SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

DOM Invader触ってみた

はじめに ゼルダの伝説 スカイウォードソード HDやりたくて仕事する気が起きない岩間です。女神転生Vも待ち遠し…。 今回は、先日リリースされたBurpの新機能であるDOM Invaderの紹介です! DOM Invaderは、Burp ProfessionalおよびCommunityの2021.7のバージ…

認可リクエストとアクセストークンリクエストのredirect_uri検証によって防げる脅威

はじめに こんにちは、脆弱性診断員の秋本です。 今回のブログもまたOAuthの話です。 先日、OAuth2.0の各必須パラメータについてまとめていたところ、アクセストークンリクエストでredirect_uriを検証する必要とは?について頭を抱えていました。 RFC6749に…

Google Chrome Developer Tools入門

はじめに こんにちは。この春からSSTに入社しました小野里です。これが2本目の記事になります。まだまだ書きなれないですが、何事も経験かなと考えチャレンジしていきたいと思います。 さて、今回はGoogle Chromeの開発者向け機能である「Google Chrome Deve…

Burp Suite Community Editionのインストール~Interceptまで

はじめに こんにちは。この春からSSTに入社致しました、小野里と申します。今回は新人研修の一環+古い記事のアップデートとして、Burp Suite Community Edition最新版(2021/06/02時点)のインストール~簡単な使い方について書きます。Ver1.6時代の記事はこ…

YouTube「SSTさくうぇぶチャンネル」 ~カフェ気分で1分Webセキュリティ動画~

はじめに こんにちは。技術開発部&研究開発部所属のかをるです。この春から入社5年目になりました。月日が経つのは早いなぁと感じています。 今回は、YouTube「SSTさくうぇぶチャンネル」より「サクッと1分Webセキュリティ」を紹介します。 「カフェのメニュ…

Wordpressのxdebug環境設定メモ

はじめに 最近、メトロイドヴァニア系のゲームにハマったのをきっかけにスーパーメトロイド(SFC)にも手を出して仕事する気が起きない岩間です。 一応クリアしましたが難し・・・。 今回は、Wordpressのデバッグ環境を整える機会があったのでブログにしてみま…

セキュリティ・キャンプの協賛企業になりました!

こんにちは。 人狼系ゲームで悪いことをしていないのに疑われがちなエンジニアのshigaです。 1月よりセキュアスカイ・テクノロジー(以下よりSST)はセキュリティ・キャンプの協賛企業になりました! セキュリティ・キャンプとは? 学生を対象としたセキュリ…

脆弱性診断用のアカウントが複数必要な理由

はじめに こんにちは。脆弱性診断員のYOSHIIです。 ログイン機能があるWebシステムを診断する際に、診断用のアカウントを複数ご提供いただけるようにお願いすることがあります。 「なぜアカウントが1つではダメなのか。複数アカウントで何をするのか。」 こ…

OAuth2.0におけるCSRFとは

はじめに こんにちは、診断員の秋本です! 最近、ダイワスカーレットのドヤ顔を見るためだけにウマ娘をプレイしてます。ゲームシステム全然わからん…。 皆さんは、RFC6749で定義されているOAuth2.0をご存じでしょうか。 OAuth2.0には実装不備によって生じて…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(後編)

こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。 docu…