タグ 診断員
人気順 5 users 50 users 100 users 500 users 1000 usersflaws2.cloudのWriteupを書いたよ! - とある診断員の備忘録
皆さん今日は! 今年の夏は日本にいるので、TLに流れてくるラスベガスで楽しんでいるセキュリティクラスタの友人達のつぶやきをうらやましげに眺めているとある診断員です。 色々忙しくて、めちゃくちゃ久々のブログ更新になってしまいました…。 もう随分前になっちゃいますが、今年3月に開催したJAWS DAYS 2019にて、仲... 続きを読む
AWS、侵入テスト申請やめるってよ - とある診断員の備忘録
先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ?AWSの侵入テスト申請いらなくなりました? pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) March 1, 2019 このブログでもとりあげましたが、今までAWSはペ... 続きを読む
Drupal の脆弱性 (CVE-2019-6340) に関して検証してみた - とある診断員の備忘録
どうも、Drupalを一回も運用したことがないのに、インストールするのがどんどん早くなっていく、とある診断員です。 今回は先日PoCが公開されたDrupal の脆弱性 (CVE-2019-6340) に関してちょこっと検証してみました。 折角なので検証した内容についてブログに記載をしておきます。 脆弱性に関する情報 脆弱性の種類 RCE... 続きを読む
デバッガを利用してWebアプリの脆弱性を分析してみた - とある診断員の備忘録
2017 - 11 - 17 デバッガを利用してWebアプリの脆弱性を分析してみた 11/15に開催されたこちらの勉強会に参加いたしました! デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう - connpass こちらの勉強会は、「 WordPress 本体と プラグイン の 脆弱性 をデバッガで追跡することにより、 脆弱性 の中身について詳しく追跡し、理解を深める」という... 続きを読む
AWSの侵入テスト申請フォームが変更された件 - とある診断員の備忘録
2017 - 10 - 20 AWSの侵入テスト申請フォームが変更された件 過去このブログでも取り上げてますが、 AWS において 脆弱性 診断を実施する際に、侵入テスト申請というものが必要となります。 ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS この侵入テスト申請について、実は2017年9月頃にアップデートがあり、申請フォームの内容が従来と変更されておりますので、こちら... 続きを読む
クラウドサーバに対する脆弱性診断の事前申請について各社に問い合わせてみた結果 - VAddyブログ - 継続的セキュリティテストへの道 -
先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス(IaaS)の利用者が脆弱性診断をする際の注意点がまとめられています。 この記事の中に 脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。 という言及がありま... 続きを読む
クラウドサービスを脆弱性診断する時のお作法 - とある診断員の備忘録
2017 - 06 - 20 クラウドサービスを脆弱性診断する時のお作法 「とある診断員の備忘録」というタイトルのわりに、ブログを始めてから今まで 脆弱性 診断に関することを一切書いていなかったことに気づいたので、そろそろ 脆弱性 診断ネタを書こうかと思います。 今回は クラウド プラットフォームに対する 脆弱性 診断の小ネタです。 クラウド サービスを診断する時のお作法って? 私が 脆弱性 診断... 続きを読む
脆弱なWAF達で遊んでみた - とある診断員の備忘録
2017 - 04 - 08 脆弱なWAF達で遊んでみた 最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWA... 続きを読む
Apache Struts2の脆弱性(CVE-2017-5638)を検証してみた - とある診断員の備忘録
2017 - 03 - 08 Apache Struts2の脆弱性(CVE-2017-5638)を検証してみた Blogでもやろうかなと思いつつ、 やるやる詐欺 になっていたし、たまたま朝早く目が覚めたので思い切って始めることにしました。このBlogでは私が趣味でチョコチョコやっている 脆弱性 やスキャナの検証などについて書いていこうと思います。 さて、話題となっている以下 Struts2 の 脆... 続きを読む
フリーでやろうぜ!セキュリティチェック
Transcript of "フリーでやろうぜ!セキュリティチェック" 1. フリーでやろうぜ! セキュリティチェック! 2015/7/26 JTF2015 2. Profile of Speakers 3. Shun Suzaki(洲崎 俊) Twitter: @tigerszk ユーザ企業のセキュリティチームに所属する「とある診断員」 Satoshi Ogawa(小河哲之) Twitter: ... 続きを読む
フリーでできるWebセキュリティ(burp編)
Transcript 1. フリーでできるWebセキュリティ Burp Suite編(Not 初級者編) 2. 自己紹介 Twitter:abend セキュリティエンジニア。 アルコールがすきです。 3. はじめに1 Burp Suiteはローカルで稼働するProxyソフトで、Webアプリケーションの診断などで使用さ れています。 ■ 「Webアプリケーション診断」って? 診断員 攻撃パターン付加... 続きを読む
Security Base: Nmap Scripting Engine のスクリプトについてまとめてみました
2015年1月13日火曜日 Nmap Scripting Engine のスクリプトについてまとめてみました 新年好!(あけましておめでとうございます!)診断員の XC です。本年もよろしくお願い申しあげます。 すでに今年の抱負を立てて取りくみはじめている方も多いと思われますが、私も「一日にひとつ英語か中国語の文章を翻訳してみる」という目標をかかげてみました。(とはいえ、時間が押しているときなどは... 続きを読む
Security Base: Nmap のなかの X'mas
2014年12月25日木曜日 Nmap のなかの X'mas 圣诞节快乐!(メリークリスマス!)診断員の XC です。 今回は私のすきな Nmap というツールについて書いてみようと思います。 fangol (Robert Proksa) via Rgbstock.com Nmap とは? Nmap(Network MAPper)は、ポートスキャナーとしてその名を知られています。 Nmap を利用... 続きを読む
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介 セキュリティエンジニアやってます。 脆弱性診断業務を担当しており、専門はWebセキュリティです。 趣味で脆弱性の検証したり、最近はCTFイベントなどに参加して たりします。 TwitterID: tigerszk 本題に入るその前に 脆弱性診断って? FW Webサー... 続きを読む