Nick Security Blog

securityブログです

スキル習得方法 ver2020/11/22

書いた理由 目的や理由 手順 情報を集める 成功体験を得る 馴染ませる まとめ 当時の気持ちや背景など 書いた理由 Androidアプリの脆弱性探しを始めて、いくつか試した勉強法の1つ。 意外と使える方法だったため、忘れないようにと、頭の中をまとめるために…

Google Tsunami 動かしてみた

※勉強目的のみ。悪用厳禁。 Github github.com ビルド 実行 感想 ビルド こちらを参考にした。 特に問題なく終了した。 github.com プラグインはこちら。 こっちも特に問題なく終了した。 github.com 実行 wordpressが動いているIPアドレスに対して実行して…

Apache Tomcat CVE-2020-9484 再現

※勉強目的のみ。悪用厳禁。ローカルの検証環境で実行しています。 参考 www.redtimmy.com 情報 再現 修正後 おまけ デシリアライズ深堀り 情報 tomcat.apache.org www.jpcert.or.jp 再現 脆弱性が存在するTomcat 9.0.31を使用する。 脆弱な環境にするため、…

2020年6月3日(水) コインチェックのドメインハイジャック他

私はこうやってEGSSに潜り込んだ 新卒編 コインチェックのドメインハイジャック New Skill Testing Platform For 6 Most In-Demand Cybersecurity Jobs Two Critical Android Bugs Open Door to RCE New in Firefox 77: DevTool improvements and web platfo…

2020年6月2日(火) 最新情報を集める方法検討

1.Twitter メリット デメリット 評価 2.カンファレンス メリット デメリット 評価 結論 1.Twitter メリット 情報が早い デメリット 雑音が多い 優良なソースを見つけるのが難しい 評価 並(できればあまり使いたくない) 2.カンファレンス メリット 信憑性が…

2020年6月1日(月) Appleゼロデイ他

Zero-day in Sign in with Apple Revers力向上スライド HTTP3の解説 セキュリティ・キャンプ修了生インタビュー第二弾 ~木村廉さん~ Resuming SameSite Cookie Changes in July 職員の処分について Zero-day in Sign in with Apple 任意の電子メールIDをリン…

Weblogic CVE-2020-2883 RCEまで実行してみた

※勉強目的のみ。悪用厳禁。ローカルの検証環境で実行しています。 情報 インストール 脆弱性検証 感想 情報 www.thezdi.com www.zerodayinitiative.com jp.tenable.com インストール Oracle WebLogic Server 12.2.1.4.0(脆弱なバージョン) ↓からダウンロード…