SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

PacketProxyを触ってみました

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通…

脆弱性診断における「ロール」を考慮したアカウントや「データ」の準備について

はじめに こんにちは。脆弱性診断の業務に携わっています、かをるです。 今回はタイトルの通り、脆弱性診断における「ロール」と「データ」を考慮した準備について記事を書きました。 読んでいただけると、以下について知ることができます。 脆弱性診断依頼…

技術書典7に向けてみんなで本を書きました

こんにちは、CTOの長谷川です。 会社のメンバーと一緒に技術書典7にサークル参加しようとみんなで本を書きましたので、その紹介です。 技術書典って? 技術書典は、技術書にフォーカスした技術普及と共有のためのイベントで、多くのエンジニアが自分たち自身…

「セキュリティ専門家からみた認証における課題と不正アクセス対策 」セミナーレポート

こんにちは、取締役CTOのはせがわようすけです。 急増するパスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)による不正アクセスへの対策や認証における課題について、理解を深めるための「今聞きたいセキュリティ緊急セミナー」を8月27日と9月4日…

spindle-localproxy というローカルHTTPプロキシを開発しました【Part2】

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月~8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

最近流行りのWebスキミングについて調べてみた

こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみまし…

spindle-localproxy というローカルHTTPプロキシを開発しました【Part1】

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月~8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

絵で分かる!パスワードリスト攻撃

はじめに こんにちは。事業開発部の清水です。 本日は、パスワードリスト攻撃に焦点を当てて、その内容と対策を解説してみたいと思います。 はじめに パスワードリスト攻撃とは パスワードリスト攻撃で受ける影響 パスワードリスト攻撃の被害事例 2019年5月 …

TerraformでCloudWatch Alarm設定をしたらはまった話

はじめに こんにちは、研究開発の宇田川です。 ブログ書きたいなぁと思いつつ、最近は「とあるプロジェクト」を取り組んでおり、パツパツ状態で前回のブログから結構経ってしまいました。 せっかくなので今回は、「とあるプロジェクト」中にはまった話をご紹…

認証と認可の違い

認証と認可の違い はじめに こんにちは。マイペースを極めつつある診断員の百田です。 最近、認証と認可の違いについて考えさせられることがありましたので、今回はそれについてのんべんぐらりと書きつづります。 なお、ここでいう「認証」と「認可」はWebア…