SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

inert属性の指定されたHTML要素でもイベントを発火させたい!

XSS

はじめに こんにちは、CTOのはせがわです! PortSwigger社のブログ記事「Exploiting XSS in hidden inputs and meta tags | PortSwigger Research」おもしろいですね。 Chromeなどのブラウザーに新しく実装されたポップアップを表示させるための機能であるポ…

オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った

無限に広がる青い空!セキュアスカイ!CTOはせがわです! 最近ようやくオンサイトでの登壇も増えてきたのですが、この数年すっかりオンライン慣れしすぎてしまって、いざオンサイトで登壇となると色々勘所が鈍ってしまったと感じることも少なくありません。…

XSSの脅威を考察する

はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的に…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(後編)

こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。 docu…

書籍「Webブラウザセキュリティ」発刊記念 著者&レビュアー対談(前編)

こんにちは!CTOのはせがわです。 今年1月に、ラムダノートさんから「Webブラウザセキュリティ」という本が出版されました。 Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する 米内貴志 著 224ページ A5判 ISBN:978-4-90868…

リモートでプレゼンテーションするのに最適なツールを作った

こんにちは!Webサイトの大穴を調査していてたまに遭遇する遺物にワクワクする、CTOのはせがわです! 今日は、オンラインでのプレゼンテーションに最適なスライド表示ソフトを自作したのでそれの紹介です。 オンラインでのスライド再生の悩み みなさん、オン…

Google MeetのWebカメラを加工してみよう!

ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話…

VPN接続に合わせて自動で壁紙を変更しよう!

こんにちは! イドの中でカエルちゃんサーバーが侵略された原因を探す俺の名前は名ハッカー長谷井戸…じゃなくってCTOの長谷川です! みなさんの周りでも、新型コロナウイルスへの感染予防から急激に在宅勤務が増えているかと思います。慣れないリモートから…

新入社員を迎えて

こんにちは、CTOのはせがわです。 創立14周年のSSTでは、今年も新入社員を2名迎えることができました。 www.facebook.com 当初予定していた東京本社での入社式とそれに続く数日間の研修は中止し、最少人数のみ福岡ラボで、それ以外のメンバー(私も含む)は…

とくめいチャット

こんにちは!寝ぐせを指摘されたので「寝ぐせではなく阿良々木くんの真似ですよ」って誤魔化したけど、ぜんぜん話が通じなくて悲しいCTOのはせがわです。 社内Slackの心理的安全性を高めるため匿名で投稿できるチャンネルを作ったよという記事が昨年話題にな…

技術書典7に向けてみんなで本を書きました

こんにちは、CTOの長谷川です。 会社のメンバーと一緒に技術書典7にサークル参加しようとみんなで本を書きましたので、その紹介です。 技術書典って? 技術書典は、技術書にフォーカスした技術普及と共有のためのイベントで、多くのエンジニアが自分たち自身…

「セキュリティ専門家からみた認証における課題と不正アクセス対策 」セミナーレポート

こんにちは、取締役CTOのはせがわようすけです。 急増するパスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)による不正アクセスへの対策や認証における課題について、理解を深めるための「今聞きたいセキュリティ緊急セミナー」を8月27日と9月4日…

Node.jsにおけるprototype汚染攻撃への対策

はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 jovi0608.hatenablog.com どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹…

「我々はAWS WAFを研究している」宣言

こんにちは、CTOのはせがわです。 本日、AWSさんのセミナーにて、下記内容の発表を弊社宇田川が行いました。 このところ、多くのお客様から「実際、AWS WAFってどれくらい攻撃を防げるんですか?」「AWS WAFの構築、もう少し簡単にできませんか?」「AWS WAF…

FiddlerScriptでスマホアプリの診断を支援

こんにちは。CTOのはせがわです。 弊社では、スマートフォン向けのアプリケーションについても通常のWebアプリケーション同様にバックエンドのWebサーバーに対しての診断を行なっています。ただ、スマホアプリはブラウザーと同じくHTTPで通信しているとは言…