SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp 2023.1 アーリーアダプター版 リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

2022年のAndroidにおけるProxy設定と NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 本記事では Android で burp などMITM型*1 のProxyを設定する方法と、Android版 Chrome 99 以上で発生する NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRE…

Burp 2022.12.4 安定版 リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp 2022.12 アーリーアダプター版 リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp 2022.11.2 安定版リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

CookieのSameSite属性と4つの勘違い(2022-10版)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見…

HTB Academyはじめてみた

はじめに こんにちは。SSTで診断員をやっている秋本です。 約3年ほどWebアプリケーションの脆弱性診断業務に従事しています。 そろそろ他のレイヤのスキルも身に着けたいなと思い、最近、会社のお金でHTB Academyという学習サービスを始めました。 今回のブ…

2021年のWebスキミング被害を振り返ってみる

どうも!脆弱性診断士の西尾です! 2020年に引き続き、2021年もWebスキミングの国内の被害状況について振り返っていきたいと思います。 本当は1月に書きたかったのですが、本業が忙しく気づけば4月になってしまいました… ちなみに前回の記事はこちら↓ techbl…

Log4ShellのためのLDAP

はじめに こんにちは。SST研究開発部の小野里です。いよいよ入社2年目になってしまい、新入社員特権でチヤホヤされる時期も終わってしまったので戦々恐々としています。 さて、私はつい先日まで2021年度新卒研修最後の課題として、Log4ShellのPoCを作って動…

Log4Shellで何が起こっていたのかを追ってみる

はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、…