SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

DOM Invader触ってみた

はじめに ゼルダの伝説 スカイウォードソード HDやりたくて仕事する気が起きない岩間です。女神転生Vも待ち遠し…。 今回は、先日リリースされたBurpの新機能であるDOM Invaderの紹介です! DOM Invaderは、Burp ProfessionalおよびCommunityの2021.7のバージ…

認可リクエストとアクセストークンリクエストのredirect_uri検証によって防げる脅威

はじめに こんにちは、脆弱性診断員の秋本です。 今回のブログもまたOAuthの話です。 先日、OAuth2.0の各必須パラメータについてまとめていたところ、アクセストークンリクエストでredirect_uriを検証する必要とは?について頭を抱えていました。 RFC6749に…

Google Chrome Developer Tools入門

はじめに こんにちは。この春からSSTに入社しました小野里です。これが2本目の記事になります。まだまだ書きなれないですが、何事も経験かなと考えチャレンジしていきたいと思います。 さて、今回はGoogle Chromeの開発者向け機能である「Google Chrome Deve…

Burp Suite Community Editionのインストール~Interceptまで

はじめに こんにちは。この春からSSTに入社致しました、小野里と申します。今回は新人研修の一環+古い記事のアップデートとして、Burp Suite Community Edition最新版(2021/06/02時点)のインストール~簡単な使い方について書きます。Ver1.6時代の記事はこ…

YouTube「SSTさくうぇぶチャンネル」 ~カフェ気分で1分Webセキュリティ動画~

はじめに こんにちは。技術開発部&研究開発部所属のかをるです。この春から入社5年目になりました。月日が経つのは早いなぁと感じています。 今回は、YouTube「SSTさくうぇぶチャンネル」より「サクッと1分Webセキュリティ」を紹介します。 「カフェのメニュ…

Wordpressのxdebug環境設定メモ

はじめに 最近、メトロイドヴァニア系のゲームにハマったのをきっかけにスーパーメトロイド(SFC)にも手を出して仕事する気が起きない岩間です。 一応クリアしましたが難し・・・。 今回は、Wordpressのデバッグ環境を整える機会があったのでブログにしてみま…

セキュリティ・キャンプの協賛企業になりました!

こんにちは。 人狼系ゲームで悪いことをしていないのに疑われがちなエンジニアのshigaです。 1月よりセキュアスカイ・テクノロジー(以下よりSST)はセキュリティ・キャンプの協賛企業になりました! セキュリティ・キャンプとは? 学生を対象としたセキュリ…

脆弱性診断用のアカウントが複数必要な理由

はじめに こんにちは。脆弱性診断員のYOSHIIです。 ログイン機能があるWebシステムを診断する際に、診断用のアカウントを複数ご提供いただけるようにお願いすることがあります。 「なぜアカウントが1つではダメなのか。複数アカウントで何をするのか。」 こ…

OAuth2.0におけるCSRFとは

はじめに こんにちは、診断員の秋本です! 最近、ダイワスカーレットのドヤ顔を見るためだけにウマ娘をプレイしてます。ゲームシステム全然わからん…。 皆さんは、RFC6749で定義されているOAuth2.0をご存じでしょうか。 OAuth2.0には実装不備によって生じて…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(後編)

こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。 docu…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(前編)

こんにちは!CTOのはせがわです。 今年1月に、ラムダノートさんから「Webブラウザセキュリティ」という本が出版されました。 Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する 米内貴志 著 224ページ A5判 ISBN:978-4-90868…

2020年のWebスキミング被害を振り返ってみる

こんにちは!ようやく一人前の脆弱性診断士になりつつある西尾です。 今回はタイトルの通り、2020年に公表されたWebスキミング被害を振り返ってみたいと思います。 Webスキミングとは、ECサイト(ネットショップ)の決済画面等を改ざんして不正なコードを仕…

ScutumAPIリリース記念 第三弾 CloudFrontログとScutumの防御ログを結合してみた。

はじめに こんにちは、研究開発の宇田川です。 過去2回と防御ログ(リスト)と防御ログ(詳細)についてAWSを使用した自動取得の方法をご紹介しました。 techblog.securesky-tech.com techblog.securesky-tech.com 今回は、CloudFrontのログとScutumの防御ログの…

Metasploitable3触ってみた

はじめに ドルフロの異性体イベントをストーリークリアしたので、これからランキング戦とドロ周回で大忙しなため仕事する気が起きない岩間です。ガンスリコラボで参入した新規さんついてこられるのか・・・? 今回は、業務検証で利用することになったMetaspl…

ScutumAPIリリース記念 第二弾 詳細な防御ログをAWSで自動取得してみた。

はじめに こんにちは、研究開発の宇田川です。 前回のブログでは、防御ログ(リスト)をAWSを使って自動取得する方法を公開させていただきました。 techblog.securesky-tech.com 第二弾は、AWSサービスを利用して詳細な防御ログの自動取得する方法を公開させ…

リモートでプレゼンテーションするのに最適なツールを作った

こんにちは!Webサイトの大穴を調査していてたまに遭遇する遺物にワクワクする、CTOのはせがわです! 今日は、オンラインでのプレゼンテーションに最適なスライド表示ソフトを自作したのでそれの紹介です。 オンラインでのスライド再生の悩み みなさん、オン…

インフラコードの品質&セキュリティチェックをしてみよう!

はじめに こんにちは、CISOの新井です。ここのところずっとリモートワークでの生活が続いているのですが、みなさんいかがお過ごしでしょうか?自分は出かけることが減った分、自宅で楽しめる幅を広げていけたらなと思っています。最近は、初めてチーズケーキ…

Hardening 2020 H3DX 参加レポート -羽鶴編-

序文 ご無沙汰しております。事業開発部の羽鶴です! 少しずつ気温も下がってきて、街路樹も色づき始めましたが、皆様、いかがお過ごしでしょうか? 私と言えば、最近は老後に山奥で猫と一緒にカフェをやりたいとか、そんな事ばかり考えています。 こんな感…

Hardening 2020 H3DX 参加レポート -岩間編-

はじめに 女神転生3 NOCTURNE HD REMASTERが発売されたので絶賛プレイ中で仕事する気になれない岩間です。天穂のサクナヒメも気になってます・・・。PS5?私は予約していないのでノーダメージです。 2020/11/12 ~ 2020/11/13で開催されたHardening 2020 H3DX…

ScutumAPIリリース記念!防御ログをAWSで自動取得してみた。

はじめに こんにちは、研究開発の宇田川です。 2020年11月2日にScutumのログを取得できるAPIがリリースされました! www.scutum.jp ScutumのログをSIEMへの取り込みや分析で使用したいと考えていた方々には待望のリリースなのではないでしょうか。 私自身も…

Oracle Java SE 8 Silver/Gold 受験体験記(坂本)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 7月から、社内エンジニア向けのJavaスキルアップサポートの一貫で、Oracle Java SE 8 Silver/Gold 資格に挑戦してました。 資格取得を通じてJavaの知識…

【CODEBLUE2020】虚偽情報は真実よりも魅力的か?:ソーシャルメディアにおける虚偽情報の拡散を低減する レポート

はじめに こんにちは!今年もこの季節がやってまいりましたね!事業開発部の清水です。 2020/10/29~10/30で開催されたCODEBLUE2020(https://codeblue.jp/2020)に参加したので、本日は10/29に実施された私的に一番興味深かったLACの鈴木悠さんによるセッシ…

SECCON 2020 Online Milk-Revenge Writeupの解説

CTF

はじめに (ゲームの中で)対馬が綺麗すぎて仕事する気になれない岩間です。女神転生3 NOCTURNE HD REMASTERも10/29発売するし、やばい仕事してられねぇ! さて、先日 10/10(土)から10/11(日)にかけてSECCON CTF 2020 Onlineが開催されてました。 私も個人で参…

今更ながらEmotetについて調べてみた

どうも!脆弱性診断士の西尾です! 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりない…

Burp 2020.7でpre-configured browserが実装されたから試してみた

はじめに 連休明けで仕事のやる気が起きない岩間です。 連休中はいかがお過ごしでしたか? 私は潮干狩りしていました。本当は対馬にも行きたかったんだけど予算が・・・。もちろんゲームの話です! さて、先日の記事でBurp 2020.6の機能紹介しましたが、程な…

Burp 2020.6でHTTP/2対応したから試してみた

はじめに リゼロ2期が7/13配信なので待ちわびて仕事のやる気が起きない岩間です。 (まぁ最近アニメ見れてないんですけどね。それよりもFactorioとかProject WinterとOvercookedとか協力プレイ系のゲームが楽しくてゲーム三昧で寝不足気味) Burp 2020.6からHT…

Java開発のお助けTIPS(2020年5月)

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets …

CSP(コンテンツセキュリティポリシー)について調べてみた

はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みまし…

Google MeetのWebカメラを加工してみよう!

ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話…

Go言語とGinに触ってみた

Go

はじめに Goのインストール Ginのインストール Webサーバを立ち上げてみる 解決策の調べ方 バージョンを上げる GOPATHの沼 Webサーバを立ち上げてみる(2回目) つまずきのまとめ おまけ Cookie 参考 おわりに はじめに はじめまして! セキュリティに強くな…