2021-07-01から1ヶ月間の記事一覧

MITREからCVE番号を取る

ソフトウェア製品の脆弱性を開発元に報告しても、CVE番号を振ってくれないことがしばしばある。そういう時は、報告者自身でもMITREにCVEを請求できる。CVE - Common Vulnerabilities and Exposures (CVE)昨年夏に、Laravel(PHPのWebアプリケーションフレー…

読書

最近は、本読んで、テレビで五輪見て…、という生活になってきた。神坐す山の物語 (双葉文庫)作者:浅田次郎双葉社Amazon★★★★ 御嶽山(みたけさん)の神官の屋敷を舞台とした、霊的な不思議な昔話。霊的と言っても、呪いだ何だというホラーではなく、御岳山の…

瑞江のドンキの屋上より

昨日はブルーインパルス目当てで、瑞江のドン・キホーテの屋上に上がったら、意外と人が集まっていた。 スカイツリー(かなり遠い)方面に、わずかに飛行機の編隊と飛行機雲が見えた。 写真撮ったが、雲が多いので全く分からない…

開会式のドローンショー

平昌の冬季五輪でもドローンによるショーをやっていたようだが、私は今回初めてみたのでビックリした。さらにインテルが担当したと聞いて、そんなビジネスもやってるんだということにも驚いた。ショーに直接関連しそうなものとしては、インテルには以下のよ…

ALPACA

alpaca-attack.comドイツの大学の研究者による研究。MITM前提のSSL/TLSのクロスプロトコル攻撃。マフラー巻いてるキャラクターもいい。

CSP bypass

少し前に公開されたものだが、PortswiggerのDaily swig経由で見つけた、MSの小勝さんが報告したChromeのCSP bypassバグについて。やられる側は例えば下記のようなページ。nonceのCSPを使っている。 <meta http-equiv="content-security-policy" content="script-src 'nonce-testrandom'"> <body> ← エスケープ無し </body> 攻撃者は以下のようにiframeを挿入し</meta>…

業界

ierae.co.jp www.ubsecure.jp

読書

Webブラウザセキュリティ Webアプリケーションの安全性を支える仕組みを整理する作者:米内貴志ラムダノートAmazonFlatt securityの米内氏による、クライアント=ブラウザに特化したセキュリティ本。すごく幅が広いトピックだが、想定読者であるWebアプリ開発…

特許に見る診断技術

WebアプリのDASTツール(スキャン技術関連)の日本国特許について少し調べました。面白そうな出願がいくつかあったので下にまとめてみます。 権限周りの診断 ①特開2020-071637(2018年出願) イエラエセキュリティ/Archaic ②特許6636222(2017年出願) 三菱…