この記事は#ssmjp Advent Calendar 2017の記事になります。 昨日は Typhon666_deathさん。明日は、ockeghem さんになります。 いやー今年ももうすぐ終わりですね。 最初に書いておきますが、今回の記事では全然技術的な話とかはありません。 私が運営メンバ…

12/9～12/10に開催したSECCON 2017 Online CTFに参加いたしました！ vulsというチームで参加して、最終結果は46位でした。 私はWeb問をメインで担当していました。 今回はちょっと日曜日に所用があったため、残念ながらフル参戦できなかったのですが、久々に…

11/15に開催されたこちらの勉強会に参加いたしました！ デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう - connpass こちらの勉強会は、「WordPress本体とプラグインの脆弱性をデバッガで追跡することにより、脆弱性の中身について詳しく追…

過去このブログでも取り上げてますが、AWSにおいて脆弱性診断を実施する際に、侵入テスト申請というものが必要となります。 ペネトレーションテスト（侵入テスト）- AWS セキュリティ｜AWS この侵入テスト申請について、実は2017年9月頃にアップデートがあり…

皆さんこちらのブログをご覧になられましたでしょうか？ Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog Apache HTTP Serverのバージョンが秘匿されていたとしても、脆弱性の修正や、仕様変更による応答差分を確認することによって、バージョンを…

先日私が運営メンバーとして参加してるIT勉強会「ssmjp」の100回記念のイベントがありました! 人生で初めてLTをしたのがこの勉強会で、私は途中から参加という形でかれこれ3年ほど運営をやっていますが、たった3年だけど色々な出来事や出会いがあったなあー…

「とある診断員の備忘録」というタイトルのわりに、ブログを始めてから今まで脆弱性診断に関することを一切書いていなかったことに気づいたので、そろそろ脆弱性診断ネタを書こうかと思います。 今回はクラウドプラットフォームに対する脆弱性診断の小ネタで…

5/22に開催された第五回Security-JAWSにて登壇させていただきました！ Security-JAWS 【第5回】2017年5月22日(月) - Security-JAWS | Doorkeeper タイトルそのままですが、某社内でAWSを使って社内CTFを開催した際のよもやま話をネタとしてお話しいたしまし…

最近、二つの脆弱なWAFが公開されました！ Vurp - Vulnerable Reverse Proxy: https://github.com/hasegawayosuke/vurp ViddlerProxy: https://int21h.jp/tools/ViddlerProxy/ 今回は巷（ごく一部かな？ｗ）で話題のこの脆弱なWAF達で遊んでみたら非常に面白…

Blogでもやろうかなと思いつつ、やるやる詐欺になっていたし、たまたま朝早く目が覚めたので思い切って始めることにしました。このBlogでは私が趣味でチョコチョコやっている脆弱性やスキャナの検証などについて書いていこうと思います。 さて、話題となって…