こんにちは、学生エンジニアのMasamichiです。2024年もついに始まってしまいました。今年はより一層プログラミングに励もうと思います。 さて、今回はプログラミング一年目の僕が大学に入学してからプログラミングを始めた2023年にした勉強の内容をざっくり振り返ります。 Python 基礎 プログラミングを始めて、最初の1ヶ月くらいは基礎を勉強していました。Pythonを選んだ理由は特になく、ただ「プログラミング言語」と調べて一番上にきた言語を始めただけです。この時は、「本堂俊介」さんのYouTube動画でPythonの講座をひたすらハンズオンしていました。この講座で一通りプログラミングに必要な知識を習得したイメージです。 また抜けている部分や、復習の意味も込めて以下の本もやりました。この本で基本的なアルゴリズムとデータ構造の考え方をマスターしました。Githubによる状態管理や応用的な内
Trusted Typesの概念と背景
今回はTrusted Typesに対する個人の見解を書いてみます。 Trusted Typesはブラウザが文字列を文字列以外の型として扱うSinkに対して、開発者に型の変換を強制するセキュリティ機能です。Trusted TypesによりDOM-based XSSを原理的に減らし、DOM-based XSSに対するセキュリティレビューを簡潔にすることが出来ます。 安全でないデフォルト近頃のWeb開発ではTypeScriptがよく使われるようになりました。これは型を明示することにより、エラーを事前に防げるからです。 セキュリティでも同じことが言えます。そもそもelement.innerHTMLにStringを代入出来ること自体が間違っているのです。innerHTMLはHTMLを代入する為のものであり、Stringを代入してもHTMLとして型の変換がされてしまうからです(i.e. re-pars
CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js — Codean Labs
This post details CVE-2024-4367, a vulnerability in PDF.js found by Codean Labs. PDF.js is a JavaScript-based PDF viewer maintained by Mozilla. This bug allows an attacker to execute arbitrary JavaScript code as soon as a malicious PDF file is opened. This affects all Firefox users (<126) because PDF.js is used by Firefox to show PDF files, but also seriously impacts many web- and Electron-based a
新たなセキュリティテスト手法、バグバウンティプログラムのすすめ(後編) - NTT Communications Engineers' Blog
こんにちは。マネージド&セキュリティサービス部セキュリティサービス部門の閏間です。総合リスクマネジメントサービス「WideAngle」の新サービスの企画を担当しています。 本記事では、私がセキュリティの知識・技術向上のために業務外で取り組んでいるバグバウンティプログラムについて、3回にわたって紹介します。 本記事により、バグバウンティプログラムの有効性と、脆弱性探しのおもしろさの両方を伝えられれば幸いです。 (前編)バグバウンティプログラムの有効性について (中編)脆弱性探しの魅力と調査方法について (後編)実際に発見した脆弱性の詳細について【本記事】 なお、バグバウンティに関する記事としては、NTT Com社内バグバウンティのご紹介もありますので、ぜひそちらもご覧ください。 脆弱性の実例:3つの問題が重なってXSS(Cross Site Scripting)が発生 本記事では、私が過去に
【Golang】で【Amazon API Gateway Lambda オーソライザー】と【FirebaseAuth】を利用しての認証をやってみた - カミナシ エンジニアブログ
初めに 初めまして。2021年3月より株式会社カミナシにジョインすることとなりました、エンジニアの@Takuと申します。 業務とは直接関係ないのですが、API Gateway Lambda オーソライザーとFirebaseAuthを組み合わせた認証をやってみたので記載させていただきます。 概要 以下のチュートリアルを元に Amazon API Gateway Lambda オーソライザーを利用した認証機能を作成しました。 docs.aws.amazon.com Amazon API Gateway Lambda オーソライザーを利用することで、 認証・認可部分をAPI Gateway側で共通化できるため、 マイクロサービス化(認証・認可と業務の責務分け) サービスを提供するサーバーの負荷軽減 などのメリットが見込めるのではと考えております。 その際チュートリアルから変更した点として、 OA
書誌情報 書名:オンラインゲームセキュリティ 著作者名:松田和樹(株式会社ラック) 発行:データハウス 発売日:2022年6月18日 価格:3,500円(+税) 単行本(ソフトカバー):496ページ ※電子書籍版はありません。 ISBN-13:978-4-7817-0251-3 出版社の商品ページはこちらから ↓をクリックするとAmazon.co.jpの商品ページにジャンプします。 オンラインゲームセキュリティ 作者:松田和樹データハウスAmazon↑をクリックするとAmazon.co.jpの商品ページにジャンプします。 店頭在庫はこちらから 紀伊國屋書店 / TSUTAYA 概要 本書はオンラインゲームにおけるチート行為と、それに立ち向かうために必要な知識や手法を防御視点で記した、(おそらく)世界初となる書籍です。 オンラインゲームにおけるチートと、それに対するチート対策の基本的な考察か
TL;DR 3行で。 シンプルで セキュアな Ruby on Rails on ECS by Terraform を作りました。 目次 はじめに 本構成のテーマ リポジトリ アーキテクチャ Terraform側のTips Rails側のTips さらなるカスタマイズ はじめに ここ数年、業務やプライベートで様々なパターンのRuby on Rails + AWS ECS構成を構築してきました。 例えば、構築したことがるパターンを要素ごとに列挙するとざっと以下のようになります。 フロント部分 ALBのみ CloudFront -> ALB assetsのみCloudFront ECS 起動タイプEC2 起動タイプFargate 2種の混在 デプロイパイプライン 全部GitHub Actions Capistrano + ecs-cli CodePipeline + CodeBuild Code
#はじめに 私はこれまで開発未経験からサーバーサイドエンジニア転職を目指しており、 Laravel等の技術を使用して「朝活SNS」アプリを個人開発し、 AWSのEC2上で、一般公開していました。 アプリの紹介記事をQiitaにも投稿したところ、 →AWS, Docker, CircleCI, Laravelでポートフォリオを作成してみた【参考リンク付き】 有難いことに300LGTMもいただくことができ、多くの方に 実際にポートフォリオアプリを触ってもらえたものの、結構いろんなイタズラもされしまっておりました。^^; 実装の詰めが甘かったところもあり、その脆弱性を突かれたイタズラ等もあったので、 アプリはデプロイして終わりなのではなく、運用フェーズに入ってからも気を抜いてはいけないのだと実感しましたね。。 こちらの記事では、そんなイタズラの数々や、それに対策できた部分について簡単にご紹介でき
あなたはいくつ知っている? 週刊はてなブログを運営する「週刊はてなブログ編集部」と、クライアントのオウンドメディア記事を制作する「はてな編集部」が合同でブログを紹介する連載企画「編集部が気になるブログ」。今回は長年企業向けのコンテンツ制作に関わってきた、はてな編集部の毛利が企業の技術ブログを紹介します。 こんにちは。はてな編集部の毛利(id:mohri / @mohri)です。はてな編集部というとまるで「はてな」を編集するかのようですが、はてなに存在する編集部というくらいに考えてください。企業向けコンテンツマーケティング事業における記事制作が主な業務です。 はてなで仕事をする前から私は編集者やフリーライターとしてIT系の書籍やWebの記事を手掛けており、現在もいわゆるテック系の媒体を主に担当しています。そんな中で、最近とくに感じるのは、ITエンジニアリングの情報共有において企業による技術ブ
Published: 11 July 2023 at 13:00 UTC Updated: 11 July 2023 at 13:00 UTC In this post we are going to show how you can (ab)use the new HTML popup functionality in Chrome to exploit XSS in meta tags and hidden inputs. It all started when I noticed the new popover behaviour with Chrome on Twitter. We all know about annoying modal dialogs that nag you to subscribe to a newsletter - now you can create
今や情報セキュリティはあらゆる分野で重要視されるようになっていますが、自分がしばらく働いているWebサービス関連の業界では「どの段階から情報セキュリティに取り組めばよいか?」という疑問がしばしば話題になります。昨今のWebサービスの多くは昔からのソフトウェアプロダクト開発における設計→開発→納品というフローで完結するものではなく、高速にプロトタイプを作成して価値検証を繰り返しながら、徐々にサービスとして成熟していくというモデルが多いと思います。その場合、最初から制約を厳しくしてしまうことでプロダクト開発のスピードが鈍化しProduct Market Fit(PMF)に至らない、というリスクが起こりえます。さらに厳しい制約を設けすぎることで逆に対策を無視する、という悪い文化が根付いてしまう恐れもあります。 この記事では自分がもし今から「自分でスタートアップを立ち上げ、あるいは立ち上げ直後のス
2023年のプロダクトセキュリティを振り返る【各業界の開発・セキュリティエンジニア13人に聞く(前編)】 - #FlattSecurityMagazine
プロダクト開発・運用の現場では2023年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! <13人の方々による「2024年セキュリティトレンド予想」> flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product
2023/11/19(日)で開催された JSConf JP 2023に関する、現時点での公開資料と X アカウントリンクをまとめました。 よろしければご活用ください。 はじめに 登壇者名は敬称略させていただいています。 x アカウントについては、以下のように確認できたものを記載しております。 JSConf JP 公式サイトに記載がある JSConf JP 公式サイトに記載のプロフィールと一致している 当イベントで登壇されることに言及されている スライドに記載されている リンクの間違い等ありましたらコメントいただけると助かります🙏 アーカイブ 本イベントは YouTube で配信されていましたが、執筆時点ではトラック A の動画が非公開になっていました。 アーカイブとして残るのかがわからなかったため、一旦 JSConf JP の YouTube アカウントへのリンクのみ記載にしておきます。
はじめに こんにちは。お金見つけたいですか? 最近は脆弱性を探してお金を稼ぐ記事や、企業が見つけた脆弱性にお金を払うことをよしとする記事を見かけることがあります。これらについては眉唾だと思っている人が大半だと思います。そんな怪しいことできれいなお金が稼げるなんてねえ。 そこで、経験者の立場から脆弱性で本当に稼げるのか、脆弱性って見つかるのか、のようなことについて書こうと思います。そして、吸収力のありそうな若者だけじゃなくて良い年したおっさんおばさんでも稼げるのか?ということについて、同世代の目でコメントしたいと思っています。 特にこの2年くらいは海外のバグバウンティにあまり手を出せておらず、2019年の報告は1件のみなので、海外の事情については少し遅れていることもあるかもしれません。ご了承ください。 本稿の対象読者 もう若くないけどなんかやってみたい人 脆弱性で一儲けしたい人 バグバウンテ
Webサイトのフォームで悪用被害急増中!加害者にならないためのフォーム設置講座 商用のWebサイトでは欠かすことのできない「お問い合わせフォーム」。顧客との重要な接点ですので設置しているWebサイトは多いはず。今、そんなお問い合わせフォームが狙われています。「え、WordPressプラグイン最新にしてればいいんじゃないの?」と思われるかもしれませんが、今回は違いますよ! 急増しているお問い合わせフォーム攻撃の手口 昨今、Webサイトのお問い合わせフォームを狙った大量メール送信攻撃が急増しています。手口は非常に古典的で、フォームから問い合わせをした際に送信される「お問い合わせありがとうございました」メールを悪用します。 お問い合わせした人のメールアドレス欄に、スパムメールを送りたいメールアドレスを入力お問い合わせ内容にフィッシングサイトや広告のリンクを入力送信ボタンをクリックお問い合わせあり
さる8月1日、計算機科学の根幹を揺るがすドドスコ問題が出題され、エンジニアたちは震撼した(意味: 面白問題が出たので、なるべくヘンテコな解法を使って己の技巧を誇示するためにエンジニアたちは競ってコードを書きはじめた)。 【問題】配列{"ドド","スコ"}からランダムに要素を標準出力し続け、『その並びが「ドドスコスコスコ」を3回繰り返したもの』に一致したときに「ラブ注入♡」と標準出力して終了するプログラムを作成せよ(配点:5点)— ((🐑++)) (@Sheeeeepla) 2022年8月1日 そこで、関数型テクニックをなんとかねじこんだ解法を作ったのでここに示す。 import higherkindness.droste.Coalgebra import higherkindness.droste.data.list.{ListF, ConsF, NilF} import higherk
I found and reported this vulnerability with @ginkoid. This was actually the first report that paid out for me on HackerOne. At $35,000, it’s also the highest bounty I’ve received so far from HackerOne (and I believe the highest GitHub has paid out to date). A lot of bugs seem to be a mix of both luck and intuition. In this blog post, I’ll illustrate my thought processes in approaching such a targ
クロスサイトスクリプティング(XSS)の緩和策として、CookieにHttpOnly属性を付与する方法が知られていますが、これはどの程度効果があるのでしょうか。デモを通じて、実はHttpOnly属性にはあまりXSS攻撃緩和の効果がないことを紹介します。 本日お伝えしたいこと ・CookieのHttpOnly属性について説明します ・CookieのHttpOnly属性でクロスサイトスクリプティング攻撃がどの程度安全になるかを説明します スクリプト等 https://github.com/ockeghem/web-sec-study/tree/master/httponly-cookie 目次 0:27 CookieとHttpOnly属性について 2:37 クロスサイトスクリプティング(XSS)攻撃をしてみる 3:04 クッキーにHttpOnly属性をつけてみる 4:18 Cookieに
Demystifying Azure OpenAI Networking for Secure Chatbot Deployment
Introduction Azure AI Landing Zones provide a solid foundation for deploying advanced AI technologies like OpenAI's GPT-4 models. These environments are designed to support AI enthusiasts, but it's essential to grasp their networking aspects, especially concerning Platform as a Service (PaaS) offerings. In this article, we'll dive into the networking details of OpenAI Landing Zones, focusing on ho
It’s been a year since my last XSS cheatsheet, and a year of developments in XSS exploitology. Here’s a new and updated version jam-packed full of goodies that I use myself! Note: This cheat-sheet focuses on up to date and relevant items only. Would you take a cheat sheet with you to an exam that has a bunch of irrelevant stuff? No, of course not. I hate cheat sheets that waste space on methods th
Facebook広告に携わる方だけでなく、インターネット広告に少しでも関わっている方であれば、サードパーティCookieについて近頃騒がしいのはご存知かと思います。そして、その文脈でコンバージョンAPI(CAPI)という言葉も耳にしたことがある方もいらっしゃるのではないでしょうか? 一方で、聞いたことはあるけどなんとなく分かったつもりで話を合わせている…重要だとは思うけど何となく踏み込めずにいる…という方も少なからずいらっしゃるのではないかと思います。 そこで、この記事では、コンバージョンAPI(CAPI)とは何か?を理解する前に、なぜコンバージョンAPIという概念や計測手段が登場したのか?という背景から実際の設定や導入方法についてまで、理解を深めていただくために説明します。 少々長いどころではないですが、最後まで読んでいただくことで、コンバージョンAPI(CAPI)については自信をもって
The SaaS CTO Security Checklist Redux - Gold Fig — Peace of mind for infrastructure teams
Doing the basics goes a long way in keeping your company and product secure. This third1 edition of the SaaS CTO Security Checklist provides actionable security best practices CTOs (or anyone for that matter) can use to harden their security. This list is far from exhaustive, incomplete by nature since the security you need depends on your company, product, and assets. (e.hasAttribute('/')) ? e.re
この記事は次のスライドの文字起こし的な内容です。 スライド: クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策 スライドの画像 + 喋った内容のNote的なものをそれぞれのページごとに書き込んでいます。 リンクとかはスライド版ならクリックできるので、そっちを見るといいのかもしれません。 画像だらけなので、画像が読み込み終わるのを待つといい気がします。 クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策 テンプレートエンジンに関するセキュリティ的な問題についてのお話です。 テンプレートだからエンドユーザー(サービスの利用者)に書かせて安全だと思っていても、選んだテンプレートエンジンの性質によっては安全ではない場合があります。 また、JavaScriptのテンプレートエンジンはクライアントサイド(Browser)とサーバ
![[クライアントサイド〜サーバーサイド] テンプレートエンジンでのセキュリティ的な問題や考え方](https://cdn-ak-scissors.b.st-hatena.com/image/square/b26f7dc8f9e783316f720174980e93c627438d74/height=288;version=1;width=512/https%3A%2F%2Fefcl.info%2Fpublic%2Ffavicon.png)
CS253 - Web Security
CS 253 Web Security Fall 2021 This course is a comprehensive overview of web security. The goal is to build an understanding of the most common web attacks and their countermeasures. Given the pervasive insecurity of the modern web landscape, there is a pressing need for programmers and system designers to improve their understanding of web security issues. We'll be covering the fundamentals as we
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
What's New In DevTools (Chrome 95) | Blog | Chrome for Developers
New CSS length authoring tools DevTools added an easier yet flexible way to update lengths in CSS! In the Styles pane, look for any CSS property with length (e.g. height, padding). Hover over the unit type, and notice the unit type is underlined. Click on it to select a unit type from the dropdown. Hover over the unit value, and your mouse pointer is changed to horizontal cursor. Drag horizontally
Safe DOM manipulation with the Sanitizer API Stay organized with collections Save and categorize content based on your preferences. The new Sanitizer API aims to build a robust processor for arbitrary strings to be safely inserted into a page. Applications deal with untrusted strings all the time, but safely rendering that content as part of an HTML document can be tricky. Without sufficient care,
はじめに 連載「業務を改善する情報共有の仕掛け」の第11回と第12回では、Alfrescoによる「業務自動化プラットフォーム」についてお話をしました。Alfresco Content Service Version 6から、Docker、Kubernetesに対応することになり、コンテナ技術を使った自動デプロイは、すでに身近に感じています。 早期リリースが注目される中で、ソフトウェアの品質やセキュリティ面への対応も重要になってきたと感じます。海外ではDevOpsからDevSecOpsに移行しているチームが増加しており、日本においても注目が集まっています。DevOpsについては、「業務を改善する情報共有の仕掛け」の第1回でお話をしましたので、これまでの連載を受けつつ、新タイトルで気持ちも新たに安全性・安定性を加えた開発サイクルについて考えていきます。今回は「DevSecOps」を中心にお話
はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みましたので、CSPについてまとめてみます。 CSPとは CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 簡単に説明すると、XSS等を緩和する為、インラインスクリプトやevalなどを禁止したり、信頼できるコードなどを参照するように制限をかけたりするセキュリティの為のHTTPレス
オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジェクトストレージを主題とした内容の再編と、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 なぜ今、この問題を取り上げるのか? 近年のクラウドリフト、クラウドシフトにより、クラウドを活用する場面が多くなってきていると思います。その中で、多くの場面で利用されるオブジェクトストレージにおいて、データの書き込み時に気にすべきセキュリティリスクが存在するのをご存知でしょうか? 近年、オブジェクトストレージの不適切な利用に起因する情報漏洩が多く発生しています。そのよ
西川善司の3DGE:Gearsシリーズの制作スタジオが語るUnreal Engine 5――1億ポリゴン時代に突入するゲーム開発のゆくえ
西川善司の3DGE:Gearsシリーズの制作スタジオが語るUnreal Engine 5――1億ポリゴン時代に突入するゲーム開発のゆくえ ライター:西川善司 Unreal Engine 5(以下,UE5)の存在が発表された2020年5月は,新世代ゲーム機のPlayStation 5(以下,PS5)やXbox Series X/S(以下,XSX)が発売となる半年前だった。 2000年代以降におけるUnreal Engineの歴史を振り返ると,Unreal Engine 3(以下,UE3)はPlayStation 3(以下,PS3)やXbox 360,Unreal Engine 4(以下,UE4)はPlayStation 4(以下,PS4) / Xbox Oneといった具合に,その時代における次世代ゲーム機の発表に合わせて,新バージョンを発表してきた。 ただ,理解しておくべきなのは,それらUE
フィルは1990年、ワシントン大学を卒業した後そのままマイクロソフトに入社した生え抜きだった。ファイナンスソフトの開発や、エンカルタと呼ばれる電子百科事典の開発、そしてMSN(MSが立ち上げたポータルサイト)の立ち上げに携わった。 マイクロソフトがXboxでゲーム業界に参入したあと、フィルは社内ゲームスタジオStudioXに参加した。開発会社と連携し、そのゲームタイトルをマイクロソフト名義で発売するようになる。ライオンヘッドスタジオという開発会社が作ったFableという独特の世界観をもったRPGにフィルも関わった。Fableは日本国内では無名に近いが、海外で260万本というヒットを記録している。なお、他にはレア社(SFCのスーパードンキーコングを開発した会社である。この時点で売却され、マイクロソフトの子会社になっていた)のタイトルを管理し、発売していた。360ではあつまれピニャータ!!がレ
With an increasing number of breaches, intrusions, and data thefts, securing a web application is extremely important. On the other hand, programmers often do not have a strong grasp of how attacks work and how to mitigate them. This post attempts to close that gap a little. CSRF Cross-Site Request Forgery is an attack where a third party forces a user to execute actions against a site where they
ブログで生計を立て始めて6年目のわたしから、 「ブログでお小遣いを稼いでみたい」 という会社員の方向けのガイドを作りました! おすすめのブログサービスから、具体的なブログ戦略まで。 ぜひ、参考にしてみて下さい。 はてなブログとWordPressはどっちがいい?はてなブログがおすすめの理由 WordPressで失敗した会社員 WordPressの失敗①:プラグインとテーマのバッティング WordPressの失敗②:プラグインとWordPressのバッティング WordPressは放置すると、はてなブログよりSEOが弱くなる? プロがWordPressをおすすめし過ぎる問題 はてなブログの副業で稼げるのは、月3万円ぐらい 【戦略】副業はてなブログで稼げる、おすすめジャンル(避けるべきジャンル) はてなブログの始め方 はてなブログとWordPressはどっちがいい?はてなブログがおすすめの理由
[BODYも分かる!] AWS WAFでXSS/SQLiのログに詳細が記録されるようになりました[アップデート] #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、WAFWAFしてますか?(久しぶりの挨拶 今回はAWS WAF利用者にとって地味に嬉しいアップデートがありました。 AWS WAF で、一致したルールに関するコンテキストのリクエストログ記録を改善 こちらを紹介しつつ実際にやってみます。 XSS/SQLiのログ詳細記録とは AWS WAFは2018年9月より下記の通りフルログを取得できるようになっていました。 フルログではWAFを通過した際の処理内容について様々な情報が出力されていましたが、XSS(クロスサイトスクリプティング)やSQLi(SQLインジェクション)の対策はAWS側で元々用意されているルールに合致したかどうかで判定されるため、リクエストのどの内容が問題となってBlockされているかが分かりづらいという欠点がありました。 今回はAWS WAFのフルログの中にterminatingRuleMatc
![[BODYも分かる!] AWS WAFでXSS/SQLiのログに詳細が記録されるようになりました[アップデート] #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a40565a486672c7039cb5c926f432f33218cbc0e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-waf.png)
Command palette beta
October 27, 2021 A command palette beta is now available for all users across github.com. Quickly navigate to your organizations and repositories, and use modes to find and jump-to pull requests, issues, projects, files, and more. Execute commands to optimize your workflows, all from the keyboard. Open the command palette using one of the following keyboard shortcuts: Windows and Linux: Ctl k or C
セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog
こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性診断において利用されているORCAsというプラットフォームについて紹介しました。ORCAsは、この世の全てが古のスプレッドシートで管理されていた旧石器の時代を一気に文明開化まで押し上げ、Flatt Securityの脆弱性診断業務を圧倒的に効率化した事で今やFlatt Security内の必需品となっています。 ORCAsはブログ著者の@Sz4rnyさんが中心となって従来の不便を解消するために立ち上げられ、今や総コミット数5000に達しようとする中規模プロジ
Web performance isn’t going to save you in this crisis. But if you’re building a software product, chances are you’re relatively unaffected. And in this case, having a quick app is more important than ever. Internet is slowing down due to increased demand, and people are holding on to their phones for longer – so if your app is slow, your users will be affected by it. And slow app means worse busi
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
米Googleの情報セキュリティエンジニアリングチームは1月22日(現地時間)、米AppleのSafariブラウザの「Intelligent Tracking Prevention」(ITP)にある個人情報の漏えいにつながる欠陥についての論文を公開(リンク先はPDF)した。 ITPは、2017年10月にSafariに搭載されたプライバシー機能。サードパーティーCookieによるクロスサイトトラッキングを制限する。Googleは、ITPのリストはユーザーがアクセスしたWebサイトに関する情報を暗黙的に保存するためアクセス可能になっていたことや、攻撃者がフィンガープリントを作成できる欠陥があったと指摘する。セキュリティ研究者のルカス・オルジェニク氏はこの論文を高く評価し「これは非常に深刻なセキュリティおよびプライバシー上のバグだ」とツイートした。同氏は「プライバシー機能にあるプライバシーバグは
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プログラミング1年目の2023年に勉強した技術・書籍の振り返り - Qiita
書籍『オンラインゲームセキュリティ』サポートページ - ど~もeagle0wlです(再)
シンプルでセキュアなRails on ECSのTerraformによる実装 - Qiita
ポートフォリオのアプリを公開したらイタズラされまくった話 - Qiita
企業の技術ブログがIT技術の共有において存在感を増している件について - 週刊はてなブログ
Exploiting XSS in hidden inputs and meta tags
Web サービススタートアップにおけるプロダクトセキュリティの始め方
JSConf JP 2023 公開資料・Xアカウントリンクまとめ
アラフォーのためのバグバウンティの話 - Qiita
Webサイトのフォームで悪用被害急増中!加害者にならないためのフォーム設置講座 | さくらのホームページ教室
Recursion Schemeによるドドスコ問題の恐るべき解法 - Lambdaカクテル
Breaking GitHub Private Pages for $35k
CookieのHttpOnly属性でどこまで安全になるのか - YouTube
Cheatsheet: XSS that works in 2021
Facebook広告のコンバージョンAPI(CAPI)とは何か?を理解する前に知っておきたいこと|アナグラム株式会社
[クライアントサイド〜サーバーサイド] テンプレートエンジンでのセキュリティ的な問題や考え方
「わしは生安や」警察署員が店ともめ事 県警が告訴受理:朝日新聞デジタル
Safe DOM manipulation with the Sanitizer API | Articles | web.dev
第1回 DevOpsからDevSecOpsへの近道(前編) | gihyo.jp
CSP(コンテンツセキュリティポリシー)について調べてみた - セキュアスカイプラス
もう一度立ち上がれ、Xbox -再建者フィル・スペンサー- 後編|初心カイ
CSRF, CORS, and HTTP Security headers Demystified
会社員の副業ブログは「はてなブログ」がおすすめ!稼ぐ戦略も紹介 - simplelog.me
Case study: Analyzing Notion app performance · PerfPerfPerf
台湾元総統の李登輝さん、97歳で死去 民主化を推進:朝日新聞デジタル
AppleのサードパーティーCookie制限機能「ITP」の複数の欠陥をGoogleが指摘