楽しいバグハントの世界Celebrating historic victory of Akara 2010 (computer Shogi engine) over Ichiyo Shimizu (women's champion in Japan), this talk explains how to create MediaWiki extension to embed Shogi board in MediaWiki - and hopefully in Wikipedia in some future.
とある診断員とSQLインジェクション
2019/10/16 初心者向けCTFのWeb分野の強化法 CTFのweb分野を勉強しているものの本番でなかなか解けないと悩んでいないでしょうか?そんな悩みを持った方を対象に、私の経験からweb分野の強化法を解説します。 How to strengthen the CTF Web field for beginners !! Although you are studying the CTF web field, are you worried that you can't solve it in production? For those who have such problems, I will explain how to strengthen the web field based on my experience. (study group) https://yahoo-osa
sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
見つけた脆弱性について(cybozu.com Security Challenge)
社内LTで発表した資料です。 Safari の Intelligent Tracking Prevention (ITP) とその周辺のことを紹介しました。 (トラッキングツールだけでなく) ECサイトにも大きく影響しそうなところにフォーカスしています。
Rails SQL Injection Examplesの紹介
モノタロウの1900万商品を検索する Elasticsearch構築運用事例(2022-10-26 第50回Elasticsearch 勉強会発表資料)
JavaScriptでセキュアなコーディングをするために気をつけること – cybozu developer network
(著者:サイボウズ kintone開発チーム 天野 祐介) kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスクリプティング脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的な点を解説します。 主な原因 脆弱性を作り込む主な原因になるコードは、要素の動的な生成です。特に、レコード情報などのユーザーが入力した値を使って要素を生成するときに脆弱性が発生しやすくなります。 対策 document.write()やelement.innerHTMLを使って要素を生成するときは、コンテンツとなる文字列をかならずHTMLエスケープするようにしましょう。 以下は
脆弱性情報の「Full-Disclosure」、管理者交代で再スタート
新しいFull-Disclosureは、「Nmap」の作者として知られるゴードン・リオン氏が運営。継続利用を希望するユーザーは登録し直す必要がある。 創設者が無期限のサービス停止を発表していたセキュリティメーリングリスト「Full-Disclosure」が、新しい管理者の下で再スタートを切ることになり、3月25日付で告知が掲載された。 Full-Disclosureは2002年に創設され、脆弱性情報の公開や論議の場として活用されてきた。しかし創設者のジョン・カートライト氏は3月19日、「コミュニティー内の1人の研究者」から大量の削除要請があったことをきっかけに我慢の限界を超えたとして、サービス停止を宣言していた。 同リストを引き継ぐことになったのは、ポートスキャンツール「Nmap」の作者として知られるネットワークセキュリティ研究者のゴードン・リオン氏(ニックネーム「Fyodor」)。カート
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://github.com/rapid7/metasploit-framework/tree/master/external/source/byakugan
Cybozu.com security challengeに参加したよ