ぶるーたるごぶりん

UI, UX, セキュリティとか😘

CodeBlue 2023 の登壇資料等が公開されました

公開されたのに宣伝忘れてました。 英語タイトル: "filename" in Content-Disposition is a landmine vulnerability caused by ambiguous requirements 日本語タイトル: Content-Disposition の "filename" という地雷 -曖昧な要件が原因となる脆弱性- ス…

CodeBlue 2023 に登壇します。

codeblue.jp 発表します。 11/09 9:00 からです。

SQL Injection を探せ! 文字列テンプレートリテラル と Raw Query によるやらかし探し

はじめに 失敗記事です(SQLI 一個も見つかりませんでした)。 前回の記事では GitHub に漏れ出たコードを GitHub Code Search を使って検索しました。 brutalgoblin.hatenablog.jp 今回は少し特殊な SQL Injection を前回同様に GitHub Code Search の力を…

GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~

全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘…

(失敗した)CT LogのSANが大量に結びついた証明書を見つけてフィッシングサイトを検知する方法

年末にツイッターに書いたけど、特に記事にしていなかったので供養として一応記事に書いてみます。 CT Log の SAN が異常に多い CT Log は9割 Malicious なんじゃないか?と思って今 CT Log Streaming しながらフィルタかけてみてるけど普通のやつがかかり…

Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話)

English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライ…

Meta(Facebook) の偽ECサイト (Phishing) 広告の自動検出

はじめに こん〜! 今回は、いつかやろうと思っていた Meta(Facebook) 広告上でばら撒かれまくっている悪性広告を自動検出する試みについて、 うまくいったこと・いかなかったこと・考察等をまとめていこうと思います。 先にまとめ Facebook の GraphQL API …

Google の OSV と CPE の課題解決について

OSV と CPE 炭治郎です。コロナ2日目です。 自分は知らなかったのですが、 Google が2021年2月に OSV (Open Source Vulnerabilities) と言う脆弱性DBを公開していました。 https://opensource.googleblog.com/2021/02/launching-osv-better-vulnerability.h…

GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告

GitHub の Reverse Proxy 型フィッシングサイトの発見と報告 こんにちは、でじこだにょ 今回は GitHub を狙った Reverse Proxy 型のフィッシングサイトを探していこうと思います。 (長いので、Reverse Proxy 型のことをプロキシ型と略しちゃいます) 結論か…

パッケージマネージャで配布されるマルウェア、対策と課題について

はじめに 画像は記事に全く関係ないカニのフィギュアです 近年、善良なパッケージを騙ったマルウェアが配布されているケースが増えてきています。 これらのマルウェアはパッケージマネージャ上で配布され、開発者端末やそれをビルトインしたシステムを利用す…

植物の温室DIYした

記事のまとめ やってることの殆どは、こちらの方の記事の真似 最低限のセットで ¥37,580 円程度 (ライト2枚 2万円 + 棚 8000円の値段を含む) 我が家もスマートハウス化 色々問題があったが、概ね解決 買ったもの ひとまず買ったものをバシバシ書きます。 組…

パッケージファイルに擬態したマルウェアのコードを読む part1

ライブラリに擬態したマルウェアを見てく 今作ってるツールでどうしても複数の事例を知っておく必要があるので、 半分自分用に乱雑にまとめていく。 この記事では、主にPypi (Pythonのパッケージマネージャ)にて配布されていた 「ライブラリに似せた名前」…

MINI Hardening Project #4.0@オンライン の参加レポ

はじめに 初参加、惨敗です。 チームメンバーの方へ、本当にご迷惑をおかけしました (迷惑と言うよりも、問題を解消できなくて本当に・・・本当に・・・) MINI Hadening って何 minihardening.connpass.com 脆弱なサーバー・アプリ環境を渡されて、 それを…

サボテン実生(種から育てる)日記 - [ パキポ・アガベ・コミフォラ・フォークイエリア・オペルクリカリア ] 編

2021/07/20 に発芽本数の追記・修正 サボテン実生日記 さて、在宅ワークの最高の趣味といえばサボテン・多肉植物の育成と相場が決まっていますが、 今回2度目の実生(種からの育てつやつ)をやったので、経過など諸々書いてみようと思います。 (1度目は帝…

XSStrikeを読む part2 - XSS可能かを評価するための DOM base XSS スキャンメソッド編

はじめに 前回に引き続き、 XSStrike という XSSスキャナーを読んでいきます。 github.com 前回は Fuzzing するところだったので、XSS スキャナーっぽくなくて個人的には面白くなかったです・・・。 なので、今回は「XSS可能かを評価するための DOM解析部分…

XSStrikeを読む part1

はじめに めちゃくちゃイケてて最高なXSStrike の中身を読もうという記事です。 github.com 最近カメ並のスピードで最強のXSSスキャナーを目指して開発をしているのですが、 さすがに既存のXSSスキャナーが何をやってるのか把握していないのはまずいだろうと…

シン・エヴァの感想

シン・エヴァの感想 先日見て来ました。記憶が新しいうちにネタバレガッツリで感想を書きます。 個人的には作品単品の点数は 65点 - 70点くらいで、 感情移入がかなりできませんでした。 ただ自分の年齢と同じくらい続いた作品を終えたという点は大変立派だ…

2020年の買ってよかったもの (主に仕事周りと音楽)

アフィとかなくて単純に「これよかったからお前も買えよ」みたいなやつ 仕事が完全なリモートワークになり、その際に買ってよかったものとかを適当に記載 (一部 2019年に買ったものだけど、リモートワークになって「あって良かったー」というやつも) あと後…

株式会社ビズリーチ(Visional Incubation)を退職します

タイトルの通り、学部卒から新卒で 4年半ほど勤めました株式会社ビズリーチ(正確にはビジョナルグループのビジョナルインキュベーション株式会社)を退職します。 (ビズリーチへの入社 -> グループ経営化 -> visional incubationへの転籍 -> 退職 という流…

退職振り返りポエム

退職ポエムです。 退職エントリは退職日が来たら投稿します。 各年度でうまくいったこと、うまくいかなかったこと、 これをやれば良かったかなーと思っていることを書きます。 なんで辞めるのかとかは別の投稿にて。 やってたこと 1-2年目 : 採用管理サービ…

GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話

GitHubが狙う「ライブラリのバージョン管理問題」の解決と依存関係地獄の話 ​ Githubが OSS Security Foundation に入りましたね。 大変興味深くて 関連するドキュメント なりについて会社のチームで雑談していたところ、 GitHubの「DependaBot」が何を狙い…

DevOpsと(セキュリティ系)静的コード解析 (+DAST)が相性が悪いのはなぜか

※ 2020/5/22 一部加筆 SASTとIterativeな開発の相性の悪さ 若干煽り気味なタイトルですが、チーム内で話していてなぜセキュリティ静的コード解析(Static Application Security Testing: SAST)と言ったセキュリティアプローチがDevOpsで回りにくいのかが言…

WebアプリケーションにおけるDevSecOpsの理想と現実 Part 1 〜Bot型攻撃から見たパッチ管理について〜

はじめに 本記事では、前回の記事(https://brutalgoblin.hatenablog.jp/entry/2020/02/15/153805)にてあまり触れられなかったWebアプリケーションにおけるDevSecOpsの所感や考え方、動向を個人的思想でまとめた記事になります。 本記事は個人の感想が多分…

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ…

ScalaMatsuri 2019にてWebフレームワークの脆弱性(Playframework)を読むという内容を発表しました。

発表しました。(すっかり書くのを忘れていました。) Webフレームワークの脆弱性パッチを読み、何が起きたのかをまとめたというやつです。 speakerdeck.com

Webフレームワークの脆弱性対策コードを読む (Playframework part1)

追記 2019/09/04現在、報告されているPlayframeworkの脆弱性の全て (ver2系のみ)まとめました。 http://brutalgoblin.hatenablog.jp/entry/2019/08/20/133641 はじめに フレームワークの脆弱性対策コードを普段読まれる方は割と少ないと思うので自分も勉強が…

SSO(SAML)の実装と攻撃例

はじめに SAML関連で診断をすることになったが、やんわりとした知識しかないため、 SAMLの攻撃事例を読んでそれをざっくりまとめる。 認証フローなどはネットに軽い奴がまとまっているのでそれらを参考に読むと良いのかも? ※2018/11/22 事例を1つ追加 ( XML…

そろそろ書いてく

脆弱性診断を仕事としてやり始めてから半年くらい立って、 只管インプットしてきたのでそろそろアウトプットしてく