xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
はじめに xss については何となく理解したけど、結局それがどう攻撃に使われるのかが良く分からなかったので、セッションハイジャックと言うものを試してみた。 やりたいこと 攻撃者の立場に立ち、被害者に対して攻撃用 URL を送りつけ、被害者のセッション ID を取得する。 脆弱性のあるサイトを作る まずは被害者がログインできるサイトを作る。 javascript + express で作ったけど、あんまり使ったことないフレームワークだったから認証の仕組みを入れるのに時間がかかった。 といっても認証の方法は「どんなユーザー名でもパスワードでもログインできる」という感じ。 (ログイン状態さえ作り出せれば良いため) ↓ソースコード https://github.com/ahyaemon/express-training ↓ログインページ ↓ログイン後ホーム クッキーにセッション ID らしきものが
「全数調査なら何でもわかる」という誤解 - 間違えがちな母集団とサンプリングそしてベイズ統計 - - ill-identified diary
この文章は pandoc-hateblo で tex ファイルから変換しています. PDF 版はこちら 2021/10/15 追記: 後半のベイジアンブートストラップに関する解説はこちらのほうがおそらく正確です ill-identified.hatenablog.com 概要挑発的なタイトルに見えるかも知れないが, 私はしらふだしこれから始めるのは真面目な話だ — 正直に言えばSEOとか気にしてもっと挑発的なタイトルにしようかなどと迷ったりはしたが. 「全数調査できれば標本抽出の誤差はなくなるのだから, 仮説検定は不要だ」という主張を見かけた. いろいろと調べた結果, この問題を厳密に説明しようとすると最近の教科書には載ってない話題や視点が必要なことが分かった. ネット上でも勘違いしている or よく分かってなさそうな人をこれまで何度か見かけたので, これを機に当初の質問の回答のみならず関
Apache Benchでサクッと性能テスト - Qiita
使ってみる 例えば、100ユーザが同時にhttp://www.example.co.jp/ に1リクエストを発行した場合を想定。 ab -n 100 -c 100 http://www.example.co.jp/ 同時に100ユーザが、1ユーザーあたり10リクエストを発行した場合を想定。 -nには100 x 10 = 1000を指定します。 ab -n 1000 -c 100 http://www.example.co.jp/ 接続先にベーシック認証がかかっている場合。 -Aの後にベーシック認証ユーザとパスワードを:(コロン)で区切って指定します。 ab -n 100 -c 100 -A hogeuser:hogepass http://www.example.co.jp/ 同時接続数よりTotal発行リクエスト数が少ないとエラーメッセージが表示されます。 同時に100人で合計10リクエ
Snowflakeで設定した方が良いことのチェックリスト
前書き Snowflakeをデータウェアハウスとして利用し、プロダクトを開発しているソフトウェアエンジニアです。 普段はSnowflakeに関係するデータ基盤の設計から開発などの業務を行なっています。 SnowflakeのリソースはTerraformで管理したり、CIなどの設計など全般業務に取り組んでいます。 Snowflakeは非常に使いやすく優れた「データウェアハウス」だと思いますが、デフォルトで設定されているパラメータなどが自分のプロダクトに適していないものがあり、次に初期構築を行う場合に確認した方が良いと自分が思っていることをメモとして公開します。 すでに運用を始めているプロダクトでも、一度確認してみることをお勧めします。 チェックリスト ABORT_DETACHED_QUERYの値をtrueに設定する 「Warehouse」の各種設定を変更する デフォルトタイムゾーンの修正 da
BigQueryへMySQLやPostgreSQLから直接ニアリアルタイムでレプリケーション可能に。「Datastream for BigQuery」登場
BigQueryへMySQLやPostgreSQLから直接ニアリアルタイムでレプリケーション可能に。「Datastream for BigQuery」登場 Google Cloudは、BigQueryに対してMySQLやPostgreSQL、Oracle Databaseからニアリアルタイムで直接データのレプリケーションを可能にする新サービス「Datastream for BigQuery」をプレビューリリースしました。 オンプレミスやクラウドで稼働するMySQLやPostgreSQL、Oracle DatabaseでのOLTPによるデータ操作が、ETLツールなどを挟むことなくほぼリアルタイムでBigQueryに反映されるため、プライマリとなるデータベースのOLTP処理に負荷をかけることなく並行してBigQueryによる大規模データの分析処理が容易になります。 To stay compet
Unistore:1つのプラットフォームでトランザクションデータと分析データを組み合わせるSnowflakeの新しいワークロード
注:本記事は(2022年6月14日)に公開された(Introducing Unistore, Snowflake’s New Workload for Transactional and Analytical Data)を翻訳して公開したものです。 最新のワークロード、Unistoreで、Snowflakeがまたもやデータ管理とデータ分析に変革をもたらしました。数十年の間、トランザクションデータと分析データと分析データは分離されたままであり、ビジネスが進化するスピードを著しく低下させていました。Unistoreでは、1つに統合されたデータセットを使用してアプリケーションを開発、デプロイでき、トランザクションデータと分析データをまとめてほぼリアルタイムで分析できます。 データサイロを排除すると、大規模なデータの分析速度が上がったり、データコラボレーションの世界が変わったりといった影響を実感で
Hudi vs Delta vs Iceberg Lakehouse Feature Comparisons
Apache Hudi vs Delta Lake vs Apache Iceberg - Data Lakehouse Feature Comparison IntroductionWith the growing popularity of the data lakehouse there has been a rising interest in the analysis and comparison of the three open source projects which are at the core of this data architecture: Apache Hudi, Delta Lake, and Apache Iceberg. Most comparison articles currently published seem to evaluate thes
重回帰分析が突然バグるケース:偏りの大きい変数での調整には注意! - Take a Risk:林岳彦の研究メモ
こんにちは。林岳彦です。統計的因果推論の本の初稿を書き上げるまで髪の毛を切らないぞ、と願掛けしましたが、書けないままどんどん髪の毛だけが伸びてきています。いつか塔に籠もってラプンツェルになるかもしれません。あるいは突然全てが嫌になって前田大然になるかです。今日は久々のリアル外勤のスキマ時間でエイヤッとこの記事を書いています。 さて。 今日は、ややマニアックな話として、重回帰分析が突然バグる状況について書きたいと思います。結論から言うと、重要な特性において分布の偏りが大きい変数で調整するときに、調整によって回帰が突然バグる場合があるので注意しましょうという話です。 例を見ていこう 例として、ある環境汚染物質が健康被害を引き起こしている例を考えます。ここでは、それぞれの人の汚染物質への曝露量と、健康影響の程度(バイオマーカーの値で測定)のデータが得られているとします。 以下の話では、「環境曝露
クロスサイトスクリプティングでセッションハイジャックする - Qiita
目的 XSSは危ない!とはよく聞くけど、具体的にどう危ないのかを示す記事が少なかったので。 前提 くっそ脆弱なWebアプリケーションを組んで試します。実際はそんなわけないだろうとか、そのへんはゆるして! XSS自体の説明とかは省くので、そのへんもゆるして! やったこと お粗末なWebアプリを用意する お粗末なWebアプリとして、[ログイン画面]→[ようこそ画面兼レビュー投稿画面]みたいな簡単なものを作ります。 サーバ環境を整える 今回はPaizaCloudさんのサービスを利用します。 PHPだけインストールしておきます。 ログイン画面を作る できたら、index.phpで簡易なログイン画面を作ります。 <?php echo "<h1>Hello " . "PHP</h1>"; ?> <html> <form action="welcome.php" method="post"> <inpu
How to recover left over Spool space in Teradata
The Teradata system automatically creates and drops spool files which it uses as temporary work tables to execute queries. Sometimes, one of two potential problems can occur with the spool files: • Leftover spool: Leftover spool occurs when the system fails to properly drop the spool file after the execution of a query completes. The spool that the query was using appears frozen without a session.
ヒットアプリ「ダブル計算機」って?開発者は定年後の63歳男性 | 毎日新聞
一つの画面に二つの電卓が並ぶいっぷう変わったアプリが、米アップルのスマートフォン「iPhone(アイフォーン)」と、タブレット端末「iPad(アイパッド)」で公開され、人気を呼んでいる。その名は「ダブル計算機」。開発したのは、兵庫県の63歳の男性だ。リリース後しばらくはダウンロード数が伸び悩んだが、ある改良を加えたことで数が大幅に増えた。その一工夫とは――。【後藤豪】 まず、機能を確認しておこう。画面中央に表示される「→」や「←」の矢印キーをタップすると、計算結果をもう一方の電卓に移すことができる。たとえば、片方の電卓で「89×15=1335」を計算し、矢印キーをタップすることで計算結果の「1335」がもう一方の計算機に表示される(写真1)。そこから計算を続けられる。入力した計算式が表示されたままなので、ミスに気づきやすい。 また、それぞれの計算機で別々の計算をすることも可能だ(写真2)。
「データに聞く」 (Ask Data) 機能でのデータの最適化
「データに聞く」とメトリクスへの重要な変更点 「データに聞く」機能とメトリクス機能は、2024 年 2 月の Tableau Cloud および Tableau Server バージョン 2024.2 で廃止されます。自然言語技術の進歩に伴い、Tableau は、データに関する質問や変更点の把握をより簡単に行えるように、インターフェイスの改善に取り組んでいます。詳細については、「Tableau AI と Tableau Pulse によるデータ エクスペリエンスの再構築」を参照してください。 データ ソースを管理してパブリッシュする際、以下のいくつかのヒントは「データに聞く」 (Ask Data) をユーザーがさらに上手に使用するのに役立ちます。このプロセスに少し時間を割くと、組織の幅広い人員がデータ分析を使用し始めることができ、自主的に答えを得たり、より深い洞察を得たりするのに役立ちます
POST送信を行っているページにBackするとエラーが出る際の対処法 - Qiita
経緯 クライアント「ブラウザで戻る、進むをした時に、エラーが出ないようにしてほしい」 僕「なるほど やってみます」 備忘録メモ 実際にはまっていた理由はsession_start();がソース上にいくつもあって、どこが本当に利用されているのかわからなかったからなんだけど… やっぱりフレームワークはちゃんと使った方がいいよね… 参考にさせていいただいたサイト 忘れんうちに書いとけ:PHPでWebページの有効期限が切れてますとなる時の傾向と対策 ブラウザの戻るボタンを押すと有効期限切れとなるのはなぜですか - PHPプロ!Q&A掲示板 エラーの内容と原因 POST送信されたデータをもとに処理を行っている画面に、ブラウザの戻るボタンや、JSのBackで戻ろうとすると、有効期限切れエラーが表示されてしまう。 原因は、PHPでSESSIONをStartした際に、Sessionを制御するヘッダーが送信
SQL ServerのCDCを用いた加熱商品の販売イベントにおける負荷軽減の取り組み - ZOZO TECH BLOG
こんにちは、SRE部の廣瀬です。 本記事では、ZOZOTOWNでカートに商品を入れる際に使われているデータベース群の内、SQL Server(以降、カートDBと呼ぶ)にフォーカスします。ZOZOTOWNでは数年前から、人気の商品(以降、加熱商品と呼ぶ)が発売された際、カートDBがボトルネックとなる問題を抱えています。様々な負荷軽減の取り組みを通じて状況は劇的に改善されていますが、未だに完璧な課題解決には至っていません。 そこで今回は、加熱商品の発売イベントにおける負荷軽減の取り組みを振り返ります。また、直近の取り組みとして、SQL ServerのCDCを用いた新たな負荷軽減の検証内容をご紹介します。 背景 - カートDBのボトルネックについて 加熱商品の発売イベントに関する対策について、最初に言及した記事としては以下が挙げられます。この記事では人気の福袋商品を加熱商品として紹介していますが
【GA4導入後に知っておきたい】標準の「レポート」とGoogle データポータルの数字がずれるのはなぜ? 具体的な解決策は?|イー・エージェンシー
GA4のUI上でレポートを見る際の注意点 では、GA4の標準レポートとLooker Studioを比較すれば、数字のずれは発生しないのでしょうか? 残念ながらそうとも言い切れません。 ここで、GA4のUI上でレポートを見る際の注意点をお伝えします。 【標準レポートで発生する主な注意点】 ユーザーのプライバシーに配慮し、しきい値が適用されることがある。 標準の「レポート」では、テーブルが行数上限(50,000行)に達すると、超過分の行が(other) として集約される。(ヘルプページ [GA4] 行数の上限) 例えば、標準レポートの「スナップショット」で見ていたPV合計数が、「エンゲージメント>ページとスクリーンの表示回数」と異なる場合、上記が影響していると思ってください。 標準レポートでは、利用するレポートによって数字が異なることがあります。 【探索レポートで発生する主な注意点】 ユーザー
制約付き最適化問題(KKT条件/ラグランジュ未定乗数法)
Corrections: 18:00 正しくは制約関数の"勾配"が一次独立です。{∇g_i}で考えます 27:15 正しくは制約関数の"勾配"が一次独立です。{∇g_i,∇h_j}で考えます ラグランジュの未定乗数法は物理でもよく使います。 ある制約のもとでエネルギーなどの物理量が最小となるのはどのようなときか、など様々なシーンで制約付きの最適化問題が現れますよ。 概要欄 やす ------------------------------------------------------ 予備校のノリで学ぶ「大学の数学・物理」のチャンネルでは主に ①大学講座:大学レベルの理系科目 ②高校講座:受験レベルの理系科目 の授業動画をアップしており、他にも理系の高校生・大学生に向けた様々な情報提供を行っています <クラウドファンディング> このチャンネルは皆さまからのご支援で成り立ってい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Salesforce and Snowflake Expand Partnership with Real-Time Data Sharing
The Magical Disappearing Square
- When a query has an Explain that uses an IPE (incremental planning), the Viewpoint shows only part of the Explain. - Knowledge Portal
Teradata takes on Snowflake and Databricks with cloud-native platform