AWSの侵入テスト申請フォームが変更された件

過去このブログでも取り上げてますが、AWSにおいて脆弱性診断を実施する際に、侵入テスト申請というものが必要となります。 ペネトレーションテスト(侵入テスト)- AWS セキュリティ|AWS この侵入テスト申請について、実は2017年9月頃にアップデートがあり…

僕が調べたApacheバージョン判定の小ネタ

皆さんこちらのブログをご覧になられましたでしょうか? Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog Apache HTTP Serverのバージョンが秘匿されていたとしても、脆弱性の修正や、仕様変更による応答差分を確認することによって、バージョンを…

gitの脆弱性のアレを作ってみた

先日私が運営メンバーとして参加してるIT勉強会「ssmjp」の100回記念のイベントがありました! 人生で初めてLTをしたのがこの勉強会で、私は途中から参加という形でかれこれ3年ほど運営をやっていますが、たった3年だけど色々な出来事や出会いがあったなあー…

クラウドサービスを脆弱性診断する時のお作法

「とある診断員の備忘録」というタイトルのわりに、ブログを始めてから今まで脆弱性診断に関することを一切書いていなかったことに気づいたので、そろそろ脆弱性診断ネタを書こうかと思います。 今回はクラウドプラットフォームに対する脆弱性診断の小ネタで…

AWS使って社内CTFやってみたよ

5/22に開催された第五回Security-JAWSにて登壇させていただきました! Security-JAWS 【第5回】2017年5月22日(月) - Security-JAWS | Doorkeeper タイトルそのままですが、某社内でAWSを使って社内CTFを開催した際のよもやま話をネタとしてお話しいたしまし…

脆弱なWAF達で遊んでみた

最近、二つの脆弱なWAFが公開されました! Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷(ごく一部かな?w)で話題のこの脆弱なWAF達で遊んでみたら非常に面白…

Apache Struts2の脆弱性(CVE-2017-5638)を検証してみた

Blogでもやろうかなと思いつつ、やるやる詐欺になっていたし、たまたま朝早く目が覚めたので思い切って始めることにしました。このBlogでは私が趣味でチョコチョコやっている脆弱性やスキャナの検証などについて書いていこうと思います。 さて、話題となって…