はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本
セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
ガチ三流エンジニアが米国マイクロソフトのドリームチームのメンバーになれた話とそのためにやった事 - メソッド屋のブログ
私は卑下しているわけではなく、ガチでプログラミングの才能が無い。他に才能があるといわれる分野は持っているが、プログラマとしてはガチで三流だ。 そんな私が、今でも夢のようなのだけど、長年あこがれた米国マイクロソフトのドリームチームのポジションを得ることができた。今回はどうやってそのポジションをゲットすることができたかについてシェアしてみたい。 ガチの三流プログラマ 私はガチでプログラミングの才能が無い。プログラミングを始めたのは確か、10歳ぐらいだろうか?だからキャリアはスーパー長い。三流というのは謙遜ではなくて、自分と過去に仕事したことがある人なら知っていることだと思う。私には人より出来ることもある。それはコンサルティングだったり、アジャイルや、DevOps のコーチ、そしてエヴァンジェリストだ。日本のマイクロソフトではプレゼンは必ず上位だった。私は過去を振り返ると、何回もプログラマになろ
7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術
"Like LeetCode for Linux" Capture The Flag challenges. Train and prove your debugging skills. Practice for your next SRE/DevOps interview. Get a full remote Linux server with a problem and fix it.
注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア
S3のメタデータを用いた攻撃
例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
22 Hacking Sites To Practice Your Hacking Skills
22 Hacking Sites To Practice Your Hacking Skills �8�U Taken from: https://hackerlists.com/hacking-sites/ 22 Hacking Sites, CTFs and Wargames To Practice Your Hacking Skills InfoSec skills are in such high demand right now. As the world continues to turn everything into an app and connect even the most basic devices to the internet, the demand is only going to grow, so it’s no surprise everyone wan
防衛省サイバーコンテスト 2025 writeup - st98 の日記帳 - コピー
2/2に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、11時45分ぐらいに最速で全完して1位🎉 第1回以来4年ぶりの優勝だ。昨年大会の第4回ではヒントの閲覧数で優勝を逃してしまって悔しい思いをしたので、雪辱を果たすことができ嬉しい。開始直後からずっと1位を独走できており、450名以上のプレイヤーがいる中で圧勝だったのも嬉しい。 昨年度や一昨年度はバルクが作問を担当していたが、今回はAGESTが担当していた。これまでの問題と比較すると全体的に易化したように思うが、解くにあたって発想の大きな飛躍を必要とするいわゆる「エスパー要素」のある問題はごく一部を除いて存在しておらず*1、よかったと思う。また、昨年度・一昨年度に引き続きwriteupは公開可能というのもよかった。 戦略というほどの戦略は立てていなかったけれども、とりあえずWebを見た後は全カテゴリを上から見て
[2024年4月25日 追記] Safariの動作について考慮漏れがありましたので、一部追記・編集しました。 新宿にオフィスのあるClassiは、岡山在住の私のような地方在住者だけでなく、いわゆる通勤圏内に在住していてもリモートワークで働いている人が多い会社です。必然的にミーティングはいわゆるオンラインミーティングとなり、主にGoogle Meetが利用されています。 そのGoogle Meetのチャット機能、ここ1週間ぐらい「IMEで日本語に変換のために押すエンターキーで送信されてしまう」という現象が発生しています。このエントリーを読まれている時点では対応しているかも知れませんが、2024年4月22日17時時点ではその現象は続いています(Windowsでは再現しないという情報もあります)。 入力開始 変換して確定のエンターキーを押すと 送信される エンターキーに頼らない日本語入力を頑張り
![IME変換中のエンターキーで送信される!への対処法[追記あり] - Classi開発者ブログ](https://cdn-ak-scissors.b.st-hatena.com/image/square/0afc6ee0863caae4e576ca7dfc69f2761a288290/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F26006613504214060%2F6801883189100834220%2F1714006878)
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
アプリケーションが想定しない文字列を実行することにより、データベースを不正に操作する攻撃はSQLインジェクションと呼ばれ、攻撃によってクレジットカード情報や住所などの重要な個人情報が流出した事例も存在します。「Lord of SQLInjection」は、そんなSQLインジェクションを駆使してダンジョンを攻略していくウェブサイトです。 Lord of SQLInjection https://los.rubiya.kr/ まずはLord of SQLInjectionにアクセスして「[enter to the dungeon]」をクリック。 Lord of SQLInjectionを利用するのは初めてなので「Join」をクリック。 Lord of SQLInjectionで使用するID、メールアドレス、パスワードを入力して「Join」をクリックします。 先ほど登録したIDとパスワードを入力
CloudflareでCTOを務めるジョン・グラハム=カミング氏が、30年前のZIPファイルをクラックして解読に成功し、その方法についてブログに記しました。 John Graham-Cumming's blog: Cracking an old ZIP file to help open source the ANC's "Operation Vula" secret crypto code https://blog.jgc.org/2024/09/cracking-old-zip-file-to-help-open.html 南アフリカで反アパルトヘイト活動をしていたティム・ジェンキン氏は、かつてアフリカ民族会議(ANC)の暗号化通信システムを構築しました。その通信システムのソースコードはパスワード付きのZIP形式で保存されていたものの、ジェンキン氏はパスワードを忘れてしまったとのこと。
年始に勉強したい AWS セキュリティのコンテンツまとめ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか ? (挨拶 今回はタイトルの通り、時間のあるときにしっかり確認していきたい AWS セキュリティのコンテンツをまとめて紹介します。 この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。 AWS とセキュリティの基礎編 詳細を理解しようユーザーガイド編 じっくり読む課題ホワイトペーパー編 積読しないで参考書編 オフェンシブに挑戦編 コンテンツだけをババっと紹介してもいいのですが
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
2020/10/18 @ SECCON Beginners Live
LifeMemoryTeamの@atponsです。今回のSECCON Beginners CTF 2020はお楽しみいただけたでしょうか。自分は運営やインフラ整備をしておりました。 今回は、自分が担当していた監視、オペレーション部分の構築回りについて書いておきます。 死活監視 バッジ 今回参加者のみなさんには、このようなバッジを問題に付与して提供しておりました。これによって、問い合わせのオペレーションを削減することを目標に、昨年も取り組んでおりました。バッジでは、そのタスク(問題からフラグを取れたかどうか、サービスに疎通できるかどうか)の成功可否を表示していました。 また、最後にタスクを実行した時間を表示できるようにしていました。このバッジ生成は完全に自作したものです。詳細は死活監視の部分で書きます。 タスクランナー 定期的に実行してその状態を知りたい、という要望にはCI/CDツールを応用
CTFで出題されたWebの難問良問解説
@hakatashi (博多市) 2012年ごろ チームEpsilonDeltaで CTFに初参加 現在の所属はTSG 現在もCTFに参加するかたわら CTFの主催・作問を行う TSG CTF GoogleCTF SECCON 得意ジャンル: Crypto, Web, Stego
2023年8月に米ラスベガスで開催された、世界的なハッカーの祭典「DEF CON 31」。このDEF CONで催されたOSINT CTF「Recon Village CTF」において、日本のCTFチーム「pinja(ピンジャ)」が優勝を果たした。おめでとう、pinja!! ……と、まるで他人事のように書き始めてみたが、実は筆者もpinjaチームの一員なのである。そこで今回は、実際に難問に挑んだCTFチームのメンバーという視点から、優勝に至るまでの裏側を体験記としてお届けしたい。まだ「CTF」や「OSINT」といったものをよくご存じない方にも、“総合知的格闘技”としての楽しさが伝われば幸いだ。 CTFとは? Recon Village CTFとは?:知的なかけひきを楽しもう まずは「CTF」とはどんな競技なのか、簡単に説明しておこう。 「Capture The Flag(旗取りゲーム)」の頭
[PG] 縮めるだけじゃダメ [PG] 暗算でもできるけど? [PG] formjacking [PG] loop in loop [NW] 頭が肝心です [NW] 3 Way Handshake? [NW] さあ得点は? [NW] decode [WE] 簡単には見せません [WE] 試練を乗り越えろ! [WE] 直してる最中なんです [WE] 直接聞いてみたら? [WE] 整列! [CY] エンコード方法は一つじゃない [CY] File Integrity of Long Hash [CY] Equation of ECC [CY] PeakeyEncode [FR] 露出禁止! [FR] 成功の証 [FR] 犯人はこの中にいる! [FR] chemistry [FR] InSecureApk [PW] CVE-2014-7169他 [PW] 認可は認証の後 [PW] formerL
CTF OSINTカテゴリ 入門
2022/08/29(月)に 第30回ゼロから始めるCTF入門勉強会 で発表した資料です。 https://zeroctf.connpass.com/event/257534/ ■ 演習問題について □ 演習問題の画像は下記URLで配布していますのでダウンロードをお願いします https:/…
情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】 - #FlattSecurityMagazine
Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします! セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか? 回答者:shopper 回答者:Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか? 回答者:pizzacat83 Q.情シスからセキュリティエンジニアになるには? 回答者:akiym 回答者:moosan63 Q.Flatt Secu
CryptoHack – Home
A free, fun platform for learning modern cryptography Learn By Doing Learn about modern cryptography by solving a series of interactive puzzles and challenges. Get to know the ciphers and protocols that secure the digital world by breaking them. Level Up Earn points by solving challenges. Finish categories to earn trophies and gain levels to track your progress. Can you reach the top of the scoreb
オススメの初級者向けCTF - 好奇心の足跡
今回は CTF Advent Calendar 2020 - Adventar の2日めの記事として、オススメの初心者・入門者向けCTFを紹介します。※Jeopardy形式のみ 私自身、そんなにたくさんCTFに参加できているわけではないですが、参加してみて成長のきっかけになったCTFを紹介できればと思います。最近では常設の wargame と題したCTFと同じコンセプトのgameにも取り組んでいて、これもまた面白いものがあったので紹介。 CTF始めたいけど何から手を付けていいかわからない、紹介されたCTFが難しすぎて全然解けない、ちゃんと基礎からやりたい、みたいな人の目に少しでも留まれば嬉しいです。 CTFとは? CTF TIME オールジャンル picoCTF (競技->常設) CpawCTF (常設) RiceTeaCatPanda (競技->半常設) Web The Lord of
こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」というラックグループ内CTFが開催されています。このCTFにいくつか問題を提供したので、どのように問題を作ったか、具体的にどんな問題を出題したかといったことをご紹介します。 LACCONとは どんな問題を作ったか [Web 234] Hadena Star (7 solves) 問題の概要 解法 裏話 おわりに LACCONとは 冒頭でも述べましたが、LACCONはラックグループ内で毎年開催されているCTFです。LACCONのもうちょっと詳しい話については、LAC WATCHで公開されている記事がありますので、そちらをご覧ください。
We built a powerful multi-platform reverse engineering tool. Cutter's goal is to be an advanced FREE and open-source reverse-engineering platform while keeping the user experience at mind. Cutter is created by reverse engineers for reverse engineers. Powered by Rizin Cutter is using Rizin as its core engine. Thus, allows access to thousands of features via the GUI or by using the integrated termin
「チャレンジングな環境に身を置きたかった」大手IT企業からFlatt Securityへ転職した理由/セキュリティエンジニア 志賀遼太 - Flatt Security Blog
Flatt Securityではどのようなエンジニアが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施。今回は世界屈指のCTF強豪チーム「TokyoWesterns」に所属し、0day huntingとしてLinuxやQEMUなどに対して脆弱性を報告するなど、さまざま実績を持つ志賀遼太さんに当社を知ったっきっかけや入社の決め手について聞きました。 志賀遼太(@Ga_ryo_): 早稲田大学基幹理工学部情報理工学科卒業後、早稲田大学大学院へ進学。2016年、修士へ進学する際に大手IT企業でインターンを開始。大学院を中退し、正社員としてジョインする。セキュリティ診断や設計レビューなどを担当。 2020年4月にFlatt Securityへ入社。Flatt Securityでは0day hunting、ペネトレーションテスト、スマートフォンアプリ診断、IoT診断などを担当して
2021年の技術部新卒研修で社内CTFの運営・作問をしました - KAYAC Engineers' Blog
こんにちは!2021年技術部新卒研修を担当しました、秦です。社内ではがはくちゃん(5さい)と名乗っています。 2020年に引き続きオンラインベースで行われた技術部新卒研修ですが、今年は後半の部のキックオフとして社内CTFを実施しました。 昨年入社の身で大変僭越ながら、その作問・運営をさせていただいたのでその振り返りを書かせていただきます。 これからCTFの作問をするぞ〜‼でもなにをすればいいかわからないよ〜‼という2ヶ月前のわたしのような元気なエンジニアの方に届けば良いなと思っています(もしくは、エッ……カヤックって新卒研修でCTFなんかやるんだ……と思ってもらえたら良いですね)。 経緯 「今年の新卒研修担当には画伯を拉致します」 わたし「えっ?」 「画伯にはCTFを作ってもらおうとおもいます!」 わたし「えっ??」 「社内にCTF経験者特にいないから画伯だけが頼りです!」 わたし「えっ?
CTFはじめました
Photo by Shahadat Rahman on Unsplashこんにちは、Finatextグループのナウキャスト(最近HPリニューアルしたのでみてね)でデータエンジニアをしているけびんです。 前回はプログラミングコンテストの中でもアルゴリズムの力を競う競プロのTipsを紹介しました。最近CTFと呼ばれるタイプのコンテストにも興味を持ち始めたので、今回はこちらの紹介をしたいと思います! CTFとはご存知ない方もいると思いますが、CTFは ”Capture The Flag” の略で、コンピュータセキュリティの技術や知識を競うコンテストです。どこかに隠されたFlag( ctf{test} 的な文字列 )を探し出し、それを提出することで得点がもらえます。最終的に獲得した総得点を競います。 ジャンル別紹介いくつかのジャンルについて簡単な紹介と、僕が読んだ参考書を紹介していきます。参考書は
隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催:「世界トップレベルのCTFを無償で体験」 NRIセキュアテクノロジーズは、ハッキングトーナメント「NRI Secure NetWars」をオンライン形式で開催する。サイバーセキュリティの知識や経験を活用し、隠されている答えを見つけ出し、時間内に獲得した合計点数を競う。
はじめに Kernel Exploitを勉強し初めて2ヶ月ほどが経ちました。 やっていて思うのは、カーネルランドのUAFやヒープオーバーフローなどは非常に強力だということです。 しかし、脆弱なドライバが提供する機能以外に、カーネルや他のドライバが提供する機能を利用することが多いので、多くの知識が無いと上手く攻撃できなかったり、成功確率が下がったりします。 例えばkUAFはとても便利なのですが、UAF対象のオブジェクトのサイズが固定の場合は、kmallocでサイズが一致してかつ「使える」オブジェクトを探す必要があります。 この記事では、そのような「使える」オブジェクトをまとめようと思います。 といっても私はKernel Exploitに関しては素人なので間違いが多いかもしれませんし、定石みたいなものを見逃しているかもしれません。 間違っている部分の指摘や、他に知っているオブジェクトがあれば是
世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは?【Masato Kinugawa × 志賀遼太】 - #FlattSecurityMagazine
トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat
CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは:CTF問題から学ぶセキュリティ基礎知識(1) 情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか?」という問題について解説します。 CTFから何を学ぶか 近年、テレワークの普及やデジタルトランスフォーメーションの促進により、あらゆる業務が情報システムに移行しつつあります。それらの情報システムを扱う全ての人にとって、セキュリティ知識はなくてはならないものです。一従業員にも容赦なくマルウェアが添付されたメールが届きますし、ささいな操作ミスでも重要な情報が全世界に漏えいする可能性があります。個人のSNS利用が重大なセキュリティ違反を起こす場合もあります。 ところで読者の皆さんは「CTF(
OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのことです。 OpenSSL Project より、OpenSSL Security Advisory [09 September 2020] が公開されました。 深刻度 - 低 (Severity: Low) Raccoon Attack の問題 - CVE-2020-1968 Diffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能な環境で TLS ハンドシェイク時に使用する pre-master secret が解かれ、サーバとクライアント間でやり取りされる通信内容を解読される (Raccoon Attack) 可能性があります。 アップデートする OpenSSL 1.0.2 はサポートが終了して
この記事は GMO ペパボエンジニア Advent Calendar 2020 の12日目の記事です。 昨日は @takutaka さんの 「Kubernetes Custom Controller を手抜きで作る技術」でした。 CRD や Custom Controller を作る際に役立つ情報が載っていて良い記事ですね。 さて、最近私は Open Policy Agent を触ることが多いので、それについて書こうと思っていたのですが、せっかく会社の Advent Calendar なので少し業務でやったことを書こうと思います。 私は GMO ペパボのセキュリティ対策室という部署で、サービスを横断してセキュリティ対策の基盤作りをしています。 セキュリティ対策と一口に言っても、その内容は多岐にわたりますが、エンジニアのセキュリティレベルの向上支援も業務のひとつです。 例えば年に一度はセキュ
個人で練習練習用サイトで取得したフラグを入力する事で簡単に検証する事ができます。 クリアした結果は保存され、いつでも確認する事ができます。 実践で学ぶ問題形式のCTFとは異なり、実践にフォーカスしたCTF練習サイトです。 難易度で別れた練習サイトから、フラグを探し出す必要が有ります。 難易度ごとに別れているため、入門としても利用できます。
Hello there, ('ω')ノ ハッキングスキルを向上させるサイトは以下のとおりで。 Embedded Security CTF https://microcorruption.com/ EnigmaGroup https://www.enigmagroup.org/ Google Gruyere http://google-gruyere.appspot.com/ Gh0st Lab http://www.gh0st.net/ Hack This Site http://www.hackthissite.org/ HackThis http://www.hackthis.co.uk/ HackQuest http://www.hackquest.com/ Hack.me https://hack.me/ Hacking-Lab https://www.hacking-lab.co
CTFとかBoot2Rootとか競技化(ゲーム化)されたセキュリティ関連の情報をまとめておく。実世界では使わないこと。WriteupとかWalkthroughとか(どちらも問題解説のこと)はSecurity カテゴリーの記事一覧 - はまやんはまやんはまやんに大量にあるので、漁ってください。 CTF (jeopardy) 各ジャンルのセキュリティ問題が一問一答形式で出題される。 Web CTFにおけるWebセキュリティ入門とまとめ - はまやんはまやんはまやん CTFのWebセキュリティにおけるHTTP通信まとめ(HTTP, Request Smuggling, Response Splitting, HTTP2) - はまやんはまやんはまやん CTFのWebセキュリティにおける認証認可まわりまとめ(Cookie/Session、Authentication/Authorization、J
はじめに 5月23日14:00から24時間、初心者向けのSECCON Beginners CTF 2020を開催しました。 といっても全問が初心者向けな訳ではなく、中級者でも難しいと感じるような問題もちらほらあったと思います。 また、CTFを本当に初めて触るという方にとってはBeginnerタグの付いた問題だけでも難しかったかと思います。 サーバーはしばらくは開放したままです。 参加するだけでなく復習しないと成長しませんので、是非解けなかった問題にも挑戦してください。 はじめに [Misc 272pts] readme (71 solves) [Rev 156pts] yakisoba (144 solves) [Rev 279pts] ghost (68 solves) [Rev 410pts] sneaky (23 solves) [Pwn 134pts] Beginner's Sta
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
SadServers - Linux & DevOps Troubleshooting Interviews
メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
IME変換中のエンターキーで送信される!への対処法[追記あり] - Classi開発者ブログ
【CTF】OSINT問題で個人的に使用するツール・サイト・テクニックまとめ - Qiita
ダンジョンを攻略しつつSQLインジェクションの脆弱性について学べるサイト「Lord of SQLInjection」
パスワードを紛失して開けなくなったZIPファイルを30年越しにクラックした方法とは?
CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
Beginners CTF 2020で学ぶWebセキュリティ(入門編)
SECCON Beginners CTF 2020の監視・オペレーションを支える技術 - ポン酢ブログ(β)
優勝してきたぜ! ハッカーイベント「DEF CON」OSINT CTF体験記 (1/3)
防衛省サイバーコンテスト 2025 Writeup - はまやんはまやんはまやん
ラックグループ内CTF「LACCON 2022」で作問した話 - ラック・セキュリティごった煮ブログ
Cutter
隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催
Kernel Exploitで使える構造体集 - CTFするぞ
CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは
JVNVU#91973538: OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)
Kubernetes のセキュリティを学べる kubectf を作った
個人で出来るCTF練習サイト | CELTF
ハッキングスキルを向上させるサイトについて列挙してみた - Shikata Ga Nai
競技セキュリティまとめのまとめ - はまやんはまやんはまやん
SECCON Beginners CTF 2020 作問者Writeup - CTFするぞ
x.com
www.nikkei.com
x.com
note.com/orokamen_note
www.nikkei.com
kofukutrading.com