はじめに こんにちは。SST研究開発部の小野里です。いよいよ入社2年目になってしまい、新入社員特権でチヤホヤされる時期も終わってしまったので戦々恐々としています。 さて、私はつい先日まで2021年度新卒研修最後の課題として、Log4ShellのPoCを作って動…

はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、…

はじめに こんにちは！CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的に…

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります…

はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サー…

はじめに こんにちは。BARON YOSHIIです。 私はシーランド公国の男爵という立場ですが、現在は日本でWebアプリの脆弱性診断をしています。 そして、2021年度ProSec-ITの受講生でもあります。 2022年度の募集要項が公開されましたので、この機会に「ProSec-IT…

Apache Log4jの脆弱性対応について、セキュアスカイ・テクノロジー社内（いわゆる情シスの視点）で実施している対応進行中の一部を可能な範囲でシェアします。

はじめに こんにちは、SSTでWeb脆弱性診断を担当しているTです。 この記事は以下の投稿の続きの内容になっています。 techblog.securesky-tech.com 前回の内容に続き、去年12月に「Oracle Java SE8 Gold」資格に挑戦し合格しました。そこで、その際に勉強し…

レスポンスヘッダとして「Access-Control-Allow-Origin」に「*」やリクエストの Origin ヘッダの値を設定したとき、ブラウザがどのような動きをするのか考え、確かめる記事。

はじめに 女神転生Vで最初のヒュドラにボコボコにされて仕事のやる気がおきない岩間です。 今回は、2021/11/19に行われたBoss of the SOC v4.1 Japanの参加レポートになります。 Boss of the SOC v4.1 Japanについて Boss of the SOC(BOTS)は、Splunk社のSpl…