HackerOneが公開しているペンテストの基礎講座の動画 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 のPart1~4を見たのでまとめました。 Hacker Oneの無料のペンテスト基礎講座part1 OWASP Top 10part2 ペンテストvsバグバウンティpart3 ペンテスト…
Hack The Boxの日本語のWalkthrough/Writeupをまとめてみました! 英語のWalkthrough/Writeupは多くありますが日本語のものは比較的まだ数が少ないです。 Walkthroughを読まずに自分の力だけで攻略するのが理想ですが、私のような初心者ではまだ自分の力だけ…
go-cve-search 作ってみた - TDD, Circleci, README Badge, Terminal Gif, Cliツール開発の話の続きでGoReleaserを使ってhomebrew installでGoのCLIツールを簡単にインストールできるようにしました。 brew tapでs-index/go-cve-searchを登録して、brew inst…
Hack The BoxのSauna (Easy, Windows)のWalkthroughです。 丁寧に書いたのでHack The BoxのWindowsマシンの攻略の参考やそもそもHack The Boxってどんな感じなことやればいいの?といった雰囲気を感じることもできると思います。 IppSecの動画を見ながらやっ…
Pwnagotchi(ポーナゴッチ)というWi-Fi 脆弱性情報を収集する電子ペットキットを作ってみましたのでその作り方のメモです。
前々回『サイバーセキュリティ レッドチーム実践ガイド その1』、前回『サイバーセキュリティ レッドチーム実践ガイド その2』の続きで「サイバーセキュリティ レッドチーム実践ガイド」という本を読んだメモ書きです。 今回は「第5章 ソーシャルエンジニア…
以前に書いた「Vulsのコードを読む」シリーズの記事のまとめページです。 Vulsのコードリーディングをしてどうやって脆弱性スキャンをしているのか4回に分けて記事にしていたのでその記事の解説とそれに関わる記事の解説を書いてます。 このまとめ記事を書く…
はてなブログを一年くらい続けているのでせっかくだからプロプランにしてみて、独自ドメイン で運用してみようとしたら思わぬところで躓いた話。 簡単にまとめてしまうと、取得したドメインがvirustotalやspamhausでスパム扱いされていたために上手く設定で…
前回の『サイバーセキュリティ レッドチーム実践ガイド その1』の続きです。 今回は「第4章」と「生涯学習」の部分のメモ書きです。 「生涯学習」の部分ではこの本を読み終えた後、次に何をすべきなのか、ということについて書かれており、次のレベルへステ…
Hack The Boxを初めてみて、全然基礎がないことに気がついたので「サイバーセキュリティ レッドチーム実践ガイド」を買って読み始めたのでメモ。 いろいろなツールの使い方がざっくりと書かれているので使いながら自分で学んでいく形式の本な気がします。 初…
CTFもやったことがない初心者が先週からHack The Box (HTB) を始めて、現在やっと2つのrootを取ることができました。 ただ、Hack The Boxって何?と聞かれてもCTFを楽しめるサービス?というようにしか答えられない気がしたので少し調べてみました! とにか…
CTFも全くやったことがない素人がHack The Boxを始めて、1つrootを取るまでにどんなことをやったのか、どれくらいかかったのかなどのメモ書きです。
CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利…
オライリー本読み放題のサービス「O’Reilly online learning」 (旧 Safari Online Books)を使ってみたところとても良かったのでまとめてみました! (更新 2022/08/06 ACMの会員特典からO’Reilly online learningがなくなりました。そのため、ACMの会員になっ…
及川 卓也さんのソフトウェア・ファーストを読んだのでまとめと感想。
Go言語でgo-cve-searchという簡単なcliツールを作ってみました。 作成に当たってのモチベーションとしては以下の4つ。 ・Go言語でcliツールを作ってみたい ・Circleci (CI/CD) を使ってみたい ・READMEにterminalのgifとバッジを付けてみたい ・TDDで開発し…
Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで, Vulsのコードを読む その3 Vuls scanを調べてみた の続きになります。 今回はVuls reportの部分を調…
Vulsのコードを読む その1 全体像の把握, Vulsのコードを読む その2 go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまでの続きになります。 今回は、Vulsのscan部分を具体的に掘り下げて理解していきたいと思います。
前回、Vulsのコードを読む その1 全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。 今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。 また、…
HTTPセキュリティヘッダーを簡単に検証できるWebツール、CLIツールを調べて見ました。 ブラウザのデベロッパーツールでも確認することは可能ですが、より詳細に、より簡単に検証するためにはやはりWebツール、CLIツールを利用することがおすすめです。 既に…
脆弱性スキャナ Vulsのコードを読んで理解を深めていきたいと思います。 GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container Image, Running Container, WordPress, Programming language libraries, Network…
ビズリーチのOSS 脆弱性管理サービス yamory がついに無料トライアルできるようになったので使ってみました。 以前「ビズリーチのOSS 脆弱性管理サービス yamoryについて調査 どんなことができて、どう実現されているのか」という記事を書きました。 実際に…
ソフトウェアデザイン 2019年11月号の特集2が脆弱性スキャナ Vuls/Trivy/Dockleとのことでしたので早速購入してみました。 使い方の説明もありますが、私としてはそれぞれのOSS作者の開発秘話のような話が聞けてとても面白かったです。 自分もOSSへコミット…
ソフトウェアエンジニアのための「技術」ではなく、キャリアや学習方法、生産性、メンタルに関してなど、ソフトウェアエンジニアがより良い人生を歩めるようになるための本「SOFT SKILLS ソフトウェア開発者の人生マニュアル」についていくつか紹介します。 …
ソフトウェアエンジニアのための「技術」ではなく、キャリアや学習方法、生産性、メンタルに関してなど、ソフトウェアエンジニアがより良い人生を歩めるようになるための本「SOFT SKILLS ソフトウェア開発者の人生マニュアル」についていくつか紹介します。 …
ビズリーチより8月27日にGithubのリポジトリからオープンソース(OSS)の脆弱性を発見、管理できるようにするWebアプリケーション「yamory」が発表された。 どんな機能があり、どんなことができるのか、どう実現されていそうかなどについて説明します。 また、…
ネット上でよく議論される話題である CEH vs OSCP に関して、10年以上セキュリティのトレーナーとして活躍し、CEH, OSCP, ISO 27001主任監査員でもあるGabriel Avramescuの記事を参考にまとめる。
Googleのセキュリティグループ Project Zero はiPhoneが2年間もの間、Webサイトにアクセスさせるだけでハッキングされる恐れがあったことを報告した。 5つのエクスプロイトチェーンが公開され、全体で14つの脆弱性が発見された。 1つ1つのチェーンに関する詳…
最近 Google、Appleがバグバウンティ制度を拡大しているが、バグバウンティで支払われる平均金額が上がっているとバグバウンティのプラットフォームを提供しているHackerOneがレポートを発行した。 クリティカルな脆弱性に対して支払われた平均の金額は平均3…
GoogleがAndroidのバグバウンティプログラム Google Play Security Reward Program (GPSRP) の対象を拡大し、ダウンロード数が1億回以上の全てのアプリを対象とした。 加えて、新たなプログラム Developer Data Protection Reward Program (DDPRP) も開始。 …