SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.10 アーリーアダプター版 リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp 2023.9.1 安定版 リリース内容

8/18追記 2023.9.1安定版リリースで、2023.8のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…

【GPTプログラミング入門】GPTをSlackBotから呼び出そう(AWS Lambda編)

はじめに ラムラーナ2の遺跡探索が楽しすぎて仕事のやる気が起きない岩間です。 前回は、SlackのSocket ModeでGPTのSlackbotを動かしましたが、Socket Modeだと常駐が難しいです。今回は常駐させるためにAWSのLambdaを使ったプログラムに変えたいと思います…

新卒研修「脆弱性の理解」の振り返り

初めに 今年の4月に新卒で入社したid:aaaaaaaaaaaaaaaaaaaaxです。 新卒研修の「脆弱性の理解」の研修のまとめとして、この研修について振り返りを書きました。 初めに 研修について これまでの研修について 今回の研修の目標 今回の研修の内容 振り返り 「…

【GPTプログラミング入門】GPTをSlackBotから呼び出そう(Socket Mode編)

はじめに 風来のシレン5+の追加ダンジョン「原始に続く穴」が打開できなくて、仕事のやる気が起きない岩間です。TotK?コログ以外やりこんだよ。 前回、OpenAIのAPIを使って、プログラム上でGPTを呼び出すことができました。 techblog.securesky-tech.com タ…

【GPTプログラミング入門】OpenAIのAPIで遊んでみよう

はじめに TotKのやりすぎで仕事のやる気が起きない岩間です。 今回は、唐突にchatGPTと触れ合いたくなったので、openAIのAPIを使ってPythonプログラム上でchatGPTさんとお喋りしよう!というのものです。 ところでみなさんはchatGPTをご存じでしょうか?かな…

docker-compose.yml で bridge network を使うときはバックエンドサービスでport map未指定でもOK

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 Docker Compose を使うときのメモです。 例としてシンプルな web + db 構成を考えます。 docker 公式のサンプル1としてこんな docker-compose.yml が掲…

Dockerのiptablesを有効にしたままSSRF対策をするには

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。 動機としてはタイトル…

inert属性の指定されたHTML要素でもイベントを発火させたい!

XSS

はじめに こんにちは、CTOのはせがわです! PortSwigger社のブログ記事「Exploiting XSS in hidden inputs and meta tags | PortSwigger Research」おもしろいですね。 Chromeなどのブラウザーに新しく実装されたポップアップを表示させるための機能であるポ…

Burp 2023.7.1 安定版 リリース内容

7/26追記 2023.6.2安定版リリースで、2023.7のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…