ぶるーたるごぶりん

UI, UX, セキュリティとか😘

2023-01-01から1年間の記事一覧

CodeBlue 2023 に登壇します。

codeblue.jp 発表します。 11/09 9:00 からです。

SQL Injection を探せ! 文字列テンプレートリテラル と Raw Query によるやらかし探し

はじめに 失敗記事です(SQLI 一個も見つかりませんでした)。 前回の記事では GitHub に漏れ出たコードを GitHub Code Search を使って検索しました。 brutalgoblin.hatenablog.jp 今回は少し特殊な SQL Injection を前回同様に GitHub Code Search の力を…

GitHub に漏れ出た内部コードを探す ~ 上場企業 3900社編 ~

全1回、このシリーズは今回で最後です! TL;DR 上場企業 3900 社程に対して、すごく大雑把な「内部コード等の漏洩調査」を GitHub 上で行った 結果としては、重要度の高いものから低いものまで 10社ほどで漏洩が確認された 重要度の高いものとして、社外秘…

(失敗した)CT LogのSANが大量に結びついた証明書を見つけてフィッシングサイトを検知する方法

年末にツイッターに書いたけど、特に記事にしていなかったので供養として一応記事に書いてみます。 CT Log の SAN が異常に多い CT Log は9割 Malicious なんじゃないか?と思って今 CT Log Streaming しながらフィルタかけてみてるけど普通のやつがかかり…

Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話)

English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライ…