SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

セキュリティ全般

AWS侵入テストのドキュメントが更新されているので確認する

ゼルダの伝説新作が待ち遠しくて仕事のやる気が起きない岩間です。 AWSの侵入テストのドキュメントを見ていたら、色々と変更されているではありませんか。 aws.amazon.com 調べてみたところ、2023/1/8 ~ 2023/1/15の間で更新があったようです。 変更箇所をそ…

HTB Academyはじめてみた

はじめに こんにちは。SSTで診断員をやっている秋本です。 約3年ほどWebアプリケーションの脆弱性診断業務に従事しています。 そろそろ他のレイヤのスキルも身に着けたいなと思い、最近、会社のお金でHTB Academyという学習サービスを始めました。 今回のブ…

Boss of the SOC 参加レポート

はじめに 女神転生Vで最初のヒュドラにボコボコにされて仕事のやる気がおきない岩間です。 今回は、2021/11/19に行われたBoss of the SOC v4.1 Japanの参加レポートになります。 Boss of the SOC v4.1 Japanについて Boss of the SOC(BOTS)は、Splunk社のSpl…

「CODE BLUE 2021」参加レポート(岩間編)

はじめに メトロイドヴァニアとBABAisYOUが楽しすぎて仕事する気が起きない岩間です。 10/19-20で開催されていたCODE BLUE 2021にオンラインで参加してきました。 私が聴講したセッションについて、簡単にですがレポートしたいと思います! はじめに 「サイ…

LocalStackにServerlessGoatを構築した話

はじめに こんにちは、研究開発部の宇田川です。 今月末に開かれるセミナーで脆弱性体験アプリケーションのServerlessGoatを題材にチームメンバーが登壇するのですが、その準備で行ったLocalStack上にServerlessGoatを構築した内容を紹介します。 背景 クラ…

Burp Suite Certified Practitioner紹介

はじめに ゼルダの伝説 スカイウォードソード HD楽しすぎて仕事する気がおきない岩間です。マダス...マダス... 先日、Burpを開発している会社Port Swigger社が新しい資格「Burp Suite Certified Practitioner」をリリースしました。 portswigger.net portswi…

YouTube「SSTさくうぇぶチャンネル」 ~カフェ気分で1分Webセキュリティ動画~

はじめに こんにちは。技術開発部&研究開発部所属のかをるです。この春から入社5年目になりました。月日が経つのは早いなぁと感じています。 今回は、YouTube「SSTさくうぇぶチャンネル」より「サクッと1分Webセキュリティ」を紹介します。 「カフェのメニュ…

Metasploitable3触ってみた

はじめに ドルフロの異性体イベントをストーリークリアしたので、これからランキング戦とドロ周回で大忙しなため仕事する気が起きない岩間です。ガンスリコラボで参入した新規さんついてこられるのか・・・? 今回は、業務検証で利用することになったMetaspl…

Hardening 2020 H3DX 参加レポート -岩間編-

はじめに 女神転生3 NOCTURNE HD REMASTERが発売されたので絶賛プレイ中で仕事する気になれない岩間です。天穂のサクナヒメも気になってます・・・。PS5?私は予約していないのでノーダメージです。 2020/11/12 ~ 2020/11/13で開催されたHardening 2020 H3DX…

Burp 2020.7でpre-configured browserが実装されたから試してみた

はじめに 連休明けで仕事のやる気が起きない岩間です。 連休中はいかがお過ごしでしたか? 私は潮干狩りしていました。本当は対馬にも行きたかったんだけど予算が・・・。もちろんゲームの話です! さて、先日の記事でBurp 2020.6の機能紹介しましたが、程な…

Stored(蓄積型)-XSSの危険性

はじめに 目的 解説 予備知識① XSSについて 予備知識② セッション管理について 本題 (Stored(蓄積型)-XSSについて) 対策 根本的な対策 副次的な対策 まとめ はじめに 初めまして。2019年度入社のTです。 SSTにエンジニアとして入社して1年が経ち、私も新卒の…

新入社員を迎えて

こんにちは、CTOのはせがわです。 創立14周年のSSTでは、今年も新入社員を2名迎えることができました。 www.facebook.com 当初予定していた東京本社での入社式とそれに続く数日間の研修は中止し、最少人数のみ福岡ラボで、それ以外のメンバー(私も含む)は…

静的サイトとセキュリティ

こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います…

Google Titan 使ってみた

はじめに こんにちは。事業開発部のにしむらです。システム&セキュリティチーム(兼任)でSST内のコンシェルジュを目指しています。 2回目のエンジニアブログ投稿は「Google Titan 使ってみた」です。 ところで、食欲の秋ですね。当初このブログは10月に投…

「セキュリティ専門家からみた認証における課題と不正アクセス対策 」セミナーレポート

こんにちは、取締役CTOのはせがわようすけです。 急増するパスワードリスト攻撃(リスト型攻撃/アカウントリスト攻撃)による不正アクセスへの対策や認証における課題について、理解を深めるための「今聞きたいセキュリティ緊急セミナー」を8月27日と9月4日…

認証と認可の違い

認証と認可の違い はじめに こんにちは。マイペースを極めつつある診断員の百田です。 最近、認証と認可の違いについて考えさせられることがありましたので、今回はそれについてのんべんぐらりと書きつづります。 なお、ここでいう「認証」と「認可」はWebア…

IFTTT(イフト)の紹介と……

はじめに こんにちは。事業開発部のにしむらです。システム&セキュリティチーム(現在は兼任)でSST内のコンシェルジュを目指しています。今回エンジニアブログには初投稿です。 ところで、さきほど新元号「令和」が発表されました。みなさん、どう感じまし…

SST式サーバレスハニーポット始動!

はじめに こんにちは、宇田川です。 SSTは1月に期が変わり、私は今期から研究開発部に注力することになりました。 より『クラウド×セキュリティ』の内容にフォーカスし、SST独自の情報を発信していきます。 その第1弾として、弊社で運用を開始したサーバレス…

「CODE BLUE 2018」参加レポート(岩間編)

こんにちは、スプラトゥーン2のやりすぎでJoyConが壊れてあまり仕事する気になれないウデマエ A+程度の岩間です。 はじめに 11月1日, 2日にかけて CODE BLUE 2018 に参加してきました。 どのセッションも各方面のスペシャリストによる講演で非常に濃密な内容…

クリアスクリーンについてちょっと考えてみた

はじめに こんにちは、最近ダーリンインザフランキスを見終えた消失感であまり仕事する気になれない脆弱性診断士の岩間です。 突然ですがクリアスクリーンという言葉をご存知でしょうか。 「離席する際は、画面ロックしてね。」ってセキュリティ担当の人や、…