SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Hardening 2020 H3DX 参加レポート -羽鶴編-

序文 ご無沙汰しております。事業開発部の羽鶴です! 少しずつ気温も下がってきて、街路樹も色づき始めましたが、皆様、いかがお過ごしでしょうか? 私と言えば、最近は老後に山奥で猫と一緒にカフェをやりたいとか、そんな事ばかり考えています。 こんな感…

Hardening 2020 H3DX 参加レポート -岩間編-

はじめに 女神転生3 NOCTURNE HD REMASTERが発売されたので絶賛プレイ中で仕事する気になれない岩間です。天穂のサクナヒメも気になってます・・・。PS5?私は予約していないのでノーダメージです。 2020/11/12 ~ 2020/11/13で開催されたHardening 2020 H3DX…

ScutumAPIリリース記念!防御ログをAWSで自動取得してみた。

はじめに こんにちは、研究開発の宇田川です。 2020年11月2日にScutumのログを取得できるAPIがリリースされました! www.scutum.jp ScutumのログをSIEMへの取り込みや分析で使用したいと考えていた方々には待望のリリースなのではないでしょうか。 私自身も…

Oracle Java SE 8 Silver/Gold 受験体験記(坂本)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 7月から、社内エンジニア向けのJavaスキルアップサポートの一貫で、Oracle Java SE 8 Silver/Gold 資格に挑戦してました。 資格取得を通じてJavaの知識…

【CODEBLUE2020】虚偽情報は真実よりも魅力的か?:ソーシャルメディアにおける虚偽情報の拡散を低減する レポート

はじめに こんにちは!今年もこの季節がやってまいりましたね!事業開発部の清水です。 2020/10/29~10/30で開催されたCODEBLUE2020(https://codeblue.jp/2020)に参加したので、本日は10/29に実施された私的に一番興味深かったLACの鈴木悠さんによるセッシ…

SECCON 2020 Online Milk-Revenge Writeupの解説

CTF

はじめに (ゲームの中で)対馬が綺麗すぎて仕事する気になれない岩間です。女神転生3 NOCTURNE HD REMASTERも10/29発売するし、やばい仕事してられねぇ! さて、先日 10/10(土)から10/11(日)にかけてSECCON CTF 2020 Onlineが開催されてました。 私も個人で参…

今更ながらEmotetについて調べてみた

どうも!脆弱性診断士の西尾です! 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりない…

Burp 2020.7でpre-configured browserが実装されたから試してみた

はじめに 連休明けで仕事のやる気が起きない岩間です。 連休中はいかがお過ごしでしたか? 私は潮干狩りしていました。本当は対馬にも行きたかったんだけど予算が・・・。もちろんゲームの話です! さて、先日の記事でBurp 2020.6の機能紹介しましたが、程な…

Burp 2020.6でHTTP/2対応したから試してみた

はじめに リゼロ2期が7/13配信なので待ちわびて仕事のやる気が起きない岩間です。 (まぁ最近アニメ見れてないんですけどね。それよりもFactorioとかProject WinterとOvercookedとか協力プレイ系のゲームが楽しくてゲーム三昧で寝不足気味) Burp 2020.6からHT…

Java開発のお助けTIPS(2020年5月)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets …

CSP(コンテンツセキュリティポリシー)について調べてみた

はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みまし…

Google MeetのWebカメラを加工してみよう!

ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話…

Go言語とGinに触ってみた

Go

はじめに Goのインストール Ginのインストール Webサーバを立ち上げてみる 解決策の調べ方 バージョンを上げる GOPATHの沼 Webサーバを立ち上げてみる(2回目) つまずきのまとめ おまけ Cookie 参考 おわりに はじめに はじめまして! セキュリティに強くな…

脆弱性診断の前に知っておきたい!~リクエストとは~

福岡ラボのくろきです。今回は、SSTのWebサイトの脆弱性診断(以下、脆弱性診断)の際に重要となる、診断対象の単位についてお伝えしたいと思います。 はじめに この記事は、初めて脆弱性診断をご検討される方向けのものです。 そもそも脆弱性診断はどのよう…

Stored(蓄積型)-XSSの危険性

はじめに 目的 解説 予備知識① XSSについて 予備知識② セッション管理について 本題 (Stored(蓄積型)-XSSについて) 対策 根本的な対策 副次的な対策 まとめ はじめに 初めまして。2019年度入社のTです。 SSTにエンジニアとして入社して1年が経ち、私も新卒の…

VPN接続に合わせて自動で壁紙を変更しよう!

こんにちは! イドの中でカエルちゃんサーバーが侵略された原因を探す俺の名前は名ハッカー長谷井戸…じゃなくってCTOの長谷川です! みなさんの周りでも、新型コロナウイルスへの感染予防から急激に在宅勤務が増えているかと思います。慣れないリモートから…

新入社員を迎えて

こんにちは、CTOのはせがわです。 創立14周年のSSTでは、今年も新入社員を2名迎えることができました。 www.facebook.com 当初予定していた東京本社での入社式とそれに続く数日間の研修は中止し、最少人数のみ福岡ラボで、それ以外のメンバー(私も含む)は…

静的サイトとセキュリティ

こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います…

とくめいチャット

こんにちは!寝ぐせを指摘されたので「寝ぐせではなく阿良々木くんの真似ですよ」って誤魔化したけど、ぜんぜん話が通じなくて悲しいCTOのはせがわです。 社内Slackの心理的安全性を高めるため匿名で投稿できるチャンネルを作ったよという記事が昨年話題にな…

Spring Fest '19 参加レポート

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 2019-12-18 (水) に御茶ノ水ソラシティで開催された Spring Fest '19 に参加してきましたので、聴講したセッションの感想や講演資料のリンクなどをまと…

MINI Hardening Project #3.5参加レポート

序文 お久しぶりです。猫を飼いたい気持ちが強すぎて、社内Slackにほぼ毎日、無言で猫画像をうpしている羽鶴です。 今回は 12/14(土)にMINI Hardeningというイベントに弊社の岩間と鈴木 (大) の3人で参加してきましたので、そのレポートになります。 mini…

EC-CUBE2系サイトはWeb改ざんに注意

こんにちは!脆弱性診断を絶賛修行中の西尾です! 今回は前回の記事に関連して、最近国内でWebスキミング被害(クレカ情報の漏えい)にあったECサイトについて、その傾向を調査したので、結果を書いていきます。 結論から述べますと、直近でWeb改ざんによっ…

Google Titan 使ってみた

はじめに こんにちは。事業開発部のにしむらです。システム&セキュリティチーム(兼任)でSST内のコンシェルジュを目指しています。 2回目のエンジニアブログ投稿は「Google Titan 使ってみた」です。 ところで、食欲の秋ですね。当初このブログは10月に投…

「CODE BLUE 2019」参加レポート後編 ”カンファレンス全部ホットでした!”

はじめに こんにちは、かをるです。 一週間前の先月10月29・30日、情報セキュリティ国際会議CODE BLUE 2019(https://codeblue.jp/2019/)に参加していました。 とてもホットだったCODE BLUE 2019のわたし的参加レポート、2本立ての後編では、カンファレンス…

「CODE BLUE 2019」参加レポート前編 ”ソフトウェアサプライチェーンの透明性: SBOMの実現”

はじめに こんにちは、かをるです。 一週間前の先月10月29・30日、情報セキュリティ国際会議CODE BLUE 2019(https://codeblue.jp/2019/)に参加していました。 今年の会場はハロウィンでなにかと話題の渋谷です。 とてもホットだったCODE BLUE 2019のわたし…

【CODEBLUE2019】初参加レポート"私の挑戦"

はじめに こんにちは!事業開発部の清水です。 今週2019/11/29(火)~30(水)で開催された世界トップクラスの専門家による情報セキュリティ国際会議「CODE BLUE(コードブルー)」に初めて参加してきました。 本日は初参加するにあたって、挑戦したこと、またそ…

【CODEBLUE2019】[NTTコミュニケーションズ株式会社]クレデンシャルスタッフィング攻撃者の事情 レポート

はじめに おはようございます!事業開発部の清水です。 以前から楽しみにしていたCODEBLUE2019(https://codeblue.jp/2019)に参加しています。 本日は昨日実施された以下セッションについてレポートしたいと思います。 セッション内容 公開されているセッシ…

「CODE BLUE 2019」をたのしみたい!わたし的準備レポート。

はじめに こんにちは、かをるです。 いよいよ10月29日、30日はCODEBLUE2019(https://codeblue.jp/2019/)ですね、とてもたのしみです! 今回は2年ぶり2度目の参加となります。初めての参加は2017年*1、 CODE BLUEの時期はいよいよ業務研修(OJT)が本格化する…

PacketProxyを触ってみました

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通…

脆弱性診断における「ロール」を考慮したアカウントや「データ」の準備について

はじめに こんにちは。脆弱性診断の業務に携わっています、かをるです。 今回はタイトルの通り、脆弱性診断における「ロール」と「データ」を考慮した準備について記事を書きました。 読んでいただけると、以下について知ることができます。 脆弱性診断依頼…