はじめに こんにちは！CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的に…

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります…

はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サー…

レスポンスヘッダとして「Access-Control-Allow-Origin」に「*」やリクエストの Origin ヘッダの値を設定したとき、ブラウザがどのような動きをするのか考え、確かめる記事。

はじめに こんにちは、研究開発部の宇田川です。 今月末に開かれるセミナーで脆弱性体験アプリケーションのServerlessGoatを題材にチームメンバーが登壇するのですが、その準備で行ったLocalStack上にServerlessGoatを構築した内容を紹介します。 背景 クラ…

はじめに ゼルダの伝説 スカイウォードソード HDやりたくて仕事する気が起きない岩間です。女神転生Vも待ち遠し…。 今回は、先日リリースされたBurpの新機能であるDOM Invaderの紹介です！ DOM Invaderは、Burp ProfessionalおよびCommunityの2021.7のバージ…

はじめに こんにちは。脆弱性診断員のYOSHIIです。 ログイン機能があるWebシステムを診断する際に、診断用のアカウントを複数ご提供いただけるようにお願いすることがあります。 「なぜアカウントが1つではダメなのか。複数アカウントで何をするのか。」 こ…

福岡ラボのくろきです。今回は、SSTのWebサイトの脆弱性診断（以下、脆弱性診断）の際に重要となる、診断対象の単位についてお伝えしたいと思います。 はじめに この記事は、初めて脆弱性診断をご検討される方向けのものです。 そもそも脆弱性診断はどのよう…

はじめに こんにちは。脆弱性診断の業務に携わっています、かをるです。 今回はタイトルの通り、脆弱性診断における「ロール」と「データ」を考慮した準備について記事を書きました。 読んでいただけると、以下について知ることができます。 脆弱性診断依頼…

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月～8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

認証と認可の違い はじめに こんにちは。マイペースを極めつつある診断員の百田です。 最近、認証と認可の違いについて考えさせられることがありましたので、今回はそれについてのんべんぐらりと書きつづります。 なお、ここでいう「認証」と「認可」はWebア…

はじめに はじめまして、Webアプリケーションの脆弱性診断をしている大二郎です。 私は2017年から先述の診断員として働き始めました。それまでは、診断サービスに関するスケジュールなどの案件調整を主な業務として担当しており、SST社内で非エンジニアから…

はじめまして！ 百田と申します。普段は脆弱性診断を業務としています。 突然ですが、皆さんは普段 ローカルプロキシ 何を使っていますか？ 私は Burp Suite を使っています。お恥ずかしながら、その他のローカルプロキシツールはほとんど使ったことがありま…

こんにちは、診断業務全般を担当しているイデです。 脆弱性診断ライフ楽しんでいますか？ 気づけばもう2018年も既に10月下旬、今年ももうすぐ終わりますね＾＾ まだだ、まだ今年は終わらんよ！！！、俺たちの2018年度はこれからやで！という声も後ろのほうか…