はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ SSTエンジニアブログ

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 16 / 16件)
 

CookieのSameSite属性と4つの勘違い(2022-10版) - SSTエンジニアブログ

2022/10/28 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip SameSite属性 Twitter GitHub SST

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じ... 続きを読む

Log4Shellで何が起こっていたのかを追ってみる - SSTエンジニアブログ

2022/04/24 このエントリーをはてなブックマークに追加 20 users Instapaper Pocket Tweet Facebook Share Evernote Clip Log4Shell

はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、以前話題になったLog4Shell脆弱性のPoCを作るという課題に取り... 続きを読む

XSSの脅威を考察する - SSTエンジニアブログ

2022/03/08 このエントリーをはてなブックマークに追加 25 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS CTO ハセガワ 脅威 毎回

はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 blog.flat... 続きを読む

WebAuthnをエミュレートするWebアプリの開発 - SSTエンジニアブログ

2022/02/18 このエントリーをはてなブックマークに追加 13 users Instapaper Pocket Tweet Facebook Share Evernote Clip WebAuthn Zap Twitter GitHub SST

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャ... 続きを読む

Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ

2021/12/23 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip 百田 題名 脆弱性診断 実際 注意点

はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として... 続きを読む

Linuxシステムの勉強に役立つコマンドの紹介 - SSTエンジニアブログ

2021/08/18 このエントリーをはてなブックマークに追加 12 users Instapaper Pocket Tweet Facebook Share Evernote Clip コマンド Linuxシステム 勉強 紹介

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日の記事では Linux のネットワークインターフェイス名を出発点として systemd や udev について調査しました。 どうやって調査したかというと、 検索キーワードをあれこれ試してみて、見つかった記事から気にな... 続きを読む

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(後編) - SSTエンジニアブログ

2021/02/15 このエントリーをはてなブックマークに追加 11 users Instapaper Pocket Tweet Facebook Share Evernote Clip Webブラウザセキュリティ 後編 発刊記念 米内貴志 CTO

こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。 セキュリティのためのベストプラクティス はせがわようすけ でも、... 続きを読む

Google MeetのWebカメラを加工してみよう! - SSTエンジニアブログ

2020/04/30 このエントリーをはてなブックマークに追加 17 users Instapaper Pocket Tweet Facebook Share Evernote Clip Google Meet Webカメラ CTO バック 長谷川

ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話をします。CTOの長谷川です。 Google Meetって? Google Meetは... 続きを読む

最近流行りのWebスキミングについて調べてみた - SSTエンジニアブログ

2019/09/02 このエントリーをはてなブックマークに追加 281 users Instapaper Pocket Tweet Facebook Share Evernote Clip Webスキミング 西尾 標的型攻 新卒エンジニア 攻撃手法

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは 2種類の攻撃手法(+1おまけ) 標的型攻... 続きを読む

FiddlerScript ちょっと使ってみた - SSTエンジニアブログ

2019/01/30 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip

はじめまして! 百田と申します。普段は脆弱性診断を業務としています。 突然ですが、皆さんは普段 ローカルプロキシ 何を使っていますか? 私は Burp Suite を使っています。お恥ずかしながら、その他のローカルプロキシツールはほとんど使ったことがありません...。 ですが!! あることがきっかけとなり、Fiddler お... 続きを読む

技術系の洋書をたらふく読もう! - SSTエンジニアブログ

2018/12/30 このエントリーをはてなブックマークに追加 200 users Instapaper Pocket Tweet Facebook Share Evernote Clip 洋書 技術系

事業開発部と研究開発部に属している宇田川です。 最初に言っておきます。今回はAWS WAFの記事ではないですよ~ 今回は私の読書について、お伝えいたします~ SSTでは過去2つの読書記事があります。 第1弾 blog.securesky-tech.com 第2弾 techblog.securesky-tech.com そして、今回勝手に第3弾です。 今頃かいっ!的な... 続きを読む

Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ

2018/10/31 このエントリーをはてなブックマークに追加 100 users Instapaper Pocket Tweet Facebook Share Evernote Clip CTO node.js 原理 対策 任意コード実行

はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 jovi0608.hatenablog.com どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹介されている講演の動画では最終的に任意コード実行まで至って... 続きを読む

積読を消化する技術 - SSTエンジニアブログ

2018/10/09 このエントリーをはてなブックマークに追加 57 users Instapaper Pocket Tweet Facebook Share Evernote Clip 積読 SST 技術 重荷 心構え

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 弊社塙が先日公開した記事 読まずに読む!?私の読書法 - SSTバックヤード に触発され、IT技術者として「積読」をどう消化するのか、自分なりの心構えと実践例を紹介したいと思います。 積読が心の重荷となっている人たちにとって、本記事を読むこと... 続きを読む

仮想通貨マイニングを悪用した攻撃の事例紹介 - SSTエンジニアブログ

2018/09/25 このエントリーをはてなブックマークに追加 9 users Instapaper Pocket Tweet Facebook Share Evernote Clip 仮想通貨マイニング 攻撃 西尾 不正マイニング 延長線上

こんにちは!新卒エンジニアの西尾です。 今回、学生時代の研究の延長線上として、仮想通貨を不正マイニングする攻撃を調査・解析してみたので、その解析結果と併せて不正マイニングの事例紹介を書いていきます。 セキュリティ系のエンジニアや研究者の方のお役に立てれば幸いです。 ちなみに最近、大学院時代に書いたDr... 続きを読む

AWS WAFとLambda@edgeで理想のフルログはできるのか - SSTエンジニアブログ

2018/09/19 このエントリーをはてなブックマークに追加 30 users Instapaper Pocket Tweet Facebook Share Evernote Clip 宇田川 Body Lambda@Edge POSTリクエスト

はじめに はじめまして、事業開発部と研究開発部に属している宇田川です。 AWS関連の新機能や新サービスに都度都度熱狂しておりますが、最近もっとも熱狂したニュースはこちら。 AWS WAF の包括的なログ記録機能が新たに利用可能に 早速、調査! だが、しかし、POSTリクエストのBodyは記録されず… 私が欲しい理想のフル... 続きを読む

Vue.js で XSS を作り込まないために気を付けること - SSTエンジニアブログ

2018/08/01 このエントリーをはてなブックマークに追加 111 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS Vue.js

はじめに はじめまして、福岡オフィスで働いている前平です。 セキュアスカイ・テクノロジーでは、すでにいくつかのカテゴリのブログを発信していますが、技術を気軽に発信したり、エンジニアが普段の業務でどのような技術に触れているのかを紹介したりすることを目的として、新しく「エンジニアブログ」が立ち上がりま... 続きを読む

 
(1 - 16 / 16件)