Pre-hijacking Attacksについてのメモ書きです。 元の論文と記事は次のページを読んでください。
Pre-hijacking Attacks はメールアドレスの確認をしないでアカウントを作れるサービスという前提があります。
アカウント作成からそのまま機能を利用できるようにすることで、利用体験をよくするための施策として、メールアドレスの確認のステップを後回し またはしないサービスがあります。
この文書は https://github.com/OWASP/Top10/blob/master/2021/docs/index.md の前半を @hasegawayosuke が私的に訳したものです。正確性には欠けますので取扱いには自身で注意してください。
最新のOWASP TOP 10へようこそ! OWASP TOP 10 2021は新しいグラフィックデザイン、印刷もできる1ページのインフォグラフィックの全てが刷新されたものです。
この更新作業に時間とデータを提供してくれた全ての人に心から感謝いたします。あなたがいなければこの成果は出せませんでした。 ** ありがとうございます。 **
| const crypto = require('crypto'); | |
| const base64url = require('base64url'); | |
| const cbor = require('cbor'); | |
| const asn1 = require('@lapo/asn1js'); | |
| const jsrsasign = require('jsrsasign'); | |
| /* Apple Webauthn Root | |
| * Original is here https://www.apple.com/certificateauthority/Apple_WebAuthn_Root_CA.pem | |
| */ | |
| let appleWebAuthnRoot = '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 |
当時、その案件にはひとりアサインで、客先常駐であった。幸いにして常駐先の皆さんには本当に良くしていただいて、困りごともなく、業務も適量で、掛け値なしによい客先だなと思っていた。
しかしそうなってくると、所属先に所属している意味ってなんだっけという疑問がむくむくと頭をもたげてくるのである。客先常駐ひとりアサインというのは客先常駐ひとりアサインであるがゆえに、会社がこんだけ抜いてるぞというのが隠しようがないわけ。客先に請求書持っていくのも自分なんだから単価も分かるし、振り込まれてる給料も分かる(明細見れば社保の会社負担分とかも分かる)。俺が所属先に投げてるバックオフィス業務は、この抜かれてる金額に見合っているか?
ところが。ところがなのである。やめるぞと宣言して常駐が解除になり、所属先に残りのしばらく通っていると、いろいろなことが見えてくるのだ。たとえば所属先の同僚と何気なく会話する。たとえばバックオフィスの人達と(やめるから)書類のやりとりをする。たとえば所属先の営業が電話をかけている。そういうごく些細なことの積み重ねがあるのだ。会社は、中抜きするだけの謎の組織ではなかった。もっとディティールがある。そこを無視して、というか、そこが不可視化されて、金のやりとりだけ見えてしまうから、不要という話に傾いてしまったんだと気づいた。まあ言った以上はそのままやめたし次も良かったから後悔もないけど、不幸な、というか、回避策は何かあったんではないか。
2021-05-23
@voluntas
2021.1
| package main | |
| import ( | |
| "image" | |
| "image/color" | |
| "image/png" | |
| "os" | |
| "golang.org/x/image/font" | |
| "golang.org/x/image/font/basicfont" |
| FROM amazonlinux:2017.03 | |
| RUN true\ | |
| && yum -q -e 0 -y update || true\ | |
| && yum -q -e 0 -y install gcc python27-devel python27-pip || true\ | |
| && pip install --upgrade pip || true\ | |
| && pip install wheel || true\ | |
| && yum -q -e 0 -y clean all | |
| CMD [""] |
| package nu.mine.kino; | |
| import java.text.ParseException; | |
| import com.nimbusds.jose.JOSEException; | |
| import com.nimbusds.jose.JWSAlgorithm; | |
| import com.nimbusds.jose.JWSHeader; | |
| import com.nimbusds.jose.JWSObject; | |
| import com.nimbusds.jose.JWSVerifier; | |
| import com.nimbusds.jose.KeyLengthException; |
| javascript: | |
| document.querySelectorAll('.load-diff-button').forEach(node => node.click()) |
| apt-get update | |
| aptitude install xfonts-base xfonts-75dpi fontconfig xvfb | |
| mkdir ~/src/wkhtmltopdf -p | |
| cd ~/src/wkhtmltopdf | |
| wget https://bitbucket.org/wkhtmltopdf/wkhtmltopdf/downloads/wkhtmltox-0.13.0-alpha-7b36694_linux-jessie-amd64.deb | |
| dpkg -i wkhtmltox-0.13.0-alpha-7b36694_linux-jessie-amd64.deb | |
| echo 'xvfb-run --server-args="-screen 0, 1024x768x24" /usr/local/bin/wkhtmltopdf $*' > /usr/bin/wkhtmltopdf.sh | |
| chmod a+rx /usr/bin/wkhtmltopdf.sh | |
| ln -s /usr/bin/wkhtmltopdf.sh /usr/local/sbin/wkhtmltopdf | |
| /usr/local/sbin/wkhtmltopdf https://www.google.fr output.pdf |
