ホームゲートウェイからUNI出しをしたらMAP-Eが動かなかった話 はじめに、の前にこちらのブログを動かすのは実に9ヶ月ぶりですが、皆さんいかがお過ごしでしょうか。このブログを動かしていないのには山よりも深い理由(?)がありまして、ずばり…===== 宣伝ここから =... 2024-9-16 10:12:21 | 阅读: 6 | 收藏 | RyotaK's Blog - blog.ryotak.net 設定 tunnel0 jp 確認 記事

Cloudflare Pagesにおける権限昇格と任意ページの改竄 You can read about these vulnerabilities in English at https://ec0.io/post/hacking-cloudflare-pages-... 2023-12-23 08:0:0 | 阅读: 19 | 收藏 | RyotaK's Blog - blog.ryotak.net wrangler 環境 記事 asset 協力

DOM-based race condition: racing in the browser for fun DisclaimerAll projects mentioned in this blog post have been contacted, and I confirmed that the beh... 2023-10-7 08:32:9 | 阅读: 23 | 收藏 | RyotaK's Blog - blog.ryotak.net angularjs loaded pasting victim

GitHub Actionsにおける設定ミスに起因したGitHubスタッフのアクセストークン漏洩 (You can read this article in English here.)免責事項GitHubはBug Bountyプログラムを実施しており、その一環として脆弱性の診断行為をセーフハーバ... 2023-4-22 08:0:0 | 阅读: 46 | 收藏 | RyotaK's Blog - blog.ryotak.net github runner 記事 pat 環境

Stealing GitHub staff's access token via GitHub Actions (この記事は日本語でも読むことが出来ます。)DisclaimerGitHub is running a bug bounty program on HackerOne, and as part of... 2023-4-22 08:0:0 | 阅读: 26 | 收藏 | RyotaK's Blog - blog.ryotak.net runner github repository pat runners

Arbitrary package tampering in Deno registry + Code Injection in encoding/yaml (この記事は日本語でも読むことが出来ます。)DisclaimerDeno Land Inc., which develops Deno, isn’t running bug bounty progra... 2021-11-30 21:5:0 | 阅读: 8 | 收藏 | RyotaK's Blog - blog.ryotak.net deno subdir repository clonepath

Denoのレジストリにおける任意パッケージの改竄 + encoding/yamlのCode Injection Denoのレジストリにおける任意パッケージの改竄 + encoding/yamlのCode Injection(You can read this article in English too.)免責... 2021-11-30 21:5:0 | 阅读: 12 | 收藏 | RyotaK's Blog - blog.ryotak.net deno subdir 情報 記事 許可

npmの@typesスコープにおける任意のパッケージの改竄 npmの@typesスコープにおける任意のパッケージの改竄はじめに@typesスコープを管理しているDefinitely Typedは、Microsoftから支援を受けているものの、Microsoft... 2021-8-8 08:0:0 | 阅读: 15 | 收藏 | RyotaK's Blog - blog.ryotak.net typed 定義 送信 場合

Tampering with arbitrary packages in @types scope of npm PrefaceDefinitely Typed, a project which manages npm packages inside the @types scope, is supported... 2021-8-8 08:0:0 | 阅读: 9 | 收藏 | RyotaK's Blog - blog.ryotak.net typed typescript mergebot

Potential remote code execution in PyPI Preface(日本語版も公開されています。)While PyPI has a security page, they don’t have a clear policy for vulnerabil... 2021-7-30 19:50:0 | 阅读: 13 | 收藏 | RyotaK's Blog - blog.ryotak.net pypi github prs pypa

PyPIにおける潜在的な任意コード実行 PyPIにおける潜在的な任意コード実行はじめに(English version is also available.)PyPIは、セキュリティページ自体は公開しているものの、脆弱性診断行為に対する明確... 2021-7-30 19:50:0 | 阅读: 15 | 收藏 | RyotaK's Blog - blog.ryotak.net pypi 削除 github 報告 機能

Cloudflareのcdnjsにおける任意コード実行 はじめに(English version is also available.)cdnjsの運営元であるCloudflareは、HackerOne上で脆弱性開示制度(Vulnerability Dis... 2021-7-16 07:30:0 | 阅读: 21 | 收藏 | RyotaK's Blog - blog.ryotak.net cdnjs github 自動 確認 情報

Remote code execution in cdnjs of Cloudflare Preface(日本語版も公開されています。)Cloudflare, which runs cdnjs, is running a “Vulnerability Disclosure Program”... 2021-7-16 07:30:0 | 阅读: 13 | 收藏 | RyotaK's Blog - blog.ryotak.net cdnjs repository library github tgz

HomebrewのCaskリポジトリを介した任意コード実行 HomebrewのCaskリポジトリを介した任意コード実行English version is available here: https://blog.ryotak.net/post/homebre... 2021-4-21 18:0:0 | 阅读: 23 | 收藏 | RyotaK's Blog - blog.ryotak.net homebrew iterm2 cask casks ryotak

Remote code execution in Homebrew by compromising the official Cask repository この記事は日本語でも投稿されています: https://blog.ryotak.net/post/homebrew-security-incident/(もし日本語が読める場合、筆者は英語がそこまで得... 2021-4-21 18:0:0 | 阅读: 16 | 收藏 | RyotaK's Blog - blog.ryotak.net iterm2 homebrew casks ryotak cask

GitHub Actionsにおけるサプライチェーン攻撃を介したリポジトリ侵害 はじめにGitHubはBug Bountyプログラムを実施しており、その一環として脆弱性の診断行為をセーフハーバーにより許可しています。本記事は、そのセーフハーバーの基準を遵守した上で調査を行い、結果... 2021-2-25 11:30:0 | 阅读: 15 | 收藏 | RyotaK's Blog - blog.ryotak.net github 結果 記事 影響 確認

VSCodeのGitHubリポジトリに対する不正なPushアクセス はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事... 2021-1-12 09:43:55 | 阅读: 6 | 收藏 | RyotaK's Blog - blog.ryotak.net github closedwith microsoft 保護 vscode

Twitterのフリート機能に対する権限昇格 はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。本記事は、そのプログラムを通して報告された脆弱性につ... 2021-1-5 13:0:0 | 阅读: 6 | 收藏 | RyotaK's Blog - blog.ryotak.net 公開 fleet 機能 報告 gist

Twitterの非公開リストが見れた話 はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性診断を行うことが認められています。本記事は、そのプログラムを通して報告された脆弱性についてを... 2020-10-9 17:0:0 | 阅读: 9 | 收藏 | RyotaK's Blog - blog.ryotak.net 公開 報告 情報 削除 回避

このウェブサイトについて 2020-10-01 91 字 タグはありませんこのウェブサイトは、Hugoを用いて生成している静的サイトです。主に技術的な内容を扱っていきます。(特に記載が無い限り、このブログに書かれている事... 2020-9-30 23:0:0 | 阅读: 6 | 收藏 | RyotaK's Blog - blog.ryotak.net hugo 技術 記載 ryotak 個人