flaws2.cloudのWriteupを書いたよ!

皆さん今日は! 今年の夏は日本にいるので、TLに流れてくるラスベガスで楽しんでいるセキュリティクラスタの友人達のつぶやきをうらやましげに眺めているとある診断員です。 色々忙しくて、めちゃくちゃ久々のブログ更新になってしまいました…。 もう随分前…

AWS、侵入テスト申請やめるってよ

先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ?AWSの侵入テスト申請いらなくなりました? pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) M…

Drupal の脆弱性 (CVE-2019-6340) に関して検証してみた

どうも、Drupalを一回も運用したことがないのに、インストールするのがどんどん早くなっていく、とある診断員です。 今回は先日PoCが公開されたDrupal の脆弱性 (CVE-2019-6340) に関してちょこっと検証してみました。 折角なので検証した内容についてブログ…

ハニーポットについての小ネタ

久々にブログを投稿します。 というか、気づけばもう年末ですね。今年は自分が転職したこともあり色々バタバタしてしまって、あんまり個人ブログを更新できませんでした。。。 来年はもっとガシガシ小ネタなどを投稿していきたいと思っています。 さて、この…

OWASP Juice Shopを触ってみた!

OWASP Connect始まりました。 久々にブログを投稿しますー。 先日、OWASP Connectという勉強会を開催いたしました。 OWASP Connect in Tokyo - connpass この勉強会はOWASP Projectの活用事例や小ネタなどを共有していこうという目的で開催しています。OWASP…

ssmjp2017 ~今年一年の振り返り~

この記事は#ssmjp Advent Calendar 2017の記事になります。 昨日は Typhon666_deathさん。明日は、ockeghem さんになります。 いやー今年ももうすぐ終わりですね。 最初に書いておきますが、今回の記事では全然技術的な話とかはありません。 私が運営メンバ…

SECCON 2017 Online CTFに参加しました

12/9~12/10に開催したSECCON 2017 Online CTFに参加いたしました! vulsというチームで参加して、最終結果は46位でした。 私はWeb問をメインで担当していました。 今回はちょっと日曜日に所用があったため、残念ながらフル参戦できなかったのですが、久々に…

デバッガを利用してWebアプリの脆弱性を分析してみた

11/15に開催されたこちらの勉強会に参加いたしました! デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう - connpass こちらの勉強会は、「WordPress本体とプラグインの脆弱性をデバッガで追跡することにより、脆弱性の中身について詳しく追…

AWSの侵入テスト申請フォームが変更された件

過去このブログでも取り上げてますが、AWSにおいて脆弱性診断を実施する際に、侵入テスト申請というものが必要となります。 ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS この侵入テスト申請について、実は2017年9月頃にアップデートがあり…

僕が調べたApacheバージョン判定の小ネタ

皆さんこちらのブログをご覧になられましたでしょうか? Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog Apache HTTP Serverのバージョンが秘匿されていたとしても、脆弱性の修正や、仕様変更による応答差分を確認することによって、バージョンを…

gitの脆弱性のアレを作ってみた

先日私が運営メンバーとして参加してるIT勉強会「ssmjp」の100回記念のイベントがありました! 人生で初めてLTをしたのがこの勉強会で、私は途中から参加という形でかれこれ3年ほど運営をやっていますが、たった3年だけど色々な出来事や出会いがあったなあー…

クラウドサービスを脆弱性診断する時のお作法

「とある診断員の備忘録」というタイトルのわりに、ブログを始めてから今まで脆弱性診断に関することを一切書いていなかったことに気づいたので、そろそろ脆弱性診断ネタを書こうかと思います。 今回はクラウドプラットフォームに対する脆弱性診断の小ネタで…

AWS使って社内CTFやってみたよ

5/22に開催された第五回Security-JAWSにて登壇させていただきました! Security-JAWS 【第5回】2017年5月22日(月) - Security-JAWS | Doorkeeper タイトルそのままですが、某社内でAWSを使って社内CTFを開催した際のよもやま話をネタとしてお話しいたしまし…

脆弱なWAF達で遊んでみた

最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWAF達で遊んでみたら非常に面白…

Apache Struts2の脆弱性(CVE-2017-5638)を検証してみた

Blogでもやろうかなと思いつつ、やるやる詐欺になっていたし、たまたま朝早く目が覚めたので思い切って始めることにしました。このBlogでは私が趣味でチョコチョコやっている脆弱性やスキャナの検証などについて書いていこうと思います。 さて、話題となって…