SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp で HTTP/2 を無効化(OFF)する方法と、リクエストヘッダー名の大文字小文字にまつわるトラブルシュート

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 今回は診断で遭遇した Burp の奇妙な挙動と、そのトラブルシュートで知った「HTTP2の無効化(OFF)方法」について紹介します。 検証環境: Burp Suite Co…

ソースコードを解析してみた

システムエンジニアに向けて作られた銘酒「ソースコード」には隠されたメッセージがあるという。 その謎を解明するため、我々調査班はamazonの奥地へと向かった――。

Burp 2024.1.1 アーリーアダプター版 リリース内容

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

デスクトップJavaアプリ開発を支える技術

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、元々ExcelのVBAマクロで組まれていたメール送信ツールを、Windows用のデスクトップアプリとしてJavaで作り直す突貫工事を行いました。 今どきの…

2023年Burp Suiteのリリースを振り返る

はじめに Potion CraftがSwitchで発売されたので、ポーション作りにハマって仕事のやる気が起きない岩間です。 今年からBurpのリリースノートを翻訳記事を公開し続けて、早いもので一年が経ちました。あっという間です。 この取り組みは、新しいバージョンが…

Burp 2023.12.1.3 安定版 リリース内容

2/2追記 2023.12.1.3安定版リリースで、2023.12.1のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Bu…

React使いだった自分が未知のAngularでプロダクト開発に貢献できるようになるまでの話

はじめに 結論「ReactのクラスコンポーネントとSpring BootのDIを足して割った感じか」 Reactのクラスコンポーネントとは Angularのコンポーネントクラスについて Spring Bootと同様のDIがAngularでもできる おわりに はじめに 現在EASMの開発をしております…

Burp SuiteのGraphQL手動検査ツールさわってみた

はじめに 本記事は、Burp Suite 2023.11.1.3の安定版リリースで追加された、GraphQLの手動検査ツール機能に関する紹介記事になります。 原文をご確認されたい方は、公式のリリースノートをご覧ください。 portswigger.net 機能紹介 これまでのGraphQLに関す…

チームにスクラムを導入した話

はじめに ポケモンスリープに結構ハマって、仕事は忙しいけど前より健康的になって仕事のやる気が起きない岩間です。8時間寝なくちゃ 今回は、参画しているEASMプロジェクトでスクラム開発(以下、スクラム)を導入した話について紹介します。 現在弊社で開発…

Gitフローを見直して機能開発着手からリリースまでの流れを改善した話

はじめに 今までのGitフロー 変更後のGitフロー 変更後のGitフローの問題点 終わりに はじめに 今年7月に中途入社した加藤です、ガムシャラにEASMの開発をしていたらいつのまにか年末になっていました、恐ろしや。 今回はEASMプロジェクト内でGitフローの改…