hamayanhamayanがインターネットを巡回して得た情報まとめ。 "Japan"と言うには主語が大きすぎる。
Hottest
- Azure DevOps の Pipeline のハローワールドからビルド・単体テスト・デプロイ・スワップまで - かずきのBlog@hatena
- 有名人のかずきさんの記事
- Pipelineで承認プロセスが入れられるのははじめて見た
- PRの承認とステージングの承認はレベルが違う
- こういう承認待ちって、ほかに競合しそうな状況が起きたらどういう風にふるまうのだろう
- 最近Azure DevOpsの話を見ることが多いような。MSの推し?
競技プログラミング
- AtCoder Beginner Contest 156 - AtCoder
- VK Cup 2019-2020 - Elimination Round (Engine) - Togetter
- ありがたや…agwさん…
- AD二完が求められる。以下TLから拾ったヒント集
- A: priority_queue, マージテク
- B: DP(木DP?)
- C: 二分探索してDP
- D: 乱択か枝刈り全探索で解く
- E: 小さいKだけDPっぽくやって、大きい奴は愚直
- F: Pohlig–Hellman algorithm
- CTFにおける離散対数問題に対するアプローチ - sonickun.log
- MMA CTF 2015: Alicegame - うさぎ小屋
- 離散対数問題を解くための手法の1つ
- 問題タイトルもBad Cryptographyだしね
- 安全素数って知らなかったな → まとめた
セキュリティ / CTF
- 新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表:HTTP Desync攻撃が際立つ - @IT
- 会員ではなかったので、Top 10 web hacking techniques of 2019 | PortSwigger Research
- 以下見たことないやつ
- HTTP DESYNC ATTACKS, HTTP Request Smuggling
- nullバイトバッファーオーバーフローのエクスプロイト
- Exploiting Null Byte Buffer Overflow for a $40,000 bounty | Sam Curry
- C言語で入力をなんかするときに、オーバーフローして読み込むからメモリ内情報をぶっこ抜ける
- Web側でサイズを計算するときはNULL文字もカウントしてしまうが、C言語に渡すときには消えてしまう所が脆弱ポイント?
- CIサービスの探索で機密情報が見える
- ななめ読みで間違ってるかもしれない
- CIサービスへの設定ファイルに悪意のあるコードを入れると、色んな情報が抜ける
- ほかのプロジェクトとか、GitHubのアクセスコードとか
- 確かにできそうと言えばできそう。それにプルリクだしたら自動でCIとかもあるから、攻撃者側が意図的にCIを動かすトリガーもある
- (あんま関係ないけどsecurity.txtってあるのね)
- .NETの脆弱性を突いたXSS
- All is XSS that comes to the .NET
- cookie lessを見ると、トークンでのセッションを管理法が知りたくて、
without cookieでググったらできたことを思い出す - ASP.NETではクッキーでやり取りするセッション情報をURLに埋め込んで読み込む仕組みがある
- 生成するHTMLに自動で埋め込んでクライアントに返す
- その埋め込みとURLをとってくるResolveURLメソッドに着眼して、XSSを起こそうというもの
- Google検索ボックスのXSS
- とても分かりやすい動画があるので、見るとすべてがわかる
- 日本人バグハンターの巨匠であるマサトキヌガワの一品
- (104) XSS on Google Search - Sanitizing HTML in The Client? - YouTube
- mutation XSS
- ブラウザではJavaScriptが有効になっていて、templateはJavaScriptが無効になっていることが発端、その影響でパーサーの動きが微妙に異なる
this was fixed super fast!笑う- キーボード打つの早すぎてビビったけど、さすがに早送りかな?
- (104) How did Masato find the Google Search XSS? - YouTube
- こちらではどのように見つけたかを説明している
- メタプログラミングのエクスプロイトによる非認証のリモートコード実行
- 有名なorangeさん Orange: Hacking Jenkins Part 2 - Abusing Meta Programming for Unauthenticated RCE!
- よくわからんけどJenkinsでRCEできるっぽい
- よくわからんままも嫌なので、日本語でググると出てくる
- 「Jenkins」の初期設定で遠隔からのコード実行が可能になる恐れ、管理者は確認を | トレンドマイクロ セキュリティブログ
- 元々危険なコードについては禁止してあるけど、Groovyでバイパスできる
- 『CIサービスの探索で機密情報が見える』と似たような感じ?
- あっちは情報を見れるだけだけど、こっちはRCEまで行けるからやばい?
- これは直すとしたら、JenkisとGroovyどっちなんだろうか
- クロスサイトリーク
- クロスサイトで別オリジンの情報をリークさせることができるのか
☕ 技術 / 雑多
- 技術書典:技術書オンリーイベント
- 中止になってしまった。金沢住みで行けないんだけどね
- BOOTH
- Locomotive Scroll - マルチプラットフォームで動作するパララックス・エフェクトライブラリ MOONGIFT
- パララックスエフェクト:動きのスピードに差をつけることで立体感を演出するテク
- なるほど、そういうグループ名なのね
- Excel設計書を抹殺したくて4年前にWiki設計書を導入したら、意外とちゃんと開発回ってた話。 - Qiita
- 7年間使ってきたWordPressを捨ててContentful+Gatsby+Netlifyにしたら爆速になったし経緯とか教訓とか語る - Qiita
![[emoji:813]](https://cdn.blog.st-hatena.com/images/emoji/ugomemo/e-813.gif)
音楽 / エンタメ
- 「ポールマッカートニー」顔A 歌唱力B 作曲SSS 作詞A 演奏S ← こいつが天下取れた理由 - ゴールデンタイムズ
- B'z稲葉さんがOh! Darlingをライブで歌ったことがあって、そっからちょっと聞いてたな
![[emoji:190]](https://cdn.blog.st-hatena.com/images/emoji/ugomemo/e-190.gif)
流し見
- Introducing to ConsoleAppFramework (vol 1) | Yucchiy's Note
- Pullp - Githubのプルリクエストをモニタリング MOONGIFT
- 【Python】Beautiful Soup を使ってブログ記事のテキストを抜き出してみる | Developers.IO
- 先輩医師が開業するも倒産寸前に→やることも無いので近所をウロウロ「エア往診」していたら、一発逆転を成してしまった話 - Togetter
- iOS 14(仮)はiPad風のマルチタスク切り替え可能に?有名リーカーが動画を公開 - Engadget 日本版
- Windows Terminal (Preview) が出たのでキーバインドや配色をカスタマイズしてみた | Developers.IO
- Spotifyの「まとめ」提供、Google Dataflow史上最大のジョブの舞台裏 | TechCrunch Japan
- MacのTerminalでsudo実行時にタッチIDを使用する方法 | Developers.IO
- 世界初の両面書けるペン先!ボールペンに切り替え可能な万年筆「PREMAD PEN」 - Engadget 日本版
- 元NSAとAmazonのエンジニアが「データのGitHub」を開発中 | TechCrunch Japan
- Muino Time Accounting - 時間管理と会計システムを一つに MOONGIFT
