Nick Security Log

securityを始めとしたNickのブログです

日記

公式ドキュメントは便利だった 2020/2/17

※勉強目的のみ。悪用厳禁。 RCE関連の記事をいくつか確認。 ファイルアップロードのドキュメント バグバウンティ RCE関連の記事をいくつか確認。 hackeroneのレポートがとても参考になった。 404ページの扱い、RCEにつながる情報の見つけ方など。 https://ha…

やりたいことが多く見つかった

表面をなぞってXSSやらmiss configやらを探すバグバウンティがあまり面白くないと感じた。 技術的な成長が無いから、お金がもらえるか否かしかない。 これからの自分がどう思うかは知らないが、今は表面をなぞるのを辞める。 そこで、RCEなどに興味が出てき…

オペミスした人にその仕打ちはどうなの? 他

メール誤送信でアドレス漏えい、理事長・事務局長・担当職員は懲戒処分 減給3ヶ月(滋賀レイクスターズ) scan.netsecurity.ne.jp メール誤送信で減給。 それはどうなの? CCとBCCを間違えて誤送信なんて、いつか誰かやるミスなのに減給はひどい。 ミスする…

2020年は甘い情報に踊らされないように

SNSで地震予告を拡散するだけで…東京五輪を狙うサイバー犯罪手口(菊地 千鶴) | 現代ビジネス | 講談社(1/5) このような記事があった。 2020年に限ったことではないが、甘い情報に踊らされないようにしなければならない。 サイトや機器にDDos攻撃などもあ…

象印の個人情報流出について

www.zojirushi.co.jp 象印の個人情報流出について。 情報流出のリリースをちゃんと見るのは初めてかもしれない。 初報 2019年12月6日。 12月4日に不審メールが届いているとの通報があり、当日にサービス停止。 2日後にリリース。 被害 クレカ除く個人情報の…

フィッシングへの対策は進まないのか

www.chunichi.co.jp 三重県でのフィッシング詐欺への啓発活動の内容。 「正しいメールアドレス、サイト上のリンクは正しいアドレスか」って書いてあるけど、正しいものを把握しているのかね? 前社内SEやってたころはこういうメールのリンクや添付ファイルは…

Nick today topic 2020/1/7

記事 How I have exploited reflected self-XSS or CORS is not the end the-book-of-secret-knowledge The Web Application Hacker's Handbook Twitter SQLi Write Up Subdomain Takeover Tools 動画 Live Recon Stream #3: Tesla 感想 記事 How I have exp…

Nick today topic 2020/1/6

記事 [BODYも分かる!] AWS WAFでXSS / SQLiのログに詳細が記録されるようになりました[アップデート] awesome-mobile-security Two Easy RCE in Atlassian Products Top 10 web hacking techniques of 2019 - nominations open A list of resources for tho…

Nick技術週報 12/29~1/4

いつ何をしたか忘れました。 ほぼメンタル関連です。 時間別の気持ち 朝 昼 夕 夜 モチベーション作成について 勉強法 時間別の気持ち 朝 8時より前の時間は起きれない。 前日何時に寝ても眠い。 昼 10:00~15:00 この時間が一番元気。 夕 16:00~18:00 使い…

2020年の生活超効率化術

あけましておめでとうございます。 2020年もガンガン楽しんでいきます。 2019年、1日が24時間じゃ足りないと思っていたので、2020年はまずそれを増やそうかと思います。 そこで、やってみた中で使えそうなワザをまとめていきます。 ほとんど読んだ本の参考で…

Nick技術週報 12/22~12/28

12/23 12/24 subdomain takeover 12/25 作業効率化、メンタル面強化 12/28 subdomain takeover reconツール作成 12/23 バグハント手順作成 フェーズを決める。 12/24 subdomain takeover できる条件が不明。 CNAMEがあって、名前解決ができないもの →これはN…

2019年の振り返りと2020年の豊富

2019年の振り返り 2019年は検証の年でした。 脆弱性診断士になったり、グループを始めたり、ブログを頑張ってみたり。 ここ最近で一番成長することができ、楽しかった年でした。 一番良かったのは、自分が楽しいと思える生活がわかったことです。 仕事はイン…

SNSを辞めたら毎日が変わった

SNSを辞めたら生活が楽しくなった。 SNSはTwitterで、厳密に言うとTLを眺めている行為。 とりあえずでセキュリティ関係の人をフォローしてTLを眺めていた。 情報収集もできるし、暇つぶしもできるから良いかなと思っていた。 辞めたきっかけは、時間と通信量…

#駆け出し脆弱性診断士とつながりたい

始めに 対象者 場所 内容 終わりに 始めに 今年1年、脆弱性診断士として楽しく過ごすことができました。 割とTwitter見てる方ですが、思うことがあります。 駆け出し脆弱性診断士どこ行った? ハッシュタグで#駆け出しエンジニアとつながりたい ってやつが…

Nick技術週報 12/15~12/21

12/15 GraphQL 12/17 読んだ記事 XSS 歴史 12/18 読んだ記事 XSS 事例 12/19 読んだ記事 XSSの機能面での対策 12/21 XSS フィルタ 12/15 GraphQL 成り立ち 2012年にFacebookが開発した。 当初はFacebook News Feed APIとして使用する目的で作成された。 モバ…

Nick技術週報 12/7~12/14

12/7 12/8 12/9 12/14 12/7 Android用環境作成 静的解析からネットワーク解析まで始めることが可能に。 静的解析はAndroid Tamerを使用。 とはいえ、MobSFくらいしか使っていない。 androidtamer.com 動的解析はAndroid Studioのadbを使用。 ネットワークはB…

Nick技術週報 11/28~12/6

セキュリティエンジニア(脆弱性診断士)として、スキル習得の過程メモです。 ここにかかれていること、学んだことは安全確保・セキュリティ防御のみに使用されます。 11/28 11/29 12/1 12/3 12/4 12/5 12/6 11/28 jQuery CVE-2019-11358について nvd.nist.g…

【2019/9/27】Road to Researcher in Security 4

Last time www.nicksecuritylog.com All GitLab Security Secure Coding Training about.gitlab.com XSS cheat sheet XSS cheat sheet blockchain×OSS prtimes.jp

【2019/9/26】Road to Researcher in Security 3

Last Time www.nicksecuritylog.com Blog Zero-Day RCE in vBulletin v5.0.0-v5.5.4 blog.sucuri.net oh,PHP template injection RCE. I want to verify someday. today? tommoroww? Bug fixed Jenkins Security Advisory 2019-09-25 jenkins.io Jenkins had…

Road to source code analysys master 2【jQuery CVE-2012-6708】

Last time www.nicksecuritylog.com source research event fix place test task source CVE www.cvedetails.com github github.com research flow event fix place test cause event selector interpreted as HTML bugs.jquery.com fix place before rquick…

【2019/9/25】Road to Researcher in Security 2

Last time www.nicksecuritylog.com Disclosed bug Blog Disclosed bug Open SSL Code Injection hackerone.com Brave Software XSS hackerone.com Perl Heap Overflow1 hackerone.com Perl Heap Overflow2 hackerone.com Blog Serverless Blind XSS hunter …

【2019/9/24】Road to Researcher in Security 1

IE11 zeroday Summary IE11 zeroday https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367portal.msrc.microsoft.com www.jpcert.or.jp www.ipa.go.jp www.cisecurity.org Summary start to research in security news. today…

めざせソースコード解析 Master その1【jQuery CVE-2011-4969】

ネタ元 調査 jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起こるか? 課題 なぜ正しくチェックできないとXSSになるのか? なぜfirefoxとchromeは起きなかったのか? ネタ元 CVE www.cvedetails.com githu…

めざせIDOR Master その1

IDOR、アクセス制御不備、認証不備の備忘録 HacktivityのPopularを読む。 IDOR hackerone.com アクセス制御不備 hackerone.com 認証不備 hackerone.com

【BugBounty】 2019年6月16日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) js解析からGoogle Hackingをやってみました。 js解…

【BugBounty】 2019年6月10日 活動日記【Honeypot】

※hackerone経由で公式にwebの調査をしています。 バグバウンティ やろうとしたこと やったこと 次やりたいこと 気になったもの ハニーポット トップ画面 直近1ヶ月折れ線グラフ GETリクエスト POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordp…

【BugBounty】 2019年6月15日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) 実際に作ったリストをもとにやってみました。 ちょ…

【BugBounty】 2019年6月13日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと バグバウンティ実施リスト作成 やったこと バグバウンティ実施リスト作成 1.バグバウンティ実施リスト…

【BugBounty】 2019年6月11日 活動日記

※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 気になったもの やろうとしたこと 実践 やったこと juice shopお試し ブログあさり 1.juice shopお試し 正直な感想、結構難しかったです。 1,2時間でちょろっと…

【BugBounty】 2019年6月9日 活動日記【Honeypot】

※hackerone経由で公式にwebの調査をしています。 バグバウンティ やろうとしたこと やったこと 次やりたいこと 気になったもの ハニーポット トップ画面 直近1ヶ月折れ線グラフ GETリクエスト POSTリクエスト pypmyadminユーザー pypmyadminパスワード wordp…