Legokichi Duckscallion legokichi

GitHub for Bug Bounty Hunters

GitHub repositories can disclose all sorts of potentially valuable information for bug bounty hunters. The targets do not always have to be open source for there to be issues. Organization members and their open source projects can sometimes accidentally expose information that could be used against the target company. in this article I will give you a brief overview that should help you get started targeting GitHub repositories for vulnerabilities and for general recon.

Mass Cloning

You can just do your research on github.com, but I would suggest cloning all the target's repositories so that you can run your tests locally. I would highly recommend @mazen160's GitHubCloner. Just run the script and you should be good to go.

$ python githubcloner.py --org organization -o /tmp/output

Dynamo: Amazonの高可用性Key-value Store[和訳]

原題：Dynamo: Amazon’s Highly Available Key-value Store

原文: Amazon's Dynamo - All Things Distributed (PDF Version)

This article is translated by @ono_matope. Please contact me if any problem.

サイボウズ脆弱性報奨金制度で認定されたSSRF

2017年11月に開催された「サイボウズバグハンター合宿」への参加を機に、サイボウズの脆弱性報奨金制度に挑戦した。2017年度に認定されたcybozu.com共通管理でのSSRFの詳細をサイボウズと合意の上で開示する。

サイボウズの報奨金制度では、クラウドサービスの本番環境での脆弱性調査が禁止されている。調査希望者には cybozu-dev.com 上で動作する検証環境が提供される。以降の調査は全て検証環境で実施している。

cybozu.com共通管理の概要

サイボウズが企業向けに提供するOfficeやGaroon、kintoneなどのクラウドサービスは、共通のドメイン cybozu.com 上で動作する。各サービスのアカウントやセキュリティ設定などはサービスごとに管理せず、「cybozu.com共通管理」で一元管理する仕様となっている。利用企業の管理者はcybozu.com共通管理から社員のアカウントを発行し、権限などを設定できる。

RFC 2113: dynトレイト構文

Start Date: 2017-08-17
RFC: http://rust-lang.github.io/rfcs/2113-dyn-trait-syntax.html
PR: rust-lang/rfcs#2113
Issue: rust-lang/rust#44662

要約

要約: 『Brewer's Conjecture and the Feasibility of Consistent, Available, Partition-Tolerant Web Services』

概要

著者: Seth Gilbert、Nancy Lynch、発行年: 2002
いわゆる"CAP定理"の話:
- 「分散環境では 一貫性(Consistency) と 可用性(Availability) と 分断耐性(Partition tolerance) の三つを同時に達成することはできない」
その不可能性の証明と、その制限を非同期環境および部分的同期環境でどう緩和するか、が述べられている

第四部ハイレベル通信抽象

第四部の内容:

メッセージの非同期送受信に基づく分散システムに、ハイレベルな通信抽象を付与する
12章:
- メッセージ配送順序が特定の性質を満たすようにするための抽象群を扱う
- 因果メッセージ配送、が一番重要
13章:
ランデブー通信抽象、および、論理的に即時な通信、を扱う

第八章非同期分散チェックポイント

非同期分散システム上でのチェックポイントを扱う章
最初に以下を提示:
- ローカル及びグローバルチェックポイントの概念
- 同じ一貫グローバルチェックポイントに属するローカルチェックポイント群のための必要条件と十分条件を述べた定理
次に、ローカルチェックポイントによって拡張された分散計算に関連する以下の二つの一貫性条件を考える (後者の方が強い):
- 1. Zサイクルフリーダム: 任意のローカルチェックポイントが、一貫グローバルチェックポイントに属することを保証する
1. ロールバック依存追跡性: 一貫グローバルチェックポイントが、オンザフライで各ローカルチェックポイントに紐付け可能なことを示す

第二部分散システムでの論理時間とグローバル状態

第二部は四章からなり、以下の内容を扱っている:

分散計算の、イベント/ローカル状態/グローバル状態、の概念
それらに関連した論理時間について
=> __信頼可能な__分散システム上での非同期分散計算の性質を考察する上で基礎となる概念

六章:

プロセスのイベント群の部分順序によって、分散計算を表現する方法

	#!/usr/bin/env python
	# A simple demonstration of using cairo to shape windows.
	# Natan 'whatah' Zohar
	import gtk
	import math

	class ShapedGUI:
	def __init__(self):
	self.window = gtk.Window()
	self.window.show() # We show here so the window gets a border on it by the WM

	// Chrome Canary M74
	// chrome://flags で Experimental Web Platform features を有効にすれば使えるようになる

	// https://developers.google.com/web/updates/2019/01/rtcquictransport-api
	// https://github.com/shampson/RTCQuicTransport-Origin-Trial-Documentation

	const iceTransport1 = new RTCIceTransport;
	const iceTransport2 = new RTCIceTransport;

	const quicTransport1 = new RTCQuicTransport(iceTransport1);