SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Burp の TLS Pass Through 設定の使い所と仕組み

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 iOSやAndroidで Burp のProxy設定をすると、いくつかのアプリで通信エラーになってしまうことがあります。 例として以下のような操作があります。 アプ…

iOSにおけるBurpのHTTP Proxy設定(2021版)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日 iOS にBurpのHTTP Proxy設定をする機会がありました。 久しぶりなので改めて調べ直してみたところ、Burpの開発元である PortSwigger 社のサポート…

Burp Suite Certified Practitioner紹介

はじめに ゼルダの伝説 スカイウォードソード HD楽しすぎて仕事する気がおきない岩間です。マダス...マダス... 先日、Burpを開発している会社Port Swigger社が新しい資格「Burp Suite Certified Practitioner」をリリースしました。 portswigger.net portswi…

DOM Invader触ってみた

はじめに ゼルダの伝説 スカイウォードソード HDやりたくて仕事する気が起きない岩間です。女神転生Vも待ち遠し…。 今回は、先日リリースされたBurpの新機能であるDOM Invaderの紹介です! DOM Invaderは、Burp ProfessionalおよびCommunityの2021.7のバージ…

認可リクエストとアクセストークンリクエストのredirect_uri検証によって防げる脅威

はじめに こんにちは、脆弱性診断員の秋本です。 今回のブログもまたOAuthの話です。 先日、OAuth2.0の各必須パラメータについてまとめていたところ、アクセストークンリクエストでredirect_uriを検証する必要とは?について頭を抱えていました。 RFC6749に…

Google Chrome Developer Tools入門

はじめに こんにちは。この春からSSTに入社しました小野里です。これが2本目の記事になります。まだまだ書きなれないですが、何事も経験かなと考えチャレンジしていきたいと思います。 さて、今回はGoogle Chromeの開発者向け機能である「Google Chrome Deve…

Burp Suite Community Editionのインストール~Interceptまで

はじめに こんにちは。この春からSSTに入社致しました、小野里と申します。今回は新人研修の一環+古い記事のアップデートとして、Burp Suite Community Edition最新版(2021/06/02時点)のインストール~簡単な使い方について書きます。Ver1.6時代の記事はこ…

YouTube「SSTさくうぇぶチャンネル」 ~カフェ気分で1分Webセキュリティ動画~

はじめに こんにちは。技術開発部&研究開発部所属のかをるです。この春から入社5年目になりました。月日が経つのは早いなぁと感じています。 今回は、YouTube「SSTさくうぇぶチャンネル」より「サクッと1分Webセキュリティ」を紹介します。 「カフェのメニュ…

Wordpressのxdebug環境設定メモ

はじめに 最近、メトロイドヴァニア系のゲームにハマったのをきっかけにスーパーメトロイド(SFC)にも手を出して仕事する気が起きない岩間です。 一応クリアしましたが難し・・・。 今回は、Wordpressのデバッグ環境を整える機会があったのでブログにしてみま…

セキュリティ・キャンプの協賛企業になりました!

こんにちは。 人狼系ゲームで悪いことをしていないのに疑われがちなエンジニアのshigaです。 1月よりセキュアスカイ・テクノロジー(以下よりSST)はセキュリティ・キャンプの協賛企業になりました! セキュリティ・キャンプとは? 学生を対象としたセキュリ…