SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(後編)

こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。 docu…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(前編)

こんにちは!CTOのはせがわです。 今年1月に、ラムダノートさんから「Webブラウザセキュリティ」という本が出版されました。 Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する 米内貴志 著 224ページ A5判 ISBN:978-4-90868…

2020年のWebスキミング被害を振り返ってみる

こんにちは!ようやく一人前の脆弱性診断士になりつつある西尾です。 今回はタイトルの通り、2020年に公表されたWebスキミング被害を振り返ってみたいと思います。 Webスキミングとは、ECサイト(ネットショップ)の決済画面等を改ざんして不正なコードを仕…

ScutumAPIリリース記念 第三弾 CloudFrontログとScutumの防御ログを結合してみた。

はじめに こんにちは、研究開発の宇田川です。 過去2回と防御ログ(リスト)と防御ログ(詳細)についてAWSを使用した自動取得の方法をご紹介しました。 techblog.securesky-tech.com techblog.securesky-tech.com 今回は、CloudFrontのログとScutumの防御ログの…

Metasploitable3触ってみた

はじめに ドルフロの異性体イベントをストーリークリアしたので、これからランキング戦とドロ周回で大忙しなため仕事する気が起きない岩間です。ガンスリコラボで参入した新規さんついてこられるのか・・・? 今回は、業務検証で利用することになったMetaspl…

ScutumAPIリリース記念 第二弾 詳細な防御ログをAWSで自動取得してみた。

はじめに こんにちは、研究開発の宇田川です。 前回のブログでは、防御ログ(リスト)をAWSを使って自動取得する方法を公開させていただきました。 techblog.securesky-tech.com 第二弾は、AWSサービスを利用して詳細な防御ログの自動取得する方法を公開させ…

リモートでプレゼンテーションするのに最適なツールを作った

こんにちは!Webサイトの大穴を調査していてたまに遭遇する遺物にワクワクする、CTOのはせがわです! 今日は、オンラインでのプレゼンテーションに最適なスライド表示ソフトを自作したのでそれの紹介です。 オンラインでのスライド再生の悩み みなさん、オン…

インフラコードの品質&セキュリティチェックをしてみよう!

はじめに こんにちは、CISOの新井です。ここのところずっとリモートワークでの生活が続いているのですが、みなさんいかがお過ごしでしょうか?自分は出かけることが減った分、自宅で楽しめる幅を広げていけたらなと思っています。最近は、初めてチーズケーキ…

Hardening 2020 H3DX 参加レポート -羽鶴編-

序文 ご無沙汰しております。事業開発部の羽鶴です! 少しずつ気温も下がってきて、街路樹も色づき始めましたが、皆様、いかがお過ごしでしょうか? 私と言えば、最近は老後に山奥で猫と一緒にカフェをやりたいとか、そんな事ばかり考えています。 こんな感…

Hardening 2020 H3DX 参加レポート -岩間編-

はじめに 女神転生3 NOCTURNE HD REMASTERが発売されたので絶賛プレイ中で仕事する気になれない岩間です。天穂のサクナヒメも気になってます・・・。PS5?私は予約していないのでノーダメージです。 2020/11/12 ~ 2020/11/13で開催されたHardening 2020 H3DX…

ScutumAPIリリース記念!防御ログをAWSで自動取得してみた。

はじめに こんにちは、研究開発の宇田川です。 2020年11月2日にScutumのログを取得できるAPIがリリースされました! www.scutum.jp ScutumのログをSIEMへの取り込みや分析で使用したいと考えていた方々には待望のリリースなのではないでしょうか。 私自身も…

Oracle Java SE 8 Silver/Gold 受験体験記(坂本)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 7月から、社内エンジニア向けのJavaスキルアップサポートの一貫で、Oracle Java SE 8 Silver/Gold 資格に挑戦してました。 資格取得を通じてJavaの知識…

【CODEBLUE2020】虚偽情報は真実よりも魅力的か?:ソーシャルメディアにおける虚偽情報の拡散を低減する レポート

はじめに こんにちは!今年もこの季節がやってまいりましたね!事業開発部の清水です。 2020/10/29~10/30で開催されたCODEBLUE2020(https://codeblue.jp/2020)に参加したので、本日は10/29に実施された私的に一番興味深かったLACの鈴木悠さんによるセッシ…

SECCON 2020 Online Milk-Revenge Writeupの解説

CTF

はじめに (ゲームの中で)対馬が綺麗すぎて仕事する気になれない岩間です。女神転生3 NOCTURNE HD REMASTERも10/29発売するし、やばい仕事してられねぇ! さて、先日 10/10(土)から10/11(日)にかけてSECCON CTF 2020 Onlineが開催されてました。 私も個人で参…

今更ながらEmotetについて調べてみた

どうも!脆弱性診断士の西尾です! 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりない…

Burp 2020.7でpre-configured browserが実装されたから試してみた

はじめに 連休明けで仕事のやる気が起きない岩間です。 連休中はいかがお過ごしでしたか? 私は潮干狩りしていました。本当は対馬にも行きたかったんだけど予算が・・・。もちろんゲームの話です! さて、先日の記事でBurp 2020.6の機能紹介しましたが、程な…

Burp 2020.6でHTTP/2対応したから試してみた

はじめに リゼロ2期が7/13配信なので待ちわびて仕事のやる気が起きない岩間です。 (まぁ最近アニメ見れてないんですけどね。それよりもFactorioとかProject WinterとOvercookedとか協力プレイ系のゲームが楽しくてゲーム三昧で寝不足気味) Burp 2020.6からHT…

Java開発のお助けTIPS(2020年5月)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets …

CSP(コンテンツセキュリティポリシー)について調べてみた

はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みまし…

Google MeetのWebカメラを加工してみよう!

ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話…

Go言語とGinに触ってみた

Go

はじめに Goのインストール Ginのインストール Webサーバを立ち上げてみる 解決策の調べ方 バージョンを上げる GOPATHの沼 Webサーバを立ち上げてみる(2回目) つまずきのまとめ おまけ Cookie 参考 おわりに はじめに はじめまして! セキュリティに強くな…

脆弱性診断の前に知っておきたい!~リクエストとは~

福岡ラボのくろきです。今回は、SSTのWebサイトの脆弱性診断(以下、脆弱性診断)の際に重要となる、診断対象の単位についてお伝えしたいと思います。 はじめに この記事は、初めて脆弱性診断をご検討される方向けのものです。 そもそも脆弱性診断はどのよう…

Stored(蓄積型)-XSSの危険性

はじめに 目的 解説 予備知識① XSSについて 予備知識② セッション管理について 本題 (Stored(蓄積型)-XSSについて) 対策 根本的な対策 副次的な対策 まとめ はじめに 初めまして。2019年度入社のTです。 SSTにエンジニアとして入社して1年が経ち、私も新卒の…

VPN接続に合わせて自動で壁紙を変更しよう!

こんにちは! イドの中でカエルちゃんサーバーが侵略された原因を探す俺の名前は名ハッカー長谷井戸…じゃなくってCTOの長谷川です! みなさんの周りでも、新型コロナウイルスへの感染予防から急激に在宅勤務が増えているかと思います。慣れないリモートから…

新入社員を迎えて

こんにちは、CTOのはせがわです。 創立14周年のSSTでは、今年も新入社員を2名迎えることができました。 www.facebook.com 当初予定していた東京本社での入社式とそれに続く数日間の研修は中止し、最少人数のみ福岡ラボで、それ以外のメンバー(私も含む)は…

静的サイトとセキュリティ

こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います…

とくめいチャット

こんにちは!寝ぐせを指摘されたので「寝ぐせではなく阿良々木くんの真似ですよ」って誤魔化したけど、ぜんぜん話が通じなくて悲しいCTOのはせがわです。 社内Slackの心理的安全性を高めるため匿名で投稿できるチャンネルを作ったよという記事が昨年話題にな…

Spring Fest '19 参加レポート

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 2019-12-18 (水) に御茶ノ水ソラシティで開催された Spring Fest '19 に参加してきましたので、聴講したセッションの感想や講演資料のリンクなどをまと…

MINI Hardening Project #3.5参加レポート

序文 お久しぶりです。猫を飼いたい気持ちが強すぎて、社内Slackにほぼ毎日、無言で猫画像をうpしている羽鶴です。 今回は 12/14(土)にMINI Hardeningというイベントに弊社の岩間と鈴木 (大) の3人で参加してきましたので、そのレポートになります。 mini…

EC-CUBE2系サイトはWeb改ざんに注意

こんにちは!脆弱性診断を絶賛修行中の西尾です! 今回は前回の記事に関連して、最近国内でWebスキミング被害(クレカ情報の漏えい)にあったECサイトについて、その傾向を調査したので、結果を書いていきます。 結論から述べますと、直近でWeb改ざんによっ…