はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…
8/18追記 2023.9.1安定版リリースで、2023.8のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
はじめに ラムラーナ2の遺跡探索が楽しすぎて仕事のやる気が起きない岩間です。 前回は、SlackのSocket ModeでGPTのSlackbotを動かしましたが、Socket Modeだと常駐が難しいです。今回は常駐させるためにAWSのLambdaを使ったプログラムに変えたいと思います…
初めに 今年の4月に新卒で入社したid:aaaaaaaaaaaaaaaaaaaaxです。 新卒研修の「脆弱性の理解」の研修のまとめとして、この研修について振り返りを書きました。 初めに 研修について これまでの研修について 今回の研修の目標 今回の研修の内容 振り返り 「…
はじめに 風来のシレン5+の追加ダンジョン「原始に続く穴」が打開できなくて、仕事のやる気が起きない岩間です。TotK?コログ以外やりこんだよ。 前回、OpenAIのAPIを使って、プログラム上でGPTを呼び出すことができました。 techblog.securesky-tech.com タ…
はじめに TotKのやりすぎで仕事のやる気が起きない岩間です。 今回は、唐突にchatGPTと触れ合いたくなったので、openAIのAPIを使ってPythonプログラム上でchatGPTさんとお喋りしよう!というのものです。 ところでみなさんはchatGPTをご存じでしょうか?かな…
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 Docker Compose を使うときのメモです。 例としてシンプルな web + db 構成を考えます。 docker 公式のサンプル1としてこんな docker-compose.yml が掲…
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Dockerコンテナのinbound/outbound通信をiptablesで制限する方法について調べたので、簡単に紹介していきたいと思います。 動機としてはタイトル…
はじめに こんにちは、CTOのはせがわです! PortSwigger社のブログ記事「Exploiting XSS in hidden inputs and meta tags | PortSwigger Research」おもしろいですね。 Chromeなどのブラウザーに新しく実装されたポップアップを表示させるための機能であるポ…
7/26追記 2023.6.2安定版リリースで、2023.7のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
7/10追記 2023.6.2安定版リリースで、2023.6のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
はじめに 本記事は、Burp Suite 2023.5のアーリーアダプター版リリースで追加された Burp Organizer の紹介記事になります。 原文をご確認されたい方は、公式のリリースノートをご覧ください。 portswigger.net 機能紹介 Organizerは、HTTPメッセージのエビ…
6/6追記 2023.5.2安定版リリースで、2023.5のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使…
5/16追記 2023.4.3安定版リリースで、2023.4のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
目次 前提知識 導入 脆弱性の概要 脆弱性の例 前提知識 マイクロサービス アーキテクチャ[1] マイクロサービス アーキテクチャ(多くの場合、マイクロサービスと略される)は、アプリケーション開発におけるアーキテクチャ スタイルの一つです。マイクロサー…
ゼルダの伝説新作が待ち遠しくて仕事のやる気が起きない岩間です。 AWSの侵入テストのドキュメントを見ていたら、色々と変更されているではありませんか。 aws.amazon.com 調べてみたところ、2023/1/8 ~ 2023/1/15の間で更新があったようです。 変更箇所をそ…
はじめに 本記事は、Burp Suite 2023.3のアーリーアダプター版リリースで追加された Collaborator payloads in Intruder attacks の紹介記事になります。 原文をご確認されたい方は、公式のリリースノートをご覧ください。 portswigger.net ※ 注意: Burp Sui…
4/17追記 2023.3.2安定版リリースで、2023.3のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
無限に広がる青い空!セキュアスカイ!CTOはせがわです! 最近ようやくオンサイトでの登壇も増えてきたのですが、この数年すっかりオンライン慣れしすぎてしまって、いざオンサイトで登壇となると色々勘所が鈍ってしまったと感じることも少なくありません。…
はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…
3/27追記 2023.2.3安定版リリースで、2023.2のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
2/10追記 2023.1.2安定版リリースで、2023.1のアーリーアダプターの内容が取り込まれたため、本記事も安定版に書き換えております。 はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを…
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 本記事では Android で burp などMITM型*1 のProxyを設定する方法と、Android版 Chrome 99 以上で発生する NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRE…
はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…
はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…
はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見…
はじめに こんにちは。SSTで診断員をやっている秋本です。 約3年ほどWebアプリケーションの脆弱性診断業務に従事しています。 そろそろ他のレイヤのスキルも身に着けたいなと思い、最近、会社のお金でHTB Academyという学習サービスを始めました。 今回のブ…
どうも!脆弱性診断士の西尾です! 2020年に引き続き、2021年もWebスキミングの国内の被害状況について振り返っていきたいと思います。 本当は1月に書きたかったのですが、本業が忙しく気づけば4月になってしまいました… ちなみに前回の記事はこちら↓ techbl…
はじめに こんにちは。SST研究開発部の小野里です。いよいよ入社2年目になってしまい、新入社員特権でチヤホヤされる時期も終わってしまったので戦々恐々としています。 さて、私はつい先日まで2021年度新卒研修最後の課題として、Log4ShellのPoCを作って動…