はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が外部に流出した可能性があることを確認しましたので、お知らせいたします。 お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。 1. 今回の不正アクセスによる情報流出の状況(下線部を10月26日に更新) お客様のログインID(3,798ID)※1 *このうち、RICOH DriveのログインID(3,429ID)、RICOH SnapChamberに係る解約済みのログインID(369ID)※2※3 *このうち、ログインIDにメールアドレスを設定しているお客様が606件あります。 *お客様の保存ファイル、パスワードなどの流出はございません。(以下に記載する「暗号化したパスワード」を除く) *IDはリコーグループ内での利用を除いた数となります。 ※
ScalaMatsuri 2019 登壇資料(日本語)
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
XML External Entity Prevention - OWASP Cheat Sheet Series
Introduction Index Alphabetical Index ASVS Index MASVS Index Proactive Controls Index Top 10 Cheatsheets XML External Entity Prevention Cheat Sheet¶ Introduction¶ An XML eXternal Entity injection (XXE), which is now part of the OWASP Top 10 via the point A4, is attack against applications that parse XML input. This issue is referenced in the ID 611 in the Common Weakness Enumeration referential. A
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
不正アクセスによる情報流出に関するお知らせとお詫び | リコーグループ 企業・IR | リコー
コードで理解するPlayframeworkの脆弱性
XXE、SSRF、安全でないデシリアライゼーション入門