Nick Security Log

securityを始めとしたNickのブログです

ウィークリーバグバウンティレポート vol.3

1/18~1/24のまとめです。 注意事項 脆弱性情報 公開されたレポート リソース その他 注意事項 ここで記載されている記事は脆弱性診断士としての技術向上を目的として確認した記事です。 ここで得た知識はバグハントや脆弱性診断などの研究や調査のみに使用…

ウィークリーバグバウンティレポート vol.2

1/10~1/17のまとめです。 注意事項 脆弱性情報 Cryptic Rumblings Ahead of First 2020 Patch Tuesday Citrix CVE-2019-19781 記事 Breaking into Information Security: Learning the Ropes 101 Kali Linux - An Ethical Hacker's Cookbook, 2nd Edition (…

ウィークリーバグバウンティレポート vol.1

1/4~1/10で見た記事や面白かったもののまとめです。 この期間で見たものとなるため、新たに作成されたものや更新されたものではないことをご了承ください。 注意事項 脆弱性情報 Tik or Tok? Is TikTok secure enough? Firefox Critical Zero-Day Being Exp…

Nick today topic 2020/1/7

記事 How I have exploited reflected self-XSS or CORS is not the end the-book-of-secret-knowledge The Web Application Hacker's Handbook Twitter SQLi Write Up Subdomain Takeover Tools 動画 Live Recon Stream #3: Tesla 感想 記事 How I have exp…

Nick today topic 2020/1/6

記事 [BODYも分かる!] AWS WAFでXSS / SQLiのログに詳細が記録されるようになりました[アップデート] awesome-mobile-security Two Easy RCE in Atlassian Products Top 10 web hacking techniques of 2019 - nominations open A list of resources for tho…

Nick技術週報 12/29~1/4

いつ何をしたか忘れました。 ほぼメンタル関連です。 時間別の気持ち 朝 昼 夕 夜 モチベーション作成について 勉強法 時間別の気持ち 朝 8時より前の時間は起きれない。 前日何時に寝ても眠い。 昼 10:00~15:00 この時間が一番元気。 夕 16:00~18:00 使い…

投資生活 11週目 2020年1月5日(日) 累計70日

インデックス投資 ロボティクス FX まとめ インデックス投資 現在:231038円 トータル:+13038円 ロボティクス 現在:161057円 トータル:+10557円 FX 現在:1140686円 トータル:+31539円 まとめ 現在:1532781円 トータル:+55134円 アメリカのイラン関係…

2020年の生活超効率化術

あけましておめでとうございます。 2020年もガンガン楽しんでいきます。 2019年、1日が24時間じゃ足りないと思っていたので、2020年はまずそれを増やそうかと思います。 そこで、やってみた中で使えそうなワザをまとめていきます。 ほとんど読んだ本の参考で…

Nick技術週報 12/22~12/28

12/23 12/24 subdomain takeover 12/25 作業効率化、メンタル面強化 12/28 subdomain takeover reconツール作成 12/23 バグハント手順作成 フェーズを決める。 12/24 subdomain takeover できる条件が不明。 CNAMEがあって、名前解決ができないもの →これはN…

2019年の振り返りと2020年の豊富

2019年の振り返り 2019年は検証の年でした。 脆弱性診断士になったり、グループを始めたり、ブログを頑張ってみたり。 ここ最近で一番成長することができ、楽しかった年でした。 一番良かったのは、自分が楽しいと思える生活がわかったことです。 仕事はイン…

投資生活 10週目 2019年12月30日(月) 累計64日

インデックス投資 ロボティクス FX まとめ インデックス投資 現在:230954円 トータル:+12954円 ロボティクス 現在:161057円 トータル:+10557円 FX 現在:1139811円 トータル:+30664円 まとめ 現在:1531822円 トータル:+54175円

SNSを辞めたら毎日が変わった

SNSを辞めたら生活が楽しくなった。 SNSはTwitterで、厳密に言うとTLを眺めている行為。 とりあえずでセキュリティ関係の人をフォローしてTLを眺めていた。 情報収集もできるし、暇つぶしもできるから良いかなと思っていた。 辞めたきっかけは、時間と通信量…

#駆け出し脆弱性診断士とつながりたい

始めに 対象者 場所 内容 終わりに 始めに 今年1年、脆弱性診断士として楽しく過ごすことができました。 割とTwitter見てる方ですが、思うことがあります。 駆け出し脆弱性診断士どこ行った? ハッシュタグで#駆け出しエンジニアとつながりたい ってやつが…

GraphQL bugbounty 調査レポート Ver1.0

目的 成り立ち 学習用リソース セキュリティ 公開レポート 目的 脆弱性診断士として、Webに関わる技術を学び、サービス向上に繋げる。 成り立ち 2012年にFacebookが作成した。 従来のRESTでは、アプリ側で使用するデータセットの観点で取得するデータの内容…

Nick技術週報 12/15~12/21

12/15 GraphQL 12/17 読んだ記事 XSS 歴史 12/18 読んだ記事 XSS 事例 12/19 読んだ記事 XSSの機能面での対策 12/21 XSS フィルタ 12/15 GraphQL 成り立ち 2012年にFacebookが開発した。 当初はFacebook News Feed APIとして使用する目的で作成された。 モバ…

投資生活 9週目 2019年12月21日(土) 累計55日

今までnoteに書いてたんですが、こっちに書くことにしました。 セキュリティ関連じゃないけど、許してください。 インデックス投資 ロボティクス FX まとめ インデックス投資 現在:195858円 トータル:+10858円 ロボティクス 現在:160009円 トータル:+950…

Nick技術週報 12/7~12/14

12/7 12/8 12/9 12/14 12/7 Android用環境作成 静的解析からネットワーク解析まで始めることが可能に。 静的解析はAndroid Tamerを使用。 とはいえ、MobSFくらいしか使っていない。 androidtamer.com 動的解析はAndroid Studioのadbを使用。 ネットワークはB…

Nick技術週報 11/28~12/6

セキュリティエンジニア(脆弱性診断士)として、スキル習得の過程メモです。 ここにかかれていること、学んだことは安全確保・セキュリティ防御のみに使用されます。 11/28 11/29 12/1 12/3 12/4 12/5 12/6 11/28 jQuery CVE-2019-11358について nvd.nist.g…

個人的に使っているバグバウンティの情報収集手段

Hacker101 community Hacktivity Bugcrowd community Bugcrowd University Reddit Medium Twitter Bugbounty World Bugbounty Forum portswigger Google Hacker101 community www.hacker101.com discordapp.com hackeroneが提供する勉強用サービス。 動画で…

バグバウンティの基礎みたいなところ

ほとんど0からの人は何すればいいですか?って聞かれた気がしたので、まとめてみます。 脆弱性とかを知る前に、基礎のところを知らんとわけわからんと思うので、そのあたりです。 細かく各単語や機能を説明するわけではなく、簡単に紹介して詳細は他記事や本…

バグバウンティの学び方 beta

バグバウンティをやり始めて1年。 脆弱性診断士を始めて半年。 勉強のやり方や情報収集などを試行錯誤してきました。 今私が考えている学び方を残しておこうと思います。 今後変わる可能性は大いにあるのでbeta版としておきます。 1年前の自分に向けて。 セ…

アウトプットしやすい環境を作りたい

もっと、もっとたくさんの情報がほしい。 色んな人と切磋琢磨をしたい。 だが、アウトプットしている人はだいたい強い人ばかり。 初心者クラスの人もいなくはないが、比率を考えると初心者クラスの方が圧倒的に多くてもおかしくないのでは? アウトプットは…

CSL(Cyber Security Learners)に進化!セキュリティの世界へようこそ!

概要 対象者 対象分野 活動内容 ルール 入り方 終わりに 概要 バグバウンティのビギナーグループをやってましたが、それをサイバーセキュリティを学んでいる方向けグループにしました! 理由は、思ったより幅広い分野をやっている方が多く、範囲を広げたほう…

脆弱性診断士の軌跡 半年くらい v1.0

振り返り 知識 課題 振り返って感想 勉強法 やる時間帯 内容 やりかた 準備 勉強時間 環境 まとめ おわりに 振り返り 知識 基本的なものは検出可能。 XSS SQLインジェクション オープンリダイレクト IDOR パストラバーサル 不必要な情報の公開 認証関連の不…

セキュリティを仕事にするためにSES時代にやったこと

思い返せば、SESのころもセキュリティに関連する業務は出来ました。 問題はそれが自分にとってあってるかどうかですよね。 社会人2~3年目 社内SE時代 社会人5年目 テクニカルサポート時代 まとめ 終わりに 社会人2~3年目 社内SE時代 社内SEのころのメイン…

【2019/9/27】Road to Researcher in Security 4

Last time www.nicksecuritylog.com All GitLab Security Secure Coding Training about.gitlab.com XSS cheat sheet XSS cheat sheet blockchain×OSS prtimes.jp

【2019/9/26】Road to Researcher in Security 3

Last Time www.nicksecuritylog.com Blog Zero-Day RCE in vBulletin v5.0.0-v5.5.4 blog.sucuri.net oh,PHP template injection RCE. I want to verify someday. today? tommoroww? Bug fixed Jenkins Security Advisory 2019-09-25 jenkins.io Jenkins had…

Road to source code analysys master 2【jQuery CVE-2012-6708】

Last time www.nicksecuritylog.com source research event fix place test task source CVE www.cvedetails.com github github.com research flow event fix place test cause event selector interpreted as HTML bugs.jquery.com fix place before rquick…

【2019/9/25】Road to Researcher in Security 2

Last time www.nicksecuritylog.com Disclosed bug Blog Disclosed bug Open SSL Code Injection hackerone.com Brave Software XSS hackerone.com Perl Heap Overflow1 hackerone.com Perl Heap Overflow2 hackerone.com Blog Serverless Blind XSS hunter …

【2019/9/24】Road to Researcher in Security 1

IE11 zeroday Summary IE11 zeroday https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367portal.msrc.microsoft.com www.jpcert.or.jp www.ipa.go.jp www.cisecurity.org Summary start to research in security news. today…