SSTエンジニアブログ

SSTのエンジニアによるWebセキュリティの技術を中心としたエンジニアブログです。

トップ > 脆弱性診断

脆弱性診断

Burp 2023.1 アーリーアダプター版 リリース内容

Burp 脆弱性診断

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp Burp Suite 脆弱性診断

Burp 2022.12.4 安定版 リリース内容

Burp 脆弱性診断

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp Suite Burp 脆弱性診断ツール

Burp 2022.12 アーリーアダプター版 リリース内容

Burp 脆弱性診断

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

Burp 2022.11.2 安定版リリース内容

Burp 脆弱性診断

はじめに この記事は、Burp Suiteのリリース内容について抄訳した内容と筆者の気になるポイントを記載しています。 Burpを使用して診断を行う方を対象にしていますので、バグ修正のような細かい変更点については本記事で触れない場合がございます。 原文をご…

XSSの脅威を考察する

XSS 脆弱性診断

はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的に…

XSS 脆弱性

WebAuthnをエミュレートするWebアプリの開発

脆弱性診断 WebAuthn

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります…

WebAuthn 脆弱性診断

社内向けサービスでSSRFを起こした話

Python 脆弱性診断 SSRF

はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サー…

脆弱性

Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか

脆弱性診断 HTTP

レスポンスヘッダとして「Access-Control-Allow-Origin」に「*」やリクエストの Origin ヘッダの値を設定したとき、ブラウザがどのような動きをするのか考え、確かめる記事。

CORS Access-Control-Allow-Origin

LocalStackにServerlessGoatを構築した話

AWS serverless 脆弱性診断 セキュリティ全般

はじめに こんにちは、研究開発部の宇田川です。 今月末に開かれるセミナーで脆弱性体験アプリケーションのServerlessGoatを題材にチームメンバーが登壇するのですが、その準備で行ったLocalStack上にServerlessGoatを構築した内容を紹介します。 背景 クラ…

AWS serverless 脆弱性診断

DOM Invader触ってみた

Burp 解説 脆弱性診断

はじめに ゼルダの伝説 スカイウォードソード HDやりたくて仕事する気が起きない岩間です。女神転生Vも待ち遠し…。 今回は、先日リリースされたBurpの新機能であるDOM Invaderの紹介です! DOM Invaderは、Burp ProfessionalおよびCommunityの2021.7のバージ…

脆弱性診断用のアカウントが複数必要な理由

脆弱性診断

はじめに こんにちは。脆弱性診断員のYOSHIIです。 ログイン機能があるWebシステムを診断する際に、診断用のアカウントを複数ご提供いただけるようにお願いすることがあります。 「なぜアカウントが1つではダメなのか。複数アカウントで何をするのか。」 こ…

脆弱性診断の前に知っておきたい!~リクエストとは~

脆弱性診断

福岡ラボのくろきです。今回は、SSTのWebサイトの脆弱性診断(以下、脆弱性診断)の際に重要となる、診断対象の単位についてお伝えしたいと思います。 はじめに この記事は、初めて脆弱性診断をご検討される方向けのものです。 そもそも脆弱性診断はどのよう…

脆弱性診断における「ロール」を考慮したアカウントや「データ」の準備について

脆弱性診断 解説

はじめに こんにちは。脆弱性診断の業務に携わっています、かをるです。 今回はタイトルの通り、脆弱性診断における「ロール」と「データ」を考慮した準備について記事を書きました。 読んでいただけると、以下について知ることができます。 脆弱性診断依頼…

spindle-localproxy というローカルHTTPプロキシを開発しました【Part1】

HTTP Java 脆弱性診断 Proxy 開発

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 普段は診断向けのスキャンツールを開発していますが、今年(2019年)の3月~8月にかけて、SST内部で使用する独自ローカルHTTPプロキシ「spindle-localpro…

認証と認可の違い

解説 セキュリティ全般 脆弱性診断

認証と認可の違い はじめに こんにちは。マイペースを極めつつある診断員の百田です。 最近、認証と認可の違いについて考えさせられることがありましたので、今回はそれについてのんべんぐらりと書きつづります。 なお、ここでいう「認証」と「認可」はWebア…

非エンジニアから脆弱性診断員になった人の話

エンジニアライフ rails 脆弱性診断

はじめに はじめまして、Webアプリケーションの脆弱性診断をしている大二郎です。 私は2017年から先述の診断員として働き始めました。それまでは、診断サービスに関するスケジュールなどの案件調整を主な業務として担当しており、SST社内で非エンジニアから…

FiddlerScript ちょっと使ってみた

Fiddler 脆弱性診断

はじめまして! 百田と申します。普段は脆弱性診断を業務としています。 突然ですが、皆さんは普段 ローカルプロキシ 何を使っていますか? 私は Burp Suite を使っています。お恥ずかしながら、その他のローカルプロキシツールはほとんど使ったことがありま…

2018年度前半のプラットフォーム診断結果を振り返ってみました

脆弱性診断

こんにちは、診断業務全般を担当しているイデです。 脆弱性診断ライフ楽しんでいますか? 気づけばもう2018年も既に10月下旬、今年ももうすぐ終わりますね^^ まだだ、まだ今年は終わらんよ!!!、俺たちの2018年度はこれからやで!という声も後ろのほうか…