SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

Hardening II SU 参加レポート

はじめに (サーバを)殺してみろッ!俺は不死身の岩間だ!!! いせカルを機に、リゼロ見たらレムが可愛すぎて仕事のやる気が起きない岩間です。脳が震えるっ! さて、冒頭の元ネタをご存知でしょうか?・・・そう!ゴールデンカムイです! アニメ3期製作決定…

カジュアルなサイバー攻撃を体験?Mini Hardeningに参加してきました

はじめに こんにちは!異世界カルテットの転校生が誰だか気になってあまり仕事のやる気が出ない岩間です。 今回は、6/30に開催されたMini Hardeningのイベントレポートになります! 競技内容については非公開のため、残念ながら細かく書くことができませんが…

ひとりだけ○○で開発合宿に参加しました

こんにちは。 脆弱性診断の業務に携わっている、かをるです。 先の6月13日、14日に、人生で初めて開発合宿というものに参加してきました。 場所は兵庫県神戸市の有馬温泉。お天気にも恵まれた合宿スタートになりました。 有馬温泉1 有馬温泉2 ブログ本題の前…

合同開発合宿に参加してきました

はじめに こんにちは!ダイエット目的で全集中の呼吸を練習し始めたところ、疲れてあまり仕事する気になれない岩間です。プルスウルトラァ! さて、6/13(木)から6/14(金)にかけて神戸へSST初の開発合宿へ行って参りました。 駅の前は都市!裏は山!綺麗に分…

非エンジニアから脆弱性診断員になった人の話

はじめに はじめまして、Webアプリケーションの脆弱性診断をしている大二郎です。 私は2017年から先述の診断員として働き始めました。それまでは、診断サービスに関するスケジュールなどの案件調整を主な業務として担当しており、SST社内で非エンジニアから…

Inside IT #2 開催報告

序文 ご無沙汰しております。事あるごとに口内炎ができまくる口内炎系男子の羽鶴です。 気付けば、前回の投稿から一年近くが経過していました。 今回は4月の中旬に熊本で開催した「Inside IT #2」という勉強会の事後報告(宣伝)と 私個人が考えている IT …

【Slack】自作執事botの紹介

どうも!社会人2年目になったばかりの西尾です! SSTに入社して早くも1年が経ちましたが、初体験ばかりでとても濃い1年だった気がします。 そしてもう自分が先輩になるとは早すぎる…。笑 さて、今回は新入社員研修の一環として開発した Slackの執事bot につ…

技術書典6に行ってきました!

はじめに こんにちは、かぐや様にどうやって告白しようか考えすぎてあまり仕事する気になれない新米バグハンターの岩間です。 4/14に開催された技術書典6に行ってきました! どーん! 以前から知人の話やTwitterなどで話題に上がっていたので、イベント自体…

IFTTT(イフト)の紹介と……

はじめに こんにちは。事業開発部のにしむらです。システム&セキュリティチーム(現在は兼任)でSST内のコンシェルジュを目指しています。今回エンジニアブログには初投稿です。 ところで、さきほど新元号「令和」が発表されました。みなさん、どう感じまし…

SST式サーバレスハニーポット始動!

はじめに こんにちは、宇田川です。 SSTは1月に期が変わり、私は今期から研究開発部に注力することになりました。 より『クラウド×セキュリティ』の内容にフォーカスし、SST独自の情報を発信していきます。 その第1弾として、弊社で運用を開始したサーバレス…

IntelliJ IDEAを使ってみた

はじめに こんにちは、Flab勤務の宋です。 皆さんは開発する時にどんなエディターやIDEを使用していますか。 今まで自分はVS codeでプログラムを書いていました。 最近Scalaを勉強する機会があり、IntelliJ IDEAを使い始めた次第です。 というわけで今回はIn…

FiddlerScript ちょっと使ってみた

はじめまして! 百田と申します。普段は脆弱性診断を業務としています。 突然ですが、皆さんは普段 ローカルプロキシ 何を使っていますか? 私は Burp Suite を使っています。お恥ずかしながら、その他のローカルプロキシツールはほとんど使ったことがありま…

社内で使われているSlackの人気絵文字を調査してみた

新年、明けましておめでとうございます! Slack大好きエンジニアの西尾です! ところで皆さん、Slack 使ってますか? 弊社では積極的にSlackを活用していて、業務上のやり取りのほかに、カスタム絵文字が毎日のように作られたり、様々なbotが開発されていま…

Server-Sent Events でチャットアプリを作ってみた (Spring Boot 2.x系 x Spring MVC x Akka Actor)

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 先日 "Server-Sent Events" という仕様に触れる機会があり、勉強として簡単なチャットアプリをSpring Boot 2.x系 x Spring MVC x Akka Actorの組み合わせで作ってみましたのでその紹介と…

「Cloud OnBoard」のセミナーに参加してきました。

はじめに お疲れ様です。福岡オフィスで働いている大里です。 先日の12/12日に行われた、「Cloud OnBoard」のセミナーに参加してきました。 この「Cloud OnBoard」は、Googleのクラウドである「Google Cloud Platform」(以下、GCP)という開発者向けサービ…

技術系の洋書をたらふく読もう!

事業開発部と研究開発部に属している宇田川です。 最初に言っておきます。今回はAWS WAFの記事ではないですよ~ 今回は私の読書について、お伝えいたします~ SSTでは過去2つの読書記事があります。 第1弾 blog.securesky-tech.com 第2弾 techblog.securesk…

SecurityJAWSのその先。AWS WAFのログ解析基盤の料金を算出してみた。

はじめに 事業開発部と研究開発部に属している宇田川です。 2018/11/08に開催されたSecurity-JAWSで質問がありましたAWS WAFのログ解析基盤の料金を算出してみました。 ちなみに、AWS WAFのログ解析基盤はこのような構成です。 で、構築内容は下記を見ていた…

フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。~ログ保存編~

はじめに 事業開発部と研究開発部に属している宇田川です。 今回の内容は、11/08に開催のSecurity-JAWSで登壇させていただたいた内容の構築方法を紹介させていただきます。 書き進めるうちに長くなってしまったので、今回の「ログ保存編」と「見える化編」に…

フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。~見える化編~

はじめに 事業開発部と研究開発部に属している宇田川です。 今回の内容は、「フルログのその先。腑に落ちるAWS WAFログ解析基盤を構築してみた。~ログ保存編~」の続編となりますので、ご覧になっていない方は、ログ保存編から読み進めてください。 Glueで…

CODE BLUE 2018 『CoinMinerはあいまい』の聴講レポート

はじめに こんにちは!新卒エンジニアの西尾です。 先日のCODE BLUE 2018に参加して、個人的に一番内容が理解できて興味があった『CoinMinerはあいまい』というセッションの聴講レポートを書いていきます。 CODE BLUE全体の参加レポートはこちらの記事になり…

「CODE BLUE 2018」参加レポート(岩間編)

こんにちは、スプラトゥーン2のやりすぎでJoyConが壊れてあまり仕事する気になれないウデマエ A+程度の岩間です。 はじめに 11月1日, 2日にかけて CODE BLUE 2018 に参加してきました。 どのセッションも各方面のスペシャリストによる講演で非常に濃密な内容…

SECCON 2018 Online GhostKingdom Writeup

CTF

七つの鍵を持て開け地獄の門!(ハッピー)ハーロ・イーン! こんにちは、SSSS.GRIDMANの六花ちゃんが可愛くてあまり仕事する気になれない脆弱性診断士の岩間です。 先日10/27(土)15:00から10/28(日)15:00にかけてSECCON CTF 2018 Onlineが開催されておりまし…

Node.jsにおけるprototype汚染攻撃への対策

はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 jovi0608.hatenablog.com どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹…

2018年度前半のプラットフォーム診断結果を振り返ってみました

こんにちは、診断業務全般を担当しているイデです。 脆弱性診断ライフ楽しんでいますか? 気づけばもう2018年も既に10月下旬、今年ももうすぐ終わりますね^^ まだだ、まだ今年は終わらんよ!!!、俺たちの2018年度はこれからやで!という声も後ろのほうか…

「先端情報システム工学特論Ⅱ」ー山口大学大学院の講義を担当しました

はじめに こんにちは。技術開発部のかをるです。 つい先日の10月5日(金)に、山口大学大学院 創成科学研究科 電気電子情報系専攻 にて開講されている「先端情報システム工学特論Ⅱ」の講義を担当しました。 この講義は、情報システム工学に関するの先端的な…

積読を消化する技術

こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 弊社塙が先日公開した記事 読まずに読む!?私の読書法 - SSTバックヤード に触発され、IT技術者として「積読」をどう消化するのか、自分なりの心構えと実践例を紹介したいと思います。 …

「HTTP/2ことはじめ」ー九州セキュリティカンファレンス2018にて登壇しました

はじめに こんにちは。技術開発部のヘルシーエンジニアな岩間と、ミーハーなかをるです。 先日、弊社が支援するセキュリティコミュニティのひとつである九州学生エンジニア連合主催の九州セキュリティカンファレンスに、参加、登壇してきましたので報告しま…

仮想通貨マイニングを悪用した攻撃の事例紹介

こんにちは!新卒エンジニアの西尾です。 今回、学生時代の研究の延長線上として、仮想通貨を不正マイニングする攻撃を調査・解析してみたので、その解析結果と併せて不正マイニングの事例紹介を書いていきます。 セキュリティ系のエンジニアや研究者の方の…

AWS WAFとLambda@edgeで理想のフルログはできるのか

はじめに はじめまして、事業開発部と研究開発部に属している宇田川です。 AWS関連の新機能や新サービスに都度都度熱狂しておりますが、最近もっとも熱狂したニュースはこちら。 AWS WAF の包括的なログ記録機能が新たに利用可能に 早速、調査! だが、しか…

Coinhive利用サイトを探してみた

こんにちは!新卒エンジニアの西尾です。 まさか入社して5ヶ月で技術的なブログを書かされるとは思いませんでしたが……頑張って書いていきます。 ※なお、本記事の内容は個人の見解であり、所属組織を代表するものではありません。 はじめに Coinhiveとは 調査…