぎて受講生も触っている可能性があったりと、場合によっては利用が難しいことがあります。特に、単一のWebサーバに対して複

    安全な脆弱性の作り方 - 葉っぱ日記
    side_tana
    side_tana 2016/12/28
    "これだけ頑張って安全に配慮して脆弱性を作っているにも関わらず、ちょっとしたバグを利用して Masato Kinugawa さんにサーバ上で電卓を立ち上げられてしまうことがあったり" ヒョエ
    リンク

  • Bitbucketにあった2つのStored XSS - Qiita

    記事は脆弱性"&'<<>\ Advent Calendar 2016の15日目の記事です。 Bitbucketに2つXSSを報告したお話です。 XSS on branch name (upon delete) 画像が全てです。ブランチを削除した時に表示されるメッセージがエスケープされていなかったためXSSが可能でした。ワンタイムですがStored XSSのため、任意のブラウザで発現可能でした。言うまでもなくユーザーインタラクションが必要なため、弱めのXSSです。 XSS with issue title and commit message Issueを git commit -m "fix #1" としてコミットメッセージからresolveした場合、Web UI上ではコミットメッセージ内のIssue番号がIssueのタイトルで置換されて表示される仕様でした。その際、Issueタイトルが

    Bitbucketにあった2つのStored XSS - Qiita
    side_tana
    side_tana 2016/12/28
    リンク

  • Yet Another XSS on Amazon - Qiita

    記事は脆弱性"&'<<>\ Advent Calendar 2016の14日目の記事です。 昨年の脆弱性"&'<<>\ Advent Calendar 2015ではAmazonにXSSを2つ報告した記事を書きましたが、これの2つ目のXSSに類似したXSSを最近またAmazonに発見・報告したお話です。 概要 スクリーンショットの通り、www.amazon.co.jpの検索バーから'><script>alert(1)</script> と検索するだけで起きる反射型XSSです。 <div data-ad-details='{"adPlacementMetaData": {"searchTerms": "<the_search_query>", ...}}'>

    Yet Another XSS on Amazon - Qiita
    side_tana
    side_tana 2016/12/28
    リンク

  • 30xリダイレクトのレスポンスボディでもXSS(その2) - 葉っぱ日記

    この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」11日目の記事です。昨日のネタの続きです。 昨日は30x応答のレスポンスボディを表示させるために21/tcpなどへのポートへリダイレクトさせるという方法を紹介しました。Firefoxではレスポンスボディを表示させるそれ以外の方法として、CSPを使うという方法があります。 リダイレクタが設置されているサイトが http://page1.example.jp/、リダイレクト先が http://page2.example.jp/ だったとします。 GET /redir?q=http://page2.example.jp/?"><script>alert(1)</script> HTTP/1.1 Host: page1.example.jp ← リダイレクト先と異なるオリジン HTTP/1.1 301 Moved Per

    30xリダイレクトのレスポンスボディでもXSS(その2) - 葉っぱ日記
    side_tana
    side_tana 2016/12/28
    リンク

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.