2023/12/11段階 sqlcipher 該当github https://github.com/sqlcipher/android-database-sqlcipher rtl-viewpager 該当github https://github.com/duolingo/rtl-viewpager 後継はこっち https://developer.android.com/training/animation/vp2-migration?hl=j…

wpscanが詳細とpocを提供してくれていた。 wordpressプラグインの動作を勉強がてら動かしてみる。 脆弱性情報 CVE-2023-5360 任意ファイルのアップロード 脆弱なバージョン：<=1.3.78 対策：1.3.79以降にアップデートする。 修正点 「$file['name'])['ext']…

注意 個人のメモです。 事実は確認しながら作成していますが、間違っている可能性があります。 前書き JavascriptからJavaコードが実行可能なJavascriptInterfaceのAPIの挙動を見る。 使用する際はWebviewオブジェクトに対して以下を設定する。 addJavascrip…

前提 ※脆弱性診断を行う上でのスキルアップとして検証を行っております。この記事で知り得たことを悪用することは禁止とします 推奨事項 この脆弱性は悪用が確認されています。 WinRARを使用されている場合は対策されたバージョンへアップデートすることを推…

前提 ※脆弱性診断を行う上でのスキルアップとして検証を行っております。この記事で知り得たことを悪用することは禁止とします 脆弱性概要 3.11.4 より前の Python の urllib.parse コンポーネントの問題により、攻撃者は空白文字で始まる URL を指定するこ…

放映中の「CODE-願いの代償- 」のハッカー監修を担当しました。 https://www.ytv.co.jp/code/

他分野の本とセキュリティをかけあわせていくシリーズ。 何気なく「銃、病原菌、鉄」を読んでいて、面白いなと思ったところがあったので、そこだけピックアップして記事を書くことにした。 結論 「最初は模倣から始まる」というが、それは信じて良い。 しか…

行動経済学や心理学の本を読んでいて、いくつものバイアスが出てきた。 また、いつ見たかは忘れたけど、バグバウンティで発生するバイアスについて書かれた英語の記事もあった。 なので、ブログベースで私も書いてみようと思う。 内容としては、現場で見てき…

※脆弱性診断を行う上でのスキルアップとして検証を行っております。この記事で知り得たことを悪用することは禁止とします。 概要 アドバイザリから引用した。 https://github.com/advisories/GHSA-6g8q-qfpv-57wp サニタイズされていないユーザー要求データ…

新年になってエンジョイしたり体力失ったりと色々あったけどなんとか再開する。 (書籍レビュー)大企業のWebサイトの脆弱性発見事例が学べる「リアルワールドバグハンティング」 https://toranoana-lab.hatenablog.com/entry/2023/01/10/125809 ニュースでは…