Nickセキュリティログ

ハニーポット、バグバウンティ、CTFなどなどセキュリティ関係のことを備忘録がてら書いていきます

めざせソースコード解析 Master その1【jQuery CVE-2011-4969】

ネタ元 調査 jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起こるか? 課題 なぜ正しくチェックできないとXSSになるのか? なぜfirefoxとchromeは起きなかったのか? ネタ元 CVE www.cvedetails.com githu…

めざせIDOR Master その1

IDOR、アクセス制御不備、認証不備の備忘録 HacktivityのPopularを読む。 IDOR hackerone.com アクセス制御不備 hackerone.com 認証不備 hackerone.com

I have a Dream. 新生された夢

目標の新生 夢への想いについて まとめ 目標の新生 今日、2年くらい前に買った「夢をかなえるゾウ」を読みました。 そして感銘を受けました。 今まで持っていた夢は「ハッカーとして一流になる」というもの。 自分のことしか考えていなかった。 最近はグルー…

1人で勉強頑張ってたらセキュリティエンジニアにはなれない

1人では出来ることは限りなく少ない。 Webの脆弱性診断士としての観点で書いていきます。 目的とライン 技術的側面でも難しい 私はどうやってきたか でも1人で勉強もしてくれ え?初心者で聞ける人がいない? まとめ 目的とライン セキュリティエンジニア…

脆弱性診断メモ

個人的脆弱性診断メモ ※ここの情報は脆弱性診断、バグバウンティなどのセキュリティを守る目的のみで使用するものとし、悪用は厳禁です 目的 参考資料 通常パラメータ XSS(反射) SQLインジェクション コマンドインジェクション CRLFインジェクション 認可制…

BBBの活動とこれからやりたいこと

セキュリティキャンプ2019がありましたね。 参加してみたかった。。。 コミュニティに関してのスライドを見てモチベが上がってきたので、BugBountyBiginnersが何やっているかとこれから何やりたいかをまとめてみようと思います。 グループについて 活動内容 …

脆弱性診断士になって得たこと、感想【3ヶ月時点】

先日、BBBで脆弱性診断士になってから得たことなどをお話しました。 割と話していて楽しかったのでこちらでもまとめておこうと思います。 なりかた 仕事の内容 スキルが無い場合 スキルがある場合 同僚 まとめ なりかた 誰でもなれます。 モチベと向上心があ…

OWASP Juice Shopのjs解析してみた

俺、js解析はじめます。 使用アプリ OWASP Juice Shop www.owasp.org 参考記事 no1zy.hatenablog.com やってみる jsファイル収集 何はともあれサイトにアクセス。 Burpでjsファイルをみつける。 Engagement tool>Find Script LinkFinderに通そうと思ってい…

オープンリダイレクトの基本検証

バグバウンティ習得用のアウトプットとしてまとめます。 随時更新していきます。 ※バグバウンティの勉強の一貫として記載しています。 検証環境はすべて渡しのローカル環境です。 絶対に悪用しないでください オープンリダイレクトとは ペイロード google do…

【BW-pot】ハニーポットログ分析【7月】

BW-pot 7月分の分析結果です。 ダッシュボード グラフ All tomcat wordpress phpmyadmin webshell other 各種トップアクセス まとめ ダッシュボード グラフ All tomcat wordpress phpmyadmin webshell other 各種トップアクセス まとめ tomcatでちょいちょい…

【転職】SESのメリット・デメリット【個人感想】

私を成長させてくれた業界。 私を最高にブチ切れさせた業界。 それが「SES」 体験から、メリット・デメリットを書いていきます。 転職の参考になればと思います。 SESとは メリット デメリット 向いてる人、向いてない人 こういう人に向いている! こういう…

【外部記事まとめ】7pay記事・ニュースまとめ

個人的がてらまとめます。 私の考え的なものは無いです(書けない。。。) 7月1日 7月3日 7月4日 7月5日 7月6日 7月8日 7月9日 7月10日 7月11日 7月12日 7月13日 7月15日 7月16日 7月1日 リリース https://www.7pay.co.jp/news/news_20190701_01.pdf 7月3日 …

バグバウンティビギナーグループの目的と本音

目的とか話したことなかったのでまとめます。 バグバウンティを楽しむこと 本音はどうなのよ 管理人(Nick)について グループリンク バグバウンティを楽しむこと 誰でもバグバウンティを楽しめる これがやはり大事。みんなで楽しんでいこう。 グループを作っ…

【時間の使い方】1日没頭なんてできない【体験談】

休みの日だからバグバウンティに没頭してみようと思い、1日中やってました。 その時に体験したことが画期的だったため、忘れないうちにまとめておきます。 没頭なんてできない 健康維持が大事 睡眠時間の捉え方 他の時間はどうするか? まとめ 没頭なんてで…

【抜粋】海外のバグバウンティガイドで参考になったこと【ブログ】

海外の方はとても優しくて懇切丁寧にまとめてくれます。 しかし、内容が難しい上に英語なので、理解できるところが少ないです。 私が読んでいて参考になると思ったところを抜粋して紹介します。 海外の方はやる気も満点なのでなかなか高度なことを要求してき…

【考察】新卒は最初の会社で何年働くべきなのか?【決まりはない】

私もこのテーマについて語っていきたいです。 去年、同い年たちが新卒として働き始めてましたが大変そうでした。 多くは一般人なので、文句を言いながらもずっと働く雰囲気でいました。 学校でもそう教えられてきたのでしょうがないですね。 いや、しょうが…

【マインド】参考になった本の紹介【おすすめ本】

読んでいて参考になったな~と思う本を紹介します。 新しい考えなどを得るときに本はいいですね。あと単純に面白い。 随時追加していこうと思います。 すべての教育は「洗脳」である~21世紀の脱・学校論~ エンジニアの知的生産術 まとめ すべての教育は「…

【バグバウンティ】初心者からの抜け方【初級者になる】

以前、とりあえず始めるために記事を作りました。 www.nicksecuritylog.com 今回はそのあたりのサポートみたいな記事になります。 海外の記事でfor beginnerはたくさんありますが、「beginner」のレベルが高い。 HTTP、NW、プログラムの基礎を学ぶって、そり…

【転職】生きていれば無駄なことはなかったとわかったこと【セキュリティエンジニアへの道】

伝えたいこと 背景 事例紹介 テクニカルサポート時代 プログラマー時代 SES時代 まとめ 伝えたいこと 絶望しても、心が折れても、生きていれば無駄なことはない。 背景 私は今年24歳になります。 普通なら2年目の年ですが、高卒なので6年目です。 今に至るま…

【無知の知】何がわからないかわかる方法【資格・プログラミング・バグバウンティ】

わりと様々なところでこのような意見を聞きます。 「何がわからないかわからない」 私にもこのような悩みを抱えたことがあり、今は解消できたので参考になればとがてら記事にします。 結論 ~とりあえず実践~ 前提 ~1つのステップを越えている~ 体験談 資…

【体験談】未経験からセキュリティエンジニアへのなりかた【脆弱性診断士】

私が過去求めたシリーズ。 SESのころ、一日に何回「セキュリティエンジニア なりかた」、「セキュリティエンジニア 未経験」で検索しかたわかりません。 前にセキュリティエンジニア(脆弱性診断士)になった経緯を記事にしました。 www.nicksecuritylog.com…

【BugBounty】 2019年6月16日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) js解析からGoogle Hackingをやってみました。 js解…

【BugBounty】 2019年6月10日 活動日記【Honeypot】

※hackerone経由で公式にwebの調査をしています。 バグバウンティ やろうとしたこと やったこと 次やりたいこと 気になったもの ハニーポット トップ画面 直近1ヶ月折れ線グラフ GETリクエスト POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordp…

【Honeypot】2019年6月9日 ~6月15日 BW-pot観察結果【ハニーポット】

総評 トップ画面 直近1ヶ月折れ線グラフ GETリクエスト(top 100) POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordpressユーザー wordpressパスワード tomcatユーザー tomcatパスワード 総評 wordpressの週だったと言えるでしょう。 スキャナー…

【BugBounty】 2019年6月15日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) 実際に作ったリストをもとにやってみました。 ちょ…

【BugBounty】 2019年6月13日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと バグバウンティ実施リスト作成 やったこと バグバウンティ実施リスト作成 1.バグバウンティ実施リスト…

【BugBounty】 2019年6月11日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 気になったもの やろうとしたこと 実践 やったこと juice shopお試し ブログあさり 1.juice shopお試し 正直な感想、結構難しかったです。 1,2時間でちょろっと…

【備忘録】じぶんを飽きさせない考え方【バグバウンティ編】

ある日、Twitterである投稿を見かけました。 「バグバウンティは順序立って取り組めないから難しい」 わかる!!! 明確な「答え」とは、賞金を得ることだと思うのですが、そこまでが遠い。 しかし、私は以前に比べて楽しくバグバウンティが出来ていると思い…

【BugBounty】 2019年6月9日 活動日記【Honeypot】

※hackerone経由で公式にwebの調査をしています。 バグバウンティ やろうとしたこと やったこと 次やりたいこと 気になったもの ハニーポット トップ画面 直近1ヶ月折れ線グラフ GETリクエスト POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordp…

【ハニーポット】2019年5月 BW-pot観察まとめ

総評 トップ画面 1ヶ月折れ線グラフ GETリクエスト(トップ100) POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordpressユーザー wordpressパスワード tomcatユーザー tomcatパスワード 総評 全体的にしょぼくれた月でした。 私は基本的には新規…