ã¡ã„ã•ãª Web ブラウザを作ã£ã¦ã¿ã‚ˆã†
fixedsoda on Twitter: "暗証番å·åˆ†å¸ƒã€‚ã¾ãšç›®ã«ã¤ãã®ã¯ xxyy 系。ã•ã™ãŒã« xxxx ã¯ç°¡å˜ã™ãŽã‚‹ã¨æ€ã†ã®ã‹æ„外ã¨è–„ã„。6969 ãŒãªãœã‹å¤§ãã„。ã¡ã‚‡ã£ã¨ãšã‚Œã¦ã‚‹ã¨ã“ã‚ã«æ¿ƒã„点ãŒã‚ã‚‹ã‘ã©ãªã‚“ã ã‚ã€ã¨ãŠã‚‚ã£ãŸã‚‰5150。ã“れヴァン・ヘイレンã ã‚。 https://t.co/Ks96Tece7W"
暗証番å·åˆ†å¸ƒã€‚ã¾ãšç›®ã«ã¤ãã®ã¯ xxyy 系。ã•ã™ãŒã« xxxx ã¯ç°¡å˜ã™ãŽã‚‹ã¨æ€ã†ã®ã‹æ„外ã¨è–„ã„。6969 ãŒãªãœã‹å¤§ãã„。ã¡ã‚‡ã£ã¨ãšã‚Œã¦ã‚‹ã¨ã“ã‚ã«æ¿ƒã„点ãŒã‚ã‚‹ã‘ã©ãªã‚“ã ã‚ã€ã¨ãŠã‚‚ã£ãŸã‚‰5150。ã“れヴァン・ヘイレンã ã‚。 https://t.co/Ks96Tece7W
HashDoS脆弱性ã¨ã®æˆ¦ã„ï¼ Rubyコミッター・åœéƒ¨æ˜Œå¹³ãŒæ˜Žã‹ã™ãƒ—ãƒã‚°ãƒ©ãƒ å …ç‰¢åŒ–ã®ãƒŽã‚¦ãƒã‚¦ - エンジニアHub|若手Webエンジニアã®ã‚ャリアを考ãˆã‚‹ï¼
HashDoS脆弱性ã¨ã®æˆ¦ã„ï¼Â Rubyコミッター・åœéƒ¨æ˜Œå¹³ãŒæ˜Žã‹ã™ãƒ—ãƒã‚°ãƒ©ãƒ å …ç‰¢åŒ–ã®ãƒŽã‚¦ãƒã‚¦ éŽåŽ»ã€HashDosã®å½±éŸ¿ã‚’å—ã‘ãŸRuby。言語開発者ã¯ã„ã‹ã«ã—ã¦ã“ã†ã—ãŸå•é¡Œã«å¯¾å¿œã—ã¦ããŸã®ã§ã—ょã†ã‹ã€‚コミッターã§ã‚ã‚‹åœéƒ¨æ°ã®è²´é‡ãªè¨˜éŒ²ã‚’公開ã—ã¾ã™ã€‚ 2011å¹´ã®æœ«é ƒã€HashDoSã¨ã„ã†è„†å¼±æ€§ãŒå…¬è¡¨ã•ã‚Œã€Rubyã‚‚ã“ã®å½±éŸ¿ã‚’å—ã‘ãŸã€‚本稿ã®ç†è€…ã§ã‚ã‚‹åœéƒ¨æ˜Œå¹³ï¼ˆã†ã‚‰ã¹ãƒ»ã—ょã†ã¸ã„ï¼@shyouheiï¼ä»¥ä¸‹ã€åœéƒ¨ï¼‰ã¯ã€å ±å‘Šå½“åˆã‹ã‚‰Rubyå´ã®ãƒãƒ¼ãƒ メンãƒãƒ¼ã¨ã—ã¦ãƒ—ãƒã‚°ãƒ©ãƒ 本体ã®ä¿®æ£ã‚’担当ã—ãŸã€‚以下ã¯ãã®è¨˜éŒ²ã§ã‚る。言語開発者ãŸã¡ãŒæ™®æ®µã©ã®ã‚ˆã†ãªã“ã¨ã‚’考ãˆã€ã©ã†ã„ã£ãŸæŠ€è¡“を用ã„ã¦é–‹ç™ºã‚„ãƒã‚°ãƒ•ã‚£ãƒƒã‚¯ã‚¹ã‚’è¡Œã£ã¦ã„ã‚‹ã®ã‹ã€‚ãã®æ¦‚è¦ã‚’知ã£ã¦ã‚‚らãˆã‚Œã°å¹¸ã„ã 。 オブジェクト指å‘スクリプト言語 Ruby HashDoSã®æ¦‚è¦ ãªãœç´„6年後ã®ä»Šã€ä¿®æ£å†…容を公開ã™ã‚‹ã«è‡³ã£ãŸã‹ï¼Ÿ å‰å²ï¼šã™ã§ã«å†…包ã•ã‚Œã¦ã„ãŸãƒªã‚¹ã‚¯
ファイルオープンã®ç½ - Journal InTime(2017-12-15)
_ ファイルオープンã®ç½ 僕ãŒæ›¸ã„ãŸNet::FTPã®ã‚³ãƒ¼ãƒ‰ã«è„†å¼±æ€§å ±å‘ŠãŒã‚ã‚Šã€ä¿®æ£ç‰ˆãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸã€‚関係者ã®ã¿ãªã•ã‚“ã€ã‚ã‚ŠãŒã¨ã†ã”ã–ã„ã¾ã—ãŸã€‚ CVE-2017-17405: Net::FTP ã«ãŠã‘るコマンドインジェクションã®è„†å¼±æ€§ã«ã¤ã„㦠å•é¡ŒãŒã‚ã£ãŸã®ã¯ä»¥ä¸‹ã®ã‚ˆã†ãªã‚³ãƒ¼ãƒ‰ã ã£ãŸã€‚ def getbinaryfile(remotefile, localfile = File.basename(remotefile), blocksize = DEFAULT_BLOCKSIZE, &block) # :yield: data f = nil result = nil if localfile if @resume rest_offset = File.size?(localfile) f = open(localfile, "a") else rest_offset = nil f
Librahack : 容疑者ã‹ã‚‰è¦‹ãŸå²¡å´Žå›³æ›¸é¤¨äº‹ä»¶
出æ¥äº‹ã®è©³ç´° 3/13 æ–°ç€å›³æ›¸ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ã‚’作るãŸã‚クãƒãƒ¼ãƒªãƒ³ã‚°ï¼†ã‚¹ã‚¯ãƒ¬ã‚¤ãƒ”ングプãƒã‚°ãƒ©ãƒ を作æˆã—㟠ã¡ã‚‡ã†ã©ãã®é ƒã€å¸‚å ´èª¿æŸ»ã‚’è¡Œã†ãŸã‚ã«ECサイトã®ã‚¹ã‚¯ãƒ¬ã‚¤ãƒ”ングプãƒã‚°ãƒ©ãƒ を作ã£ã¦ã„ãŸã€‚ãã®ã¤ã„ã§ã«ã€å‰ã€…ã‹ã‚‰æ§‹æƒ³ã—ã¦ã„ãŸLibraæ–°ç€å›³æ›¸Webサービスを作ã‚ã†ã¨æ€ã£ãŸã€‚å¸‚å ´èª¿æŸ»ãƒ—ãƒã‚°ãƒ©ãƒ ã®ä¸€éƒ¨ã‚’カスタマイズã—ã¦ã€æ–°ç€å›³æ›¸ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ä½œæˆãƒ—ãƒã‚°ãƒ©ãƒ を作ã£ãŸã€‚ã“ã®æ™‚ã€å¸‚å ´èª¿æŸ»ãƒ—ãƒã‚°ãƒ©ãƒ ã¨æ–°ç€å›³æ›¸ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹ä½œæˆãƒ—ãƒã‚°ãƒ©ãƒ ã¯åŒã˜ãƒ—ãƒã‚°ãƒ©ãƒ 内ã«ã‚ã‚Šã€ãƒ‘ラメータã§ã‚¢ã‚¯ã‚·ãƒ§ãƒ³ã‚’指定ã—ã¦æŒ¯ã‚Šåˆ†ã‘ã¦ã„ãŸã€‚ Webサービスを作ã‚ã†ã¨æ€ã£ãŸå‹•æ©Ÿã¯ã€Œãªãœãƒ—ãƒã‚°ãƒ©ãƒ を作ã£ãŸã‹ã€ã®é€šã‚Šã€‚ Webサービスã®æ¦‚è¦ã¯ã€Œã©ã‚“ãªãƒ—ãƒã‚°ãƒ©ãƒ を作ã‚ã†ã¨ã—ã¦ã„ãŸã‹ã€ã®é€šã‚Šã€‚ 普段èªã‚€æœ¬ã‚’入手ã™ã‚‹æµã‚Œï¼š1. Amazonã®å„カテゴリã®å£²ã‚Œç‹ã‚’ãƒã‚§ãƒƒã‚¯ã—ã¦ãƒ¬ãƒ“ューを確èªã—èªã‚€ã‹ã©ã†ã‹æ±ºã‚る(ã¾ãŸã¯ã€æ›¸è©•ãƒ–ãƒã‚°ã‚„æ–°èžãªã©ã®ãƒ¡ãƒ‡ã‚£ã‚¢ã§
PHPã®JSON HashDosã«é–¢ã™ã‚‹æ³¨æ„å–šèµ·
4å¹´å‰ã«HashDos(Hash Collision Attack)ã«é–¢ã™ã‚‹åŠ¹çŽ‡çš„ãªæ”»æ’ƒæ–¹æ³•ãŒ28C3ã«ã¦å…¬é–‹ã•ã‚Œã€PHPã‚’å«ã‚€ä¸»è¦è¨€èªžãŒã“ã®æ”»æ’ƒã®å½±éŸ¿ã‚’å—ã‘ã‚‹ãŸã‚対ç–を実施ã—ã¾ã—ãŸã€‚ã—ã‹ã—ã€PHP以外ã®è¨€èªžãŒã€ãƒãƒƒã‚·ãƒ¥ãŒè¡çªã™ã‚‹ãƒ‡ãƒ¼ã‚¿ã‚’予測困難ã«ã™ã‚‹å¯¾ç–ã‚’ã¨ã£ãŸã®ã«å¯¾ã—ã¦ã€PHPã¯ã€GET/POST/COOKIEç‰ã®å…¥åŠ›ãƒ‡ãƒ¼ã‚¿ã®å€‹æ•°ã‚’制é™ã™ã‚‹ã¨ã„ã†å¯¾ç—‡ç™‚法を実施ã—ãŸãŸã‚ã€PHPã«ã¯HashDosã«å¯¾ã™ã‚‹æ”»æ’ƒçµŒè·¯ãŒã¾ã 残ã£ã¦ã„ã‚‹ã¨ã„ã†ã“ã¨ã¯ã€ä¸€éƒ¨ã®æŠ€è¡“者ã«ã¯çŸ¥ã‚‰ã‚Œã¦ã„ã¾ã—ãŸã€‚例ãˆã°ã€ä»¥ä¸‹ã®æ§˜ãªã¤ã¶ã‚„ãã«ã‚‚見るã“ã¨ãŒã§ãã¾ã™ã€‚ ã ã£ã¦ã€ hashdos 脆弱性ã®æ™‚〠Python ã¨ã‹ã®è¨€èªžãŒã€å¤–部入力をãƒãƒƒã‚·ãƒ¥ã«å…¥ã‚Œã‚‹ã¨ãã«è¡çªã‚’ç‹™ãˆãªã„よã†ã«å¯¾ç–ã—ãŸã®ã«ã€phpã ã‘POST処ç†ã§å¯¾ç–ã—ãŸã‹ã‚‰ã? json ã‚’å—ã‘å–るよã†ãªå£ã‚‚ã£ã¦ã‚‹phpアプリã®ã»ã¨ã‚“ã©ãŒhashdos残ã£ã¦ã‚‹ã‚“ã˜ã‚ƒãªã„
JavaScript難èªåŒ–èªçµŒ
2. ã‚»ã‚ュリティ・ã‚ャンプ 2015 自己紹介 ã¯ã›ãŒã‚よã†ã™ã‘ ï½æ ªå¼ä¼šç¤¾ã‚»ã‚ュアスカイ・テクノãƒã‚¸ãƒ¼ ï½OWASP Kansai Chapter Leader ï½OWASP Japan board member ï½@hasegawayosuke ï½http://utf-8.jp/ 4. ã‚»ã‚ュリティ・ã‚ャンプ 2015 JavaScriptã®é›£èªåŒ– eval(function(p,a,c,k,e,r){e=function(c){return c.toString(a)};if(!''.replace( /^/,String)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e]}];e=funct ion(){return'¥¥w+'};c=1};while(c--)if(k[c])p=p.replace(new RegE
PHP 㨠Web アプリケーションã®ã‚»ã‚ュリティã«ã¤ã„ã¦ã®ãƒ¡ãƒ¢
ã“ã®ãƒšãƒ¼ã‚¸ã«ã¤ã„ã¦ã®èª¬æ˜Žãƒ»æ³¨æ„ãªã© PHP ã¯ã€Apache モジュールやã€CGIã€ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³ã¨ã—ã¦ä½¿ç”¨ã§ãるスクリプト言語ã§ã™ã€‚ã“ã®ãƒšãƒ¼ã‚¸ã§ã¯ã€ä¸»ã« PHP ã«ãŠã‘ã‚‹ã€Web アプリケーションã®ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã„ã¾ã™ã€‚ Web アプリケーションã®ã‚»ã‚ュリティå•é¡Œã¨ã—ã¦ã¯ã€ä»¥ä¸‹ã®å•é¡Œã«ã¤ã„ã¦ã‚ˆãå–り挙ã’られã¦ã„ã‚‹ã¨æ€ã„ã¾ã™ãŒã€ã“れらã®ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦èª¿ã¹ãŸã“ã¨ã‚„ã€ã“れら以外ã§ã‚‚ã€PHP ã«é–¢é€£ã—ã¦ã„ã‚‹ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦çŸ¥ã£ã¦ã„ã‚‹ã“ã¨ã«ã¤ã„ã¦ãƒ¡ãƒ¢ã—ã¦ãŠãã¾ã™ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング SQL インジェクション パス・トラãƒãƒ¼ã‚µãƒ«(ディレクトリ・トラãƒãƒ¼ã‚µãƒ«) セッションãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ コマンドインジェクション ã¾ãŸã€PHP マニュアル : ã‚»ã‚ュリティやã€PHP Security Guide (PHP Security Consortium) ã«ã¯ã€PH
ソースコードã®è„†å¼±æ€§ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹ãƒ„ールã€IPAãŒç„¡å„Ÿå…¬é–‹ã€‚C言語ã«å¯¾å¿œ
IPAï¼ˆç‹¬ç«‹è¡Œæ”¿æ³•äººæƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹ï¼‰ã¯ã€ C言語ã§ä½œæˆã•ã‚ŒãŸã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã«è„†å¼±æ€§ãŒå˜åœ¨ã—ãªã„ã‹ã©ã†ã‹ã‚’検査ã™ã‚‹ãƒ„ール「iCodeCheckerã€ã‚’公開ã—ã¾ã—ãŸã€‚ç„¡å„Ÿã§åˆ©ç”¨ã§ãã¾ã™ã€‚ iCodeCheckerã¯ã€ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã®è„†å¼±æ€§ãŒå˜åœ¨ã™ã‚‹ç®‡æ‰€ã‚’検出ã—ã€ä¿®æ£ä¾‹ã‚„脆弱性ãŒæ‚ªç”¨ã•ã‚ŒãŸå ´åˆã®è„…å¨ã«ã¤ã„ã¦ã®ãƒ¬ãƒãƒ¼ãƒˆã‚’出力ã™ã‚‹ãƒ„ール。プレスリリースã‹ã‚‰å¼•ç”¨ã—ã¾ã™ã€‚ 本ツールã¯ã€è„†å¼±æ€§ã‚„ソースコード検査技術をå¦ç¿’ã—ãŸã„å¦ç”Ÿã‚„開発者を対象ã«ã€åˆ©ç”¨è€…自身ãŒä½œæˆã—ãŸã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ï¼ˆC言語)を検査ã™ã‚‹ã“ã¨ã§ãã¾ã™ã€‚ 本ツールã§ã¯ã€ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã®è„†å¼±æ€§ãŒå˜åœ¨ã™ã‚‹ç®‡æ‰€ã‚’検出ã—ã€ä¿®æ£ä¾‹ã‚„脆弱性ãŒæ‚ªç”¨ã•ã‚ŒãŸå ´åˆã®è„…å¨ã«ã¤ã„ã¦è§£æžã—ãŸãƒ¬ãƒãƒ¼ãƒˆã‚’出力ã—ã¾ã™ã€‚利用者ã¯æœ¬ãƒ„ールを通ã—ã¦ã€è„†å¼±æ€§ã‚’å¦ç¿’ã™ã‚‹ã¨ã¨ã‚‚ã«ã€ã‚½ãƒ¼ã‚¹ã‚³ãƒ¼ãƒ‰ã‚»ã‚ュリティ検査技術ã®æœ‰åŠ¹çš„ãªæ´»ç”¨æ–¹æ³•ã‚’ç¿’å¾—ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚ é…布形å¼ã¯ã€VMイメージã€ãƒ‘ッケージ
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - windows-internals-guide/security
{{#tags}}- {{label}}
{{/tags}}