","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
Java、Goに続きRuby on Railsに対応。セキュアコーディングのeラーニング「KENRO」がアップデート | Flatt Security
Java、Goに続きRuby on Railsに対応。セキュアコーディングのeラーニング「KENRO」がアップデート 株式会社Flatt Securityは4月26日、Webエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「KENRO(ケンロー)」において、脆弱性が埋め込まれたソースコードを修正する「堅牢化演習」の対応言語として新たにRuby(Ruby on Rails)を追加したことをお知らせします。 「KENRO」公式ページ https://flatt.tech/kenro ■「KENRO」について 「KENRO」はWebエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービスです。 「資料に目を通して三択問題のテストを受けるだけ」という一般的なeラーニングとは異なり、攻撃者が用いる手法を体験する「ハッキング演習」や、脆弱なソースコードを
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
こんにちは!2012年にはてなインターンに参加し、その後社員として入社、現在はチーフエンジニアの id:cockscomb です。 はてなのインターンシップでは、この数年、応募時に課題を課しています。この課題を「応募クイズ」と呼んでいます。 応募クイズは、技術に関するちょっとしたクイズです。まずは実際のクイズを紹介します。 応募クイズの歴史 2020年 Docker 2020年の応募クイズは、募集サイトに示された docker run を実行するものでした。実行すると、対話型のCUIプログラムが起動します。質問に答えていくと、最後にトークンが発行され、これを応募時に提出します。トークンの正体はJSON Web Token (JWT)で、質問に対する回答が記録されています。 Dockerが使えると解けるという、単純な課題でした。 2021年 Webインスペクタ 2021年は募集サイトに「We
GitHub Actionsを使ってBrakemanを導入した話 - LIVESENSE ENGINEER BLOG
はじめに Brakemanとは 導入方針 導入方法 終わりに はじめに 普段アルバイト事業部で主にバックエンドの開発をしている@ayumu838です。 最近はStaubのホーロー鍋を買って煮込み料理をよく作って食べています。 食欲の秋なので日々のカロリー摂取量は増加の一途を辿っているのが少し心配です。 ところで皆さんは、自身のRailsプロジェクトに対してセキュリティチェックを行っていますか? この記事では、GitHub Actionsを使ってRailsプロジェクトに対してBrakemanを導入して、セキュリティチェックを行った時の話です。 Brakemanとは ソースコードに対してSQLインジェクションやXSSなどの脆弱性がないかを解析してくれるGemです。 人間が目視で確認していても抜け漏れがあったり、新たに報告された脆弱性に気付きにくかったりするので、こういった自動で検知してくれるツ
3rd-party JavaScript のリスク対策に CSP(Content Security Policy)を活用する
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、プラットフォームエンジニアの中山です。 Web サイトにはしばしば 3rd-party JavaScript を導入することがあります。たとえば Web 解析ツール、いいねボタンのような SNS 連携機能、広告掲載や効果測定目的のコードスニペットなどは多くの Web サイトで導入されています。 その一方で 3rd-party JavaScript は Web サイトを閲覧するユーザーに対して悪影響を及ぼしかねないため、導入とあわせたリスク対策も必要となります。 そこで、今回は Content Security Policy(以降 CSP)を活用した 3rd-party JavaScript のリスク対策について、ヤフー
転職は非線形な成長のきっかけになる。専門外から飛び込んだセキュリティ業界でギャップを乗り越えて【はせがわようすけさんインタビュー】 - Findy Engineer Lab
ひょうひょうとした自然体。専門家だと偉ぶることもなく若手エンジニアと議論に興じ、子どものように無邪気に技術を楽しむ──Webセキュリティ企業のセキュアスカイ・テクノロジー(SST)でCTOを務めるはせがわようすけ(@hasegawayosuke)さんは、技術力や発想力だけでない不思議な魅力の持ち主です。 そんなはせがわさんですが、エンジニアとしてのスタートは組み込み領域における回路設計。単純に勤続年数としては最も長く経験された企業だとか。同じコンピュータ関連とはいえ、畑違いの世界からいったい何を考えてセキュリティ業界に移り、どんなキャリアを歩むことで現在のはせがわさんになったのか? いくらかの笑いも交えながらお話を伺いました。 目の前の課題をできるだけ抽象化してから解決したい 電子回路の設計を通して学んだ「品質」とハックの原点 コミュニティ黎明期から生じたWebセキュリティへの興味 セキュ
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 弊社では本当にありがたいことに多くのお客様から様々なWebサービスの脆弱性診断をご依頼頂いています。本稿では、特にご依頼いただくことが多いBtoB SaaSという領域において実際にどのような種類の脆弱性が見つかっているのか(我々が発見できているのか)を集計し、上位10種類の脆弱性を紹介します。また、この上位10種類にどのような特徴があるのか、どのようにアクションを行うことでこれらの脆弱性がサービスに埋め込まれないようにできるのかについても解説しています。 データの概要 今回のデータは2022年1月から2023年2月までに診断を行ったBtoB SaaSに属するサービスで発見された脆弱性を元に集計と分類を行っています。集計を行った対象脆弱性の実数については、扱うデータの性質上公開でき
使い方 インストール Bundlerを使う場合 Gemfile gem 'estackprof' bundle install します。 $ bundle install Bundlerを使わない場合 $ gem install estackprof プロファイリングを有効化 StackProf同様、RackMiddlewareとしてアプリケーションに組み込むことができます。StackProfと同様のオプションをサポートしていますが、オプションを省略した場合にもデフォルト設定でいい感じに動作するようにしています。 以下、アプリケーションのソースコードへの記述例です。 app.rb require 'estackprof' use Estackprof::Middleware # ...your rack application レポーティング アプリケーションを動作させたあと、以下のコマン
DevOpsと(セキュリティ系)静的コード解析 (+DAST)が相性が悪いのはなぜか - ぶるーたるごぶりん
※ 2020/5/22 一部加筆 SASTとIterativeな開発の相性の悪さ 若干煽り気味なタイトルですが、チーム内で話していてなぜセキュリティ静的コード解析(Static Application Security Testing: SAST)と言ったセキュリティアプローチがDevOpsで回りにくいのかが言語化できた。 そもそも静的コード解析というアプローチによるセキュリティ担保は基本的に「教科書的なウォーターフォール型」において有効で、 理由としては「人月・工数」のみで考えられた「誰でもその作業ができ、セキュリティの知識がなくても良い」みたいな作業者の能力を考慮しないアプローチが基本だからである。 そう言ったアプローチだと「SASTのアラート全部直してくれな!そしたらセキュアだから!」という形に落とし込むことにより、 問題をある程度封じ込めれると。 ただ、これをDevOps、というよ
Links / Blogs → dragonsector.pl → vexillium.org Security/Hacking: j00ru's blog lcamtuf's blog invisible things (new) invisible things (old) liveoverflow's site /dev/null's site pi3's blog icewall's blog taviso's blog pawel's blog sandeep's blog koto's blog carstein's blog zaufana trzecia strona niebezpiecznik sekurak Reverse Eng./Low-Level: rewolf's blog gdtr spinning mirrors security news rev3rse
はじめに こんにちは、開発本部所属エンジニアの id:kiryuanzu です。 現在、Classi ではサービスのセキュリティリスクをできる限りなくすために Content Security Policy を導入して脆弱性を検知する仕組みの導入を進めています。 本記事ではこの仕組みを導入する上でどのような手順が必要であり、どのような箇所で苦戦するポイントがあったかについて紹介していきます。 筆者は今まで CSP対応に携わったことがなかったのですが、導入段階の時点で想定していたよりも様々な知識が必要なことがわかり、記事にしたいと思いました。 もし数ヶ月前の自分と同じように初めてCSP対応に関わる人の一助となれば幸いです。 Content Security Policy (通称: CSP) って何? Content Security Policy とは、HTTPヘッダの種類の1つであり、クロ
jQuery 3.5.0 has been released! As usual, the release is available on our cdn and the npm package manager. Other third party CDNs will probably have it soon as well, but remember that we don’t control their release schedules and they will need some time. We hope you’re staying healthy and safe while so many of us are stuck at home. With a virus ravaging the planet, we realize that jQuery may not b
What's New In DevTools (Chrome 90) | Blog | Chrome for Developers
New CSS flexbox debugging tools DevTools now has dedicated CSS flexbox debugging tools! When an HTML element on your page has display: flex or display: inline-flex applied to it, you can see a flex badge next to it in the Elements panel. Click the badge to toggle the display of a flex overlay on the page. In the Styles pane, you can click on the new icon next to the display: flex or display: inlin
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
'); doc.close(); } if (!doc) throw Error('base not supported'); var baseTag = doc.createElement('base'); baseTag.href = base; doc.getElementsByTagName('head')[0].appendChild(baseTag); var anchor = doc.createElement('a'); anchor.href = url; return anchor.href; } finally { if (iframe) iframe.parentNode.removeChild(iframe); } }()); } // An inner object implementing URLUtils (either a native URL // ob
GitHub - corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall library
Coraza is an open source, enterprise-grade, high performance Web Application Firewall (WAF) ready to protect your beloved applications. It is written in Go, supports ModSecurity SecLang rulesets and is 100% compatible with the OWASP Core Rule Set v4. Website: https://coraza.io Forum: Github Discussions OWASP Slack Community (#coraza): https://owasp.org/slack/invite Rule testing: Coraza Playground
盗み取られたカード情報などが取引されるダークウェブのマーケットプレイス「BidenCash」が、設立1周年を記念して216万5700件ものクレジットカードおよびデビットカードのデータベースを無料で流出させたことが判明しました。 Cyble — Over 2 Million Cards Leaked By BidenCash https://blog.cyble.com/2023/03/01/over-2-million-cards-leaked-by-bidencash/ BidenCash Dumps 2.1 Million Stolen Credit Cards | Flashpoint https://flashpoint.io/blog/card-shop-threat-landscape-bidencash-dumps-stolen-credit-cards/ BidenCash
GitHub - Bearer/bearer: Code security scanning tool (SAST) to discover, filter and prioritize security and privacy risks.
Scan your source code against top security and privacy risks. Bearer CLI is a static application security testing (SAST) tool that scans your source code and analyzes your data flows to discover, filter and prioritize security and privacy risks. Currently supporting: JavaScript/TypeScript (GA), Ruby (GA), PHP (GA), Java (GA), Go (GA), Python (Alpha) - Learn more Getting Started - FAQ - Documentati
この記事では、私が今年報告したFirefoxブラウザの脆弱性の中から、主観的に発生原理が面白いと思うものを3点ほど紹介します。 見つけた脆弱性の一覧は以下のとおりです。これらはすでに修正済みであり、開発元のMozillaから情報公開の許可を得ています。透明性のある対応に感謝します。 今年見つけたFirefoxの脆弱性一覧この記事で触れていない脆弱性のうちいくつかは、MozillaのAttack & Deffenceというセキュリティブログに寄稿しておりますので、宜しければそちらもご覧ください。それでは、はじめていきましょう。 1. XSSによるサーバ証明書検証エラーのバイパスまずは、お馴染みのXSSです。本来、XSSはWebアプリの脆弱性ですが、Webブラウザの中にも存在することがあります。たとえば、サーバに接続できない場合に表示されるエラー画面を思い浮かべてください。あれはサーバから取得
2019年のOSS活動の振り返り記事です。 今までの振り返り。 今年のOSS活動振り返り @ 2018 | Web Scratch 今年のOSS活動振り返り @ 2017 | Web Scratch 今年のOSS活動振り返り @ 2016 | Web Scratch 今年のOSS活動振り返り @ 2015 | Web Scratch 今年のOSS活動振り返り @ 2014 | Web Scratch 2019年のGitHubのContributionsは7000~10000ぐらいを推移していました。 ちょっとプライベートリポジトリのコミット比率が上がって、原因はasocial-bookmarkでのブックマークシステムな気がします。後は、仕事のリポジトリがPrivate比率多い。 GitHubのCurrent Streakは2246日で6.153424658年コミットは続いています。 データ
What's New In DevTools (Chrome 77) | Blog | Chrome for Developers
Copy element's styles Right-click a node in the DOM Tree to copy that DOM node's CSS to your clipboard. Figure 1. Copy element styles. Thanks Adam Argyle and VisBug for the inspiration. Visualize layout shifts Supposing you're reading a news article on your favorite website. As you're reading the page, you keep losing your place because the content is jumping around. This problem is called layout
はじめに xss については何となく理解したけど、結局それがどう攻撃に使われるのかが良く分からなかったので、セッションハイジャックと言うものを試してみた。 やりたいこと 攻撃者の立場に立ち、被害者に対して攻撃用 URL を送りつけ、被害者のセッション ID を取得する。 脆弱性のあるサイトを作る まずは被害者がログインできるサイトを作る。 javascript + express で作ったけど、あんまり使ったことないフレームワークだったから認証の仕組みを入れるのに時間がかかった。 といっても認証の方法は「どんなユーザー名でもパスワードでもログインできる」という感じ。 (ログイン状態さえ作り出せれば良いため) ↓ソースコード https://github.com/ahyaemon/express-training ↓ログインページ ↓ログイン後ホーム クッキーにセッション ID らしきものが
Ubuntu Weekly Topics Ubuntu LTSの「12年サポート」の可能性、Ubuntu 24.04 LTS(noble)の開発 / GNOME 46への切り替えと古いリリースのメンテナンス 「12年サポート」の可能性 昨年のUbuntu Summitにおいて、Destination LinuxがMark Shuttleworthへの独占インタビューを行っており、最近この内容が公開されました。このインタビューの中に非常に興味深い発言が含まれています。 その内容は「今後のLTSにおいては『少なくとも12年』のサポートの提供を予定している」というものです。現時点ではまだUbuntu/Canonical的なアナウンスはなく、確定された情報ではない点で不明瞭な面はありつつ、次のようなことは言えそうです。 24.04 LTS(と、すでにリリースされているLTSのうちひとつ)は12
企業が持つべきセキュリティ意識とは?EGSS徳丸浩氏、細野英朋氏×クラスメソッドエンジニア座談会 | DevelopersIO
日本でもクラウドサービスの充実や大規模採用が進み、企業のクラウド環境導⼊は今やスタンダードな選択肢となりました。その一方でセキュリティ上の課題は現在も大きなトピックとして日々話題に上がります。 企業として考えなければならないWebセキュリティとはどういったものでしょう。徳丸浩氏が代表を務めるEGセキュアソリューションズと、AWSセキュリティ監査ツールインサイトウォッチ(insightwatch)や技術支援サービスを提供するクラスメソッドによるセキュリティ座談会(2018年実施)をDevelopers.IOに再掲します。 (2018年9月21日 東京・EGセキュアソリューションズ株式会社にて収録) 境界防御から認証への意識変⾰ 田子昌⾏(以下、田子) クラスメソッドの田子です。⼊社以来10年ほどWebアプリ開発やビッグデータ分析基盤の構築などに関わってきました。今は「インサイトウォッチ(in
11社もの流通業のEC(電子商取引)サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング(XSS)」だった。SaaSの提供元は攻撃検知ツールなどを導入していたが、守りを突破された。 「御社のEC(電子商取引)サイトからクレジットカード情報が漏洩した可能性がある。調査してほしい」。2021年9月1日、流通大手のベイシアはクレジットカード会社から連絡を受けた。 クレジットカード会社がカード会員からの問い合わせを基に調査した結果、クレジットカードが不正利用されたと判断した。カード会員の利用履歴から判断すると、ベイシアのECサイト「ベイシアネットショップ」からの漏洩が疑われるという。 ベイシアはSaaS(ソフトウエア・アズ・ア・サービス)型の
Ubuntu Weekly Topics Ubuntuにおける2038年問題との戦い・暗号化設定の調整、SmartNICとUbuntu Ubuntuにおける2038年問題との戦い・暗号化設定の調整 Foundation Teamの開発レポートを見ると、いくつか興味深い作業を読み取ることができます。まず注目するべきはarmhf time_tという見出しのついた作業を、複数のエンジニアが進めている点です。これは内容からして「2038年問題への対応(32bit Arm)」であろうことがわかります。この文脈で2038年問題について知っておくべきこととしては次の通りです。 伝統的なUnix環境では、システム時刻はepoch time(1970年1月1日午前0時0分0秒)からの経過秒数で保持している。この系において、整数オーバーフローによる巻き戻りが発生すると、「時刻が突然1970年に巻き戻
XSSワーム「Samy」の動作を解析する Mar 1, 2018 この記事はセキュリティ・キャンプWS「The Anatomy of Malware 完全版」の応募課題として提出したものである。公開にあたり一部文章の修正と図式の差し替えを行なった。 Samyの誕生とそれによる被害 アメリカのハッカーであるSamy Kamkar氏(@samykamkar)が2005年にリリースしたMySpaceを標的とするXSSワームが「Samy(JS.Spacehero)」である。当時のソーシャル・ネットワーキング・サービスMySpaceは、プロフィールをユーザー好みのスタイルに設定できる仕様であり、一部のHTMLタグの使用が許可されていた。JavaScriptの実行につながるタグや属性などの使用は禁止されていたが、Kamkar氏はそのフィルター処理を回避できた¹。当時19歳だったKamkar氏はこの抜け
週刊Railsウォッチ(20200525前編)2020年のRailsマストgem 19個、スライド『Fat Modelの倒し方』、AR mergeのrewhereオプションを変更ほか|TechRacho by BPS株式会社
2020.05.25 週刊Railsウォッチ(20200525前編)2020年のRailsマストgem 19個、スライド『Fat Modelの倒し方』、AR mergeのrewhereオプションを変更ほか こんにちは、hachi8833です。JavaScriptが25歳の誕生日を迎えたそうです🎉。10日そこそこで最初のプロトタイプを作ったとは😳。Rubyはちょっとだけ年上なんですね。 25 years ago this month the first prototype of JavaScript was created over ten days. Most likely May 6-15, 1995. Read about how it happened in “JavaScript: The First 20 Years” https://t.co/aCMFx28GX0@Bren
ソフトウェアエンジニア版 親父の小言 pyspa編
ドメインモデルは貧血にするな Keep it simple stupid バリューオブジェクトはイミュータブルにしろ 博打は決して打つな YAGNI 分散トランザクションとか寝言言ってるんじゃねぇ 使わなくなったコードはさっさと消せ コメントも含めてメンテしろ 推測するな、計測しろ そのアラートは必要ない ロールよりプラクティス コードが書けない奴がチームにいることを肯定するためにスクラムという言葉を使うな ソースと一緒にドキュメントもメンテしろ 欲しいのはエンジニア上がりのPM、エンジニア崩れのPMは要らん 分野ごとの最適なアルゴリズム選びはきちんとやれ プロパティをむやみに作るな 狭くて深いモジュールにしろ 英語を勉強しろ 早く寝ろ DB切り替えとかの予定もないのに、最初からインタフェース切ったりするな。本当にそれが有用なら、そういう機構を誰かがすでに用意したり事例があるはずだ。ないな
ジョーク『「お金持ちと結婚するにはどうすればいいい」の女性の質問への経営者の解答』への投資家目線の解説がいい…元ネタを追う流れも
MAGA🍁SAN @magasan_tv 経済的自由人|投資家|綺麗な身体作り|FIREし🇨🇦カナダ留学|サーフィン🏄♂️スノボ🏂サーモン釣り(暫くやってない)|大阪⇄東京⇄海外の3拠点生活| 夢はクルーズ船で世界を旅するように暮らす|⚠️偽垢LINE誘導に注意 MAGA🍁SAN @magasan_tv 25歳の女性が、J.P. モルガン社長あてに「お金持ちと結婚するにはどうすればいいですか?」というメールを出し、その回答が非常に話題になった。この話から分かる事は「本物の投資家による投資家思考」と「株式投資の基礎的な考え方」です。 pic.twitter.com/D1lKvS1XSs 2021-04-29 07:00:01
WordPressを安定運用する技術 | CyberAgent Developers Blog
この記事は CyberAgent Developers Advent Calendar 2019 25日目の記事です🎉 AI事業本部の黒崎( @kuro_m88 )です。CyberAgentのアドベントカレンダーを書くのは5回目になりました。普段はDynalystという広告配信プラットフォームのバックエンド開発をしています。 今年は所属している事業部のWordPressのリニューアルを手伝ったのでその話をします。 新サイトはこちらです。 https://cyberagent.ai/ 8月までは「アドテク本部」という部署だったのですが、9月から組織改編があり「AI事業本部」という組織に変わりました。設立の経緯はこちらの記事をご覧ください。 「AIが全ての産業に影響を与える」 AI新時代 に、取締役 内藤が挑む3つのこと サイトをリニューアルするにあたって 社内で組織改編の話が出た時にはサイ
microCMSとNext.jsを組み合わせて、Jamstackなブログを作成することができるチュートリアルです。 前提利用サービス本記事では以下の2つのウェブサービスを利用します。どちらのサービスも個人開発においては無料の範囲で十分な機能を備えており、実績豊富なサービスです。最初にそれぞれのサイトトップより登録を済ませておきましょう。 microCMS:特に日本において市場をリードするヘッドレスCMSです。ブログのコンテンツ管理を担います。Vercel:フロントエンド開発向けのプラットフォームです。サイト公開におけるインフラやCI/CDを担います。 ソフトウェアバージョン下記のバージョンで開発を行なっています。バージョンの差異によって若干機能が異なる可能性があります。 Next 13.1.1react 18.2.0react-dom 18.2.0microcms-js-sdk 2.3.2
バグバウンティにおける JavaScript の静的解析と動的解析まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティなどの脆弱性調査で行う、JavaScript の静的解析と動的解析についてまとめて紹介します。 1. 始めに 免責事項 想定読者 検証環境 静的解析と動的解析 2. 静的解析 (Static Analysis) 2.1 JavaScript File の URL を収集する getJS hakrawler getallurls (gau) 2.2 エンドポイントを列挙する LinkFinder xnLinkFinder katana jsluice endext 2.3 シークレット情報を検出する SecretFinder jsluice Mantra trufflehog 2.4 潜在的な脆弱性情報を検出する Retire.js ESLint 3. 動的解析 (Dynamic Analysis) DevTool
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog はじめまして。 ヤフーSOCの中村です。 みなさんは、SOCという言葉をご存じでしょうか? サイバーセキュリティの重要性が強く求められるようになった近年、このSOCという言葉を耳にすることも多くなっているように思います。 その一方で「SOCとは何か」「具体的に何をしているのか」といった部分は、まだあまり知られていないように感じています。 今回は「SOCとは何か」、そして「ヤフーSOCでは具体的にどんな活動をしているのか」を少しでもみなさんに知ってもらえるよう、ご紹介したいと思います。 SOCとは ヤフーSOCの話をする前に、一般的なSOCについてお話ししましょう。 「Security Operation Center」の頭文字を取
Prototype Pollution in Kibana
Working at Securitum Pentester / Researcher / Web Security Instructor Bug bounty hunter 0x08 place at Google's 0x0A Loving client-side security Speaking XSS Prototype-based inheritance What's prototype pollution anyway? DEMO: RCE via prototype pollution in Kibana Lessons learnt
『Zenbleed』に対するUbuntuの対応 Zen2シリーズ(=Ryzenプロセッサーの一部)に影響する、『Zenbleed』と呼ばれる脆弱性(CVE-2023-20593)が公開されました。AMDからも脆弱性情報が提供されています。 影響があるのはZen 2アーキテクチャを採用したCPUファミリーです[1]。 今回見つかったものは、Spectreのときのようなサイドチャネル攻撃(つまり「新しいタイプの攻撃手法によって見つかった新しい脆弱性」)ではなく、純粋なCPUのバグです。サイドチャネル攻撃の場合は「このような操作をすると、CPU上で扱っているデータを推定することができました。たとえば処理にかかる時間の差とか」というものだったのですが、今回のものは「こういう操作をすると、なんだかCPUがおかしな挙動をしていることがわかりました、直前まで扱っていたデータを復元可能です」というもの
【初心者向け】Laravel 入門 まとめ - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 初めまして。配配メール開発課 Jazumaです。 今回はPHPのフレームワークLaravelの環境構築~基本機能の動作確認を行います。 Linux環境での作業を前提としていますのでWindowsやMacではこの記事の手順でLaravelの環境構築をすることができません。予めご了承ください。 はじめに Laravelとは Laravelのメリット 動作環境 Laravelの環境構築 PHPのインストール Laravelのインストールや動作に必要なモジュールのインストール Composerをインストールする Laravelのインストール・プロジェクトの作成 Laravelの基本機能確認 ビルトインサーバの起動 ルーティングの設定 コントローラの作成 Viewファイルの作成 終わりに Laravelとは Laravelは2011年にリリースされたオープンソースのPHPフレームワークであ
はじめに ゴールなき、サイバーセキュリティの学習。そんなときの心のオアシス「モチベーションが上がる!」というメディア作品をまとめました。 エンターテインメントの世界で描かれるサーバーのクラッキング(攻略)シーンは厨ニ病心をくすぐる魅力がありますね。 作品とともに、メイキング(監修)に関する記事をピックアップし併記しています。 漫画・アニメ 『解体屋ゲン』88巻 INTERNET Watch「まるごと1冊サイバーセキュリティをテーマにした「解体屋ゲン」88巻が一部で話題沸騰」, 2022/02/04 サイバーディフェンス研究所 公式 Tweet 星野茂樹(『解体屋ゲン』原作者) Tweet 『トリリオンゲーム』, 稲垣理一郎, 池上遼一, (2021年) PR TIMES『小学館『ビッグコミックスペリオール』で連載を開始する『トリリオンゲーム』(原作:稲垣理一郎、作画:池上遼一)の技術監修を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
陽性者受け入れを想定、東京・お台場に仮設住宅140戸:朝日新聞デジタル
ひとり親控除の天王山 女性議員はカツ弁当食べて論戦へ:朝日新聞デジタル
はてなインターン応募クイズ - Hatena Developer Blog
「BtoB SaaSに多く発見された脆弱性Top10」を集計しました - Flatt Security Blog
簡単に使えるRubyプロファイラ - EstackprofというGem作りました
xz/liblzma: Bash-stage Obfuscation Explained
Content Security Policy のレポートを収集するためにやったこと - Classi開発者ブログ
jQuery 3.5.0 Released! | Official jQuery Blog
「ひかり電話ルーター/ホームゲートウェイ」にXSSとCSRFの脆弱性、最新ファームへ更新を
教団推薦確認書の署名写真、記憶ない「変わらず」 盛山文科相:朝日新聞デジタル
大奥 | Netflix (ネットフリックス) 公式サイト
闇サイト「BidenCash」が216万件のクレジットカードを「1周年記念」で無料放出
今年見つけたFirefoxの脆弱性 (2020年)
今年のOSS活動振り返り @ 2019
xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
Ubuntu LTSの「12年サポート」の可能性、Ubuntu 24.04 LTS(noble)の開発 / GNOME 46への切り替えと古いリリースのメンテナンス | gihyo.jp
SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩
Ubuntuにおける2038年問題との戦い・暗号化設定の調整、SmartNICとUbuntu | gihyo.jp
XSSワーム「Samy」の動作を解析する
microCMS + Next.jsでJamstackブログを作ってみよう
守れサイバーセキュリティ~SOCとは? ヤフーにおけるその役割
『Zenbleed』に対するUbuntuの対応 | gihyo.jp
ハッキングシーンが重要なメディア作品またはその監修に関するまとめ記事 - Qiita