Nick Security Log

securityを始めとしたNickのブログです

Nick技術週報 12/22~12/28

12/23

バグハント手順作成
フェーズを決める。


12/24

subdomain takeover

できる条件が不明。
CNAMEがあって、名前解決ができないもの
→これはNS takeover?ネームサーバを紐付けする?
どうやってできると判別しているのか?
CNAMEの期限切れ?


12/25

作業効率化、メンタル面強化

昼寝
音楽聴きながら30分ほど。
想像以上に頭がスッキリする。
よほどの理由が無い限りやったほうがいい。


朝食抜き
前日の夜や当日の朝に何をしたかで効率が変わる。
運動をしている場合はかなりお腹が空くのでやらないほうが良い。
お腹が減っていないなら食べないほうが良い。


行動分別

  • 情報収集
    非集中作業。 スキマ時間や帰りの電車。

  • 読書
    非集中作業。 行きの電車。

  • バグハント全般
    集中行動。休日に実施。

  • 技術調査
    集中行動。朝に実施。

  • 書評(予定)
    集中行動。行きの電車。

  • 資格勉強
    集中行動。朝に実施。



課題
行きの電車で技術書を読めないか?
→英語を読めたほうが効率がいい。
 →となると英語を読むほうが先?
  →英語のリスニングは学ぶか?
   →現状必要性を感じていないので保留



運動

  • 平日
    運動前のアップ、ストレッチ

  • 休日
    筋トレ、プール



12/28

subdomain takeover

サブドメインが削除されたサービスを指している場合に乗っ取ることができる。
乗っ取れるサービスは以下を参照。

github.com



サブドメインのDNS設定を確認し、CNAMEがついているならその先を確認。
結果が帰ってこなければ(コンテンツがなければ)乗っ取れる?
→要検証


reconツール作成

基本はlazyrecon

github.com



環境上massdnsが使えないのをきっかけに自分で作ることにした。
その他、Amassを使ったり、dirsearchを使わないようにしている。


自分で使う分には困らないレベルのものができた。
公開はしない予定。