ぶるーたるごぶりん

UI, UX, セキュリティとか😘

シン・エヴァの感想

シン・エヴァの感想 先日見て来ました。記憶が新しいうちにネタバレガッツリで感想を書きます。 個人的には作品単品の点数は 65点 - 70点くらいで、 感情移入がかなりできませんでした。 ただ自分の年齢と同じくらい続いた作品を終えたという点は大変立派だ…

2020年の買ってよかったもの (主に仕事周りと音楽)

アフィとかなくて単純に「これよかったからお前も買えよ」みたいなやつ 仕事が完全なリモートワークになり、その際に買ってよかったものとかを適当に記載 (一部 2019年に買ったものだけど、リモートワークになって「あって良かったー」というやつも) あと後…

株式会社ビズリーチ(Visional Incubation)を退職します

タイトルの通り、学部卒から新卒で 4年半ほど勤めました株式会社ビズリーチ(正確にはビジョナルグループのビジョナルインキュベーション株式会社)を退職します。 (ビズリーチへの入社 -> グループ経営化 -> visional incubationへの転籍 -> 退職 という流…

退職振り返りポエム

退職ポエムです。 退職エントリは退職日が来たら投稿します。 各年度でうまくいったこと、うまくいかなかったこと、 これをやれば良かったかなーと思っていることを書きます。 なんで辞めるのかとかは別の投稿にて。 やってたこと 1-2年目 : 採用管理サービ…

GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話

GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話 ​ Githubが OSS Security Foundation に入りましたね。 大変興味深くて 関連するドキュメント なりについて会社のチームで雑談していたところ、 GitHubの「DependaBot」が何を狙い…

DevOpsと(セキュリティ系)静的コード解析 (+DAST)が相性が悪いのはなぜか

※ 2020/5/22 一部加筆 SASTとIterativeな開発の相性の悪さ 若干煽り気味なタイトルですが、チーム内で話していてなぜセキュリティ静的コード解析(Static Application Security Testing: SAST)と言ったセキュリティアプローチがDevOpsで回りにくいのかが言…

WebアプリケーションにおけるDevSecOpsの理想と現実 Part 1 〜Bot型攻撃から見たパッチ管理について〜

はじめに 本記事では、前回の記事(https://brutalgoblin.hatenablog.jp/entry/2020/02/15/153805)にてあまり触れられなかったWebアプリケーションにおけるDevSecOpsの所感や考え方、動向を個人的思想でまとめた記事になります。 本記事は個人の感想が多分…

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ…

ScalaMatsuri 2019にてWebフレームワークの脆弱性(Playframework)を読むという内容を発表しました。

発表しました。(すっかり書くのを忘れていました。) Webフレームワークの脆弱性パッチを読み、何が起きたのかをまとめたというやつです。 speakerdeck.com

Webフレームワークの脆弱性対策コードを読む (Playframework part1)

追記 2019/09/04現在、報告されているPlayframeworkの脆弱性の全て (ver2系のみ)まとめました。 http://brutalgoblin.hatenablog.jp/entry/2019/08/20/133641 はじめに フレームワークの脆弱性対策コードを普段読まれる方は割と少ないと思うので自分も勉強が…

SSO(SAML)の実装と攻撃例

はじめに SAML関連で診断をすることになったが、やんわりとした知識しかないため、 SAMLの攻撃事例を読んでそれをざっくりまとめる。 認証フローなどはネットに軽い奴がまとまっているのでそれらを参考に読むと良いのかも? ※2018/11/22 事例を1つ追加 ( XML…

そろそろ書いてく

脆弱性診断を仕事としてやり始めてから半年くらい立って、 只管インプットしてきたのでそろそろアウトプットしてく