SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

SECCON 2018 Online GhostKingdom Writeup

CTF

七つの鍵を持て開け地獄の門!(ハッピー)ハーロ・イーン! こんにちは、SSSS.GRIDMANの六花ちゃんが可愛くてあまり仕事する気になれない脆弱性診断士の岩間です。 先日10/27(土)15:00から10/28(日)15:00にかけてSECCON CTF 2018 Onlineが開催されておりまし…

Node.jsにおけるprototype汚染攻撃への対策

はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 jovi0608.hatenablog.com どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹…

2018年度前半のプラットフォーム診断結果を振り返ってみました

こんにちは、診断業務全般を担当しているイデです。 脆弱性診断ライフ楽しんでいますか? 気づけばもう2018年も既に10月下旬、今年ももうすぐ終わりますね^^ まだだ、まだ今年は終わらんよ!!!、俺たちの2018年度はこれからやで!という声も後ろのほうか…

「先端情報システム工学特論Ⅱ」ー山口大学大学院の講義を担当しました

はじめに こんにちは。技術開発部のかをるです。 つい先日の10月5日(金)に、山口大学大学院 創成科学研究科 電気電子情報系専攻 にて開講されている「先端情報システム工学特論Ⅱ」の講義を担当しました。 この講義は、情報システム工学に関するの先端的な…

積読を消化する技術

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 弊社塙が先日公開した記事 読まずに読む!?私の読書法 - SSTバックヤード に触発され、IT技術者として「積読」をどう消化するのか、自分なりの心構えと実践例を紹介したいと思います。 …

「HTTP/2ことはじめ」ー九州セキュリティカンファレンス2018にて登壇しました

はじめに こんにちは。技術開発部のヘルシーエンジニアな岩間と、ミーハーなかをるです。 先日、弊社が支援するセキュリティコミュニティのひとつである九州学生エンジニア連合主催の九州セキュリティカンファレンスに、参加、登壇してきましたので報告しま…

仮想通貨マイニングを悪用した攻撃の事例紹介

こんにちは!新卒エンジニアの西尾です。 今回、学生時代の研究の延長線上として、仮想通貨を不正マイニングする攻撃を調査・解析してみたので、その解析結果と併せて不正マイニングの事例紹介を書いていきます。 セキュリティ系のエンジニアや研究者の方の…

AWS WAFとLambda@edgeで理想のフルログはできるのか

はじめに はじめまして、事業開発部と研究開発部に属している宇田川です。 AWS関連の新機能や新サービスに都度都度熱狂しておりますが、最近もっとも熱狂したニュースはこちら。 AWS WAF の包括的なログ記録機能が新たに利用可能に 早速、調査! だが、しか…

Coinhive利用サイトを探してみた

こんにちは!新卒エンジニアの西尾です。 まさか入社して5ヶ月で技術的なブログを書かされるとは思いませんでしたが……頑張って書いていきます。 ※なお、本記事の内容は個人の見解であり、所属組織を代表するものではありません。 はじめに Coinhiveとは 調査…

夏の宿題「Laravel Mix に挑戦!~Laravel でVue.jsをうごかすまで~」

はじめに こんにちは。 脆弱性診断業務に携わっています、かをると申します。 この夏、みなさまはどのように過ごされましたか? 先日、弊社の東京オフィスではオフィスツアーが実施され、子どもたちが遊びに来てくれました。 私が子どもの頃の夏休みといえば…