2024/10/5 YAPC::Hakodate 2024
Webã‚»ã‚ュリティã®ã‚ã‚‹ãã‹ãŸ
2024/10/5 YAPC::Hakodate 2024
注目ã—ãŸã„クライアントサイドã®è„†å¼±æ€§2é¸/ Security.Tokyo #3
Security.Tokyo #3ã®ç™ºè¡¨è³‡æ–™ã§ã™ã€‚ クライアントサイドã®ãƒ‘ストラãƒãƒ¼ã‚µãƒ«ã¨ã€postMessage経由ã®è„†å¼±æ€§ã‚’å–り上ã’ã¾ã—ãŸã€‚
救急病院ã®ãƒšãƒ¼ã‚¸ã‚’å–得(csrf) - メモ
curl -c cookie01.txt -s -L -X GET "https://www.qq.pref.ehime.jp/qq38/WP0805/RP080501BL" | hxnormalize -x > qq.html CSRF=$(cat qq.html | hxselect 'input[name="_csrf"]::attr(value)' | cut -d= -f2 | tr -d '"') URL=$(cat qq.html | hxselect 'form[id="_wp0805Form"]::attr(action)' | cut -d= -f2 | tr -d '"' | sed 's;^/;https://www.qq.pref.ehime.jp/;;') curl -b cookie01.txt -X POST -d "torinBlockDetailInfo
Introduction | Book of BugBounty Tips
Hi , This book is a collection of "BugBounty" Tips tweeted / shared by community people. It includes the tweets I collected over the past from Twitter , Google and Hastags and chances that few tips may be missing. I have categorized tips against each vulnerability classification and "will be updating" regularly. Each tweet has link to original tweet to read about others replies / comments. Huge "T
How to Protect Ruby on Rails from Hackers: 7 Ways Infographic | UpGuard
Take a tour of UpGuard to learn more about our features and services
ã€2019年】CTF Webå•é¡Œã®æ”»æ’ƒæ‰‹æ³•ã¾ã¨ã‚ (Webå•é¡Œã®writeupãœã‚“ã¶èªã‚€) - ã“ã‚“ã¨ã‚ーるã—ーã“ã‚“ã¨ã‚ーるã¶ã„
CTF Advent Calendar 2019 - Adventarã®25日目ã®è¨˜äº‹ã§ã™ã€‚ 1ã¤å‰ã¯@ptr-yudaiæ°ã®2019å¹´ã®pwnå•ã‚’全部解ããƒãƒ£ãƒ¬ãƒ³ã‚¸ã€å¾ŒåŠæˆ¦ã€‘ - CTFã™ã‚‹ãžã§ã—ãŸã€‚ ã¯ã˜ã‚㫠対象イベント å•é¡Œæ•° èªã¿æ–¹ã€ä½¿ã„æ–¹ Cross-Site Scripting(XSS) SVGファイルを利用ã—ãŸCSPãƒã‚¤ãƒ‘ス Googleドメインã®JSONPを利用ã—ãŸCSPãƒã‚¤ãƒ‘ス サブリソース完全性(SRI)機能を利用ã—ãŸå…¥åŠ›ãƒã‚§ãƒƒã‚¯ãƒã‚¤ãƒ‘ス Chrome拡張機能ã®ãƒ‘スワードマãƒãƒ¼ã‚¸ãƒ£ãƒ¼KeePassã®æ‚ªç”¨ HTML likeコメントを使用ã—ãŸã‚³ãƒ¡ãƒ³ãƒˆã‚¢ã‚¦ãƒˆ jQuery.getJSONã®JSONP機能を使用ã—ãŸã‚¹ã‚¯ãƒªãƒ—ト実行 DOM Clobberingã«ã‚ˆã‚‹ã‚³ãƒ¼ãƒ‰ãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ Service Workerを利用ã—ãŸã‚¹ã‚¯ãƒªãƒ—ト実行 XSS Auditor機能ã®ãƒã‚¤ãƒ‘ス
gorilla/csrf ã§å®‰å…¨ãªWebフォームを作る - å°é‡Žãƒžãƒˆãƒšã®ç´è±†ãƒšãƒšãƒãƒ³ãƒãƒ¼ãƒŽæ—¥è¨˜
ã“ã‚“ã«ã¡ã¯ã€‚Goã§Web開発ã—ã¦ã„ã¾ã™ã‹ï¼Ÿç§ã¯ã—ã¦ã„ã¾ã›ã‚“。Goã«é™ã‚‰ãšã€æ—¢æˆã®Webアプリケーションフレームワークを使ã‚ãšã«è‡ªå‰ã§Webãƒ•ã‚©ãƒ¼ãƒ ã‚’ä½œã‚‹å ´åˆã€ãªã«ã‚‚考ãˆãšã«æ›¸ã㨠CSRF (Cross Site Request Forgery) 脆弱性を作りã“ã¿ã€ä¸æ£ãªãƒ¦ãƒ¼ã‚¶ãƒ¼æ“作を実行ã•ã‚Œã¦ã—ã¾ã†å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ ダメãªä¾‹ 例ãˆã°ä»¥ä¸‹ã®Goコードã§ä½œæˆã•ã‚Œã‚‹ãƒ•ã‚©ãƒ¼ãƒ ã«ã¯CSRF脆弱性ãŒã‚ã‚Šã¾ã™ã€‚SubmitSignupForm ãƒãƒ³ãƒ‰ãƒ©ã¯ã€å—ã‘å–ã£ãŸãƒªã‚¯ã‚¨ã‚¹ãƒˆãŒè‡ªåˆ†ã®ã‚µã‚¤ãƒˆä¸Šã®ãƒ•ã‚©ãƒ¼ãƒ ã‹ã‚‰ã‚µãƒ–ミットã•ã‚ŒãŸã‚‚ã®ã‹ãƒã‚§ãƒƒã‚¯ã—ã¦ã„ãªã„ã®ã§ã€æ”»æ’ƒè€…ãŒä»–ã®ã‚µã‚¤ãƒˆä¸Šã®ãƒ•ã‚©ãƒ¼ãƒ を使ã„ã€ç¬¬ä¸‰è€…ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ–ラウザã§ä»»æ„ã®æ“作を実行ã•ã›ã‚‹ã“ã¨ãŒã§ãã¦ã—ã¾ã„ã¾ã™ã€‚ func main() { r := mux.NewRouter() r.HandleFunc("/signup", ShowSignupF
React + Playã®èªè¨¼/èªå¯æ–¹æ³•ã‚’調ã¹ã¦ã¿ãŸ - Qiita
ã¯ã˜ã‚ã« Reactã¨Playã§èªè¨¼ã¯ã©ã®ã‚ˆã†ã«ã‚„ã‚Œã°ã„ã„ã‹ã¨æ€ã„調ã¹ã¦ã¿ã¾ã—ãŸã€‚ èªè¨¼ã®åŸºæœ¬çš„ãªæµã‚Œã«ã¤ã„ã¦ã¯ã“ã¡ã‚‰ã‚’å‚考ã«ã—ã¾ã—ãŸã€‚èªè¨¼ã‚µãƒ¼ãƒ“スã¨ã—ã¦APIã®ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆã‚’用æ„ã—ã¦ã€Reactアプリケーションã‹ã‚‰èªè¨¼ã™ã‚‹æ–¹æ³•ã§ã™ã€‚ èªè¨¼ã«ã¯JWTを使用ã—ã¾ã™ã€‚ã¾ãŸJWT内ã«ãƒãƒ¼ãƒ«ã‚’入れるã“ã¨ã§èªå¯æ©Ÿèƒ½ã‚’è¿½åŠ ã—ã¾ã™ã€‚ Webアプリケーションフレームワークã«ã¯Playを使用ã—ã¦ã„ã¾ã™ã€‚ èªè¨¼ã¨èªå¯ã®ãƒ©ã‚¤ãƒ–ラリã«ã¯Silhouetteを使用ã—ã¾ã™ã€‚一ã‹ã‚‰ã ã¨åˆ†ã‹ã‚Šã¥ã‚‰ã„ã®ã§play-silhouette-seedã®ãƒ†ãƒ³ãƒ—レートを使用ã—ã¦ã„ã¾ã™ã€‚ ã“れを少ã—変ãˆã¦JWTèªè¨¼ã‚’ã—ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚ Silhouetteã®æ¦‚è¦ã«ã¤ã„ã¦ã¯ã“ã¡ã‚‰ã‚’å‚ç…§ã—ã¾ã—ãŸã€‚ 使用ã—ãŸãƒãƒ¼ã‚¸ãƒ§ãƒ³ã§ã™ã€‚ Play 2.5.4 Silette 4.0 åˆæœŸè¨å®š Silhouetteã®ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆã§ä½¿ç”¨ã™ã‚‹ Ide
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - ReAbout/web-sec: WEB安全手册(çº¢é˜Ÿå®‰å…¨æŠ€èƒ½æ ˆ),æ¼æ´žç†è§£ï¼Œæ¼æ´žåˆ©ç”¨ï¼Œä»£ç 审计和渗é€æµ‹è¯•æ€»ç»“。ã€æŒç»æ›´æ–°ã€‘
GitHub - Vanshal/Bug-Hunting: The aim of this Reposiotry is to Provide the Resoursces of Learning at one place For Bug Bounty Hunters.
How To Shot Web - Jason Haddix's talk from DEFCON23
Subdomain Takeover: Going for High Impact
pysec101 / pysec101 · GitLab
GitHub - 0xInfection/XSRFProbe: The Prime Cross Site Request Forgery (CSRF) Audit and Exploitation Toolkit.
{{#tags}}- {{label}}
{{/tags}}