Nick Security Log
読者になる
住所
出身
ハンドル名
Nickさん
ブログタイトル
Nick Security Log
ブログURL
https://www.nicksecuritylog.com
ブログ紹介文
セキュリティについて脆弱性を中心に調べていくブログです。
自由文
-
更新頻度(1年)

4回 / 18日(平均1.6回/週)

ブログ村参加:2019/09/26

Nickさんの人気ランキング

  • IN
  • OUT
  • PV
今日 10/14 10/13 10/12 10/11 10/10 10/09 全参加数
総合ランキング(IN) 圏外 圏外 圏外 圏外 圏外 圏外 圏外 974,846サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 10 0 0 0 10/週
PVポイント 0 0 0 0 0 0 0 0/週
IT技術ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 7,803サイト
セキュリティ・暗号化 圏外 圏外 圏外 圏外 圏外 圏外 圏外 86サイト
今日 10/14 10/13 10/12 10/11 10/10 10/09 全参加数
総合ランキング(OUT) 84,605位 87,338位 87,265位 87,648位 圏外 圏外 圏外 974,846サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 10 0 0 0 10/週
PVポイント 0 0 0 0 0 0 0 0/週
IT技術ブログ 230位 247位 241位 244位 圏外 圏外 圏外 7,803サイト
セキュリティ・暗号化 2位 2位 2位 2位 圏外 圏外 圏外 86サイト
今日 10/14 10/13 10/12 10/11 10/10 10/09 全参加数
総合ランキング(PV) 圏外 圏外 圏外 圏外 圏外 圏外 圏外 974,846サイト
INポイント 0 0 0 0 0 0 0 0/週
OUTポイント 0 0 0 10 0 0 0 10/週
PVポイント 0 0 0 0 0 0 0 0/週
IT技術ブログ 圏外 圏外 圏外 圏外 圏外 圏外 圏外 7,803サイト
セキュリティ・暗号化 圏外 圏外 圏外 圏外 圏外 圏外 圏外 86サイト

Nickさんのブログ記事

1件〜30件

新機能の「ブログリーダー」を活用して、Nickさんの読者になりませんか?

ハンドル名
Nickさん
ブログタイトル
Nick Security Log
更新頻度
4回 / 18日(平均1.6回/週)
読者になる
Nick Security Log
  • CSL(Cyber Security Learners)に進化!セキュリティの世界へようこそ!

    概要 対象者 対象分野 活動内容 ルール 入り方 作成時の状況(2019年10月13日段階) 終わりに 概要 バグバウンティのビギナーグループをやってましたが、それをサイバーセキュリティを学んでいる方向けグループにしました! 理由は、思ったより幅広い分野をやっている方が多く、範囲を広げたほうが面白くなりそうだったからです。 対象者 サイバーセキュリティを学習している方 レベル感問わず 対象分野 ネットワーク フォレンジック バイナリ ios android pwn web crypto マルウェア ハニーポット プラットフォーム iot リサーチ 運用(企業のセキュリティ担当者とかそのあたり)…

  • 脆弱性診断士の軌跡 半年くらい v1.0

    振り返り 知識 課題 振り返って感想 勉強法 やる時間帯 内容 やりかた 準備 勉強時間 環境 まとめ おわりに 振り返り 知識 基本的なものは検出可能。 XSS SQLインジェクション オープンリダイレクト IDOR パストラバーサル 不必要な情報の公開 認証関連の不備 セキュリティヘッダの不備 Cookie設定の不備 脆弱なミドルウェア、フレームワーク などなど 脆弱性診断プロジェクトで言うSilverを満たしているレベルかな? 課題 根本的なところがたくさん。 脆弱性のリスクについての詳細な説明 脆弱性の対策方法の熟知 脆弱性検出の応用 プラットフォーム別の診断方法 理由について。 リス…

  • セキュリティを仕事にするためにSES時代にやったこと

    思い返せば、SESのころもセキュリティに関連する業務は出来ました。 問題はそれが自分にとってあってるかどうかですよね。 社会人2~3年目 社内SE時代 社会人5年目 テクニカルサポート時代 まとめ 終わりに 社会人2~3年目 社内SE時代 社内SEのころのメイン業務は問い合わせ対応でした。 基本は電話で問い合わせが来るので、来ないときは暇。そんな仕事です。 ある時、ウイルスの対応をしました。 そこからセキュリティに興味が出ました。 ウイルス対応によりセキュリティに興味が出たので、やりたいことといったらもちろんマルウェア解析です。 ただ、それは出来ないので課題と現状出来ることを考えました。 課題…

  • 【2019/9/27】Road to Researcher in Security 4

    Last time www.nicksecuritylog.com All GitLab Security Secure Coding Training about.gitlab.com XSS cheat sheet XSS cheat sheet blockchain×OSS prtimes.jp

  • 【2019/9/26】Road to Researcher in Security 3

    Last Time www.nicksecuritylog.com Blog Zero-Day RCE in vBulletin v5.0.0-v5.5.4 blog.sucuri.net oh,PHP template injection RCE. I want to verify someday. today? tommoroww? Bug fixed Jenkins Security Advisory 2019-09-25 jenkins.io Jenkins had many many XSS. Recognized that XSS is a major vulnerability.…

  • Road to source code analysys master 2【jQuery CVE-2012-6708】

    Last time www.nicksecuritylog.com source research event fix place test task source CVE www.cvedetails.com github github.com research flow event fix place test cause event selector interpreted as HTML bugs.jquery.com fix place before rquickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/, after rqui…

  • 【2019/9/25】Road to Researcher in Security 2

    Last time www.nicksecuritylog.com Disclosed bug Blog Disclosed bug Open SSL Code Injection hackerone.com Brave Software XSS hackerone.com Perl Heap Overflow1 hackerone.com Perl Heap Overflow2 hackerone.com Blog Serverless Blind XSS hunter with Cloudflare Workers vavkamil.cz

  • 【2019/9/24】Road to Researcher in Security 1

    IE11 zeroday Summary IE11 zeroday https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367portal.msrc.microsoft.com www.jpcert.or.jp www.ipa.go.jp www.cisecurity.org Summary start to research in security news. today is one topic only.

  • めざせソースコード解析 Master その1【jQuery CVE-2011-4969】

    ネタ元 調査 jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起こるか? 課題 なぜ正しくチェックできないとXSSになるのか? なぜfirefoxとchromeは起きなかったのか? ネタ元 CVE www.cvedetails.com github github.com 調査 ながれ jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起きる? jqueryの使い方 qiita.com 脆弱性の検証について 事象 「$(location.hash)」の取り扱いによるXSS bugs.jq…

  • めざせIDOR Master その1

    IDOR、アクセス制御不備、認証不備の備忘録 HacktivityのPopularを読む。 IDOR hackerone.com アクセス制御不備 hackerone.com 認証不備 hackerone.com

  • I have a Dream. 新生された夢

    目標の新生 夢への想いについて まとめ 目標の新生 今日、2年くらい前に買った「夢をかなえるゾウ」を読みました。 そして感銘を受けました。 今まで持っていた夢は「ハッカーとして一流になる」というもの。 自分のことしか考えていなかった。 最近はグループでの交流が増え、グループのために何かを調べるということが増えていきました。 そういう現状と本を読んで得たことを踏まえ、夢を見直してみました。 「セキュリティを一般化させる」 夢への想いについて Twitterにも書いたのですが、Excelと同じような知名度でXSSなどが広まればな~と思ってます。 非常にITが便利な時代になり、便利な側面が広まってま…

  • 1人で勉強頑張ってたらセキュリティエンジニアにはなれない

    1人では出来ることは限りなく少ない。 Webの脆弱性診断士としての観点で書いていきます。 目的とライン 技術的側面でも難しい 私はどうやってきたか でも1人で勉強もしてくれ え?初心者で聞ける人がいない? まとめ 目的とライン セキュリティエンジニアとは? www.manpowerjobnet.com 私はWebの脆弱性診断をしているので、Webアプリのセキュリティを高めることに貢献しています。 なぜWebアプリのセキュリティに貢献する必要があるのか? それは、そのWebアプリを使っている人に被害が無いようにするためです。 なんでも好き勝手Webアプリを診断していいのか? 仕事で許可が出た範囲…

  • 脆弱性診断メモ

    個人的脆弱性診断メモ ※ここの情報は脆弱性診断、バグバウンティなどのセキュリティを守る目的のみで使用するものとし、悪用は厳禁です 目的 参考資料 通常パラメータ XSS(反射) SQLインジェクション コマンドインジェクション CRLFインジェクション 認可制御の不備 認証の不備 オープンリダイレクト ファイル名パラメータ パストラバーサル 決定処理 XSS(格納) SQLインジェクション、CRLFインジェクション、コマンドインジェクション 認証回避 認可制御 CSRF クリックジャッキング 設定関連 ディレクトリリスティング 不要なHTTPメソッド バージョン情報 cookieの属性設定 ク…

  • BBBの活動とこれからやりたいこと

    セキュリティキャンプ2019がありましたね。 参加してみたかった。。。 コミュニティに関してのスライドを見てモチベが上がってきたので、BugBountyBiginnersが何やっているかとこれから何やりたいかをまとめてみようと思います。 グループについて 活動内容 これからやりたいこと まとめ グループについて ビギナーだけどバグバウンティやりたい人のコミュニティです! ↓↓↓こちらを参照!↓↓↓ www.nicksecuritylog.com 活動内容 グループを作ってから2ヶ月とちょっと。 以下のことをやってきました。 情報共有 勉強会 個別企画 あっという間に時間が経ってしまいました。 …

  • 脆弱性診断士になって得たこと、感想【3ヶ月時点】

    先日、BBBで脆弱性診断士になってから得たことなどをお話しました。 割と話していて楽しかったのでこちらでもまとめておこうと思います。 なりかた 仕事の内容 スキルが無い場合 スキルがある場合 同僚 まとめ なりかた 誰でもなれます。 モチベと向上心があれば。 今の時代、どこの仕事も同じだと思いますが、「モチベ」と「向上心」があればだいたいなんとかなると思ってます。 むしろこの2つが無いとダメですね。 幸い今の会社でこのような方はいないのですが、前の会社や派遣先ではいました。 今回は実際に得たことをテーマにしているので、実際見て感じた雰囲気から考察していきます。 上記2つがある方は、すさまじい雰…

  • OWASP Juice Shopのjs解析してみた

    俺、js解析はじめます。 使用アプリ OWASP Juice Shop www.owasp.org 参考記事 no1zy.hatenablog.com やってみる jsファイル収集 何はともあれサイトにアクセス。 Burpでjsファイルをみつける。 Engagement tool>Find Script LinkFinderに通そうと思っているので、URLをコピー。収集完了。 LinkFinderを通してみた。 cloudflareとかyoutubeにリンクしてるのがわかるね。 情報として大きい。 ESLintを通してみた。 ESLintって何?インストール方法や使い方がわからん。。。 参考 …

  • オープンリダイレクトの基本検証

    バグバウンティ習得用のアウトプットとしてまとめます。 随時更新していきます。 ※バグバウンティの勉強の一貫として記載しています。 検証環境はすべて渡しのローカル環境です。 絶対に悪用しないでください オープンリダイレクトとは ペイロード google docs オープンリダイレクトとは 想定外のURLにリダイレクトされてしまう脆弱性です。 OWASP cheatsheetseries.owasp.org ペイロード https://domain.com @domain.com //domain.com 基本的に他サイトのURLやドメインを指定します。 正常 改ざん① 改ざん② 改ざん③ 何もし…

  • 【BW-pot】ハニーポットログ分析【7月】

    BW-pot 7月分の分析結果です。 ダッシュボード グラフ All tomcat wordpress phpmyadmin webshell other 各種トップアクセス まとめ ダッシュボード グラフ All tomcat wordpress phpmyadmin webshell other 各種トップアクセス まとめ tomcatでちょいちょい「ServiceControl.war」のアップロードを試行されてました。 バックドアみたいなものですかね? その後のアクセスはありませんでした。 wordpressはちょいちょいログイン成功のログはあるものの、その後のアクセスはありませんでし…

  • 【転職】SESのメリット・デメリット【個人感想】

    私を成長させてくれた業界。 私を最高にブチ切れさせた業界。 それが「SES」 体験から、メリット・デメリットを書いていきます。 転職の参考になればと思います。 SESとは メリット デメリット 向いてる人、向いてない人 こういう人に向いている! こういう人は向いてない。。。 まとめ SESとは システムエンジニアリングサービスの略です。 ITエンジニアの派遣ですね。 契約としては「準委任契約」となります。 時間に対して報酬が発生するので、成果物は関係ないです。 「請負契約」との大きな違いは成果物ですね。 <参考> boxil.jp メリット 未経験でも希望する分野で仕事できる可能性が高い 手っ…

  • 【外部記事まとめ】7pay記事・ニュースまとめ

    個人的がてらまとめます。 私の考え的なものは無いです(書けない。。。) 7月1日 7月3日 7月4日 7月5日 7月6日 7月8日 7月9日 7月10日 7月11日 7月12日 7月13日 7月15日 7月16日 7月1日 リリース https://www.7pay.co.jp/news/news_20190701_01.pdf 7月3日 公式第一報 www.7pay.co.jp 7月4日 公式 チャージ機能停止 www.7pay.co.jp www.7pay.co.jp www.7pay.co.jp 公式 緊急会見 www.youtube.com piyologその1 piyolog.hat…

  • バグバウンティビギナーグループの目的と本音

    目的とか話したことなかったのでまとめます。 バグバウンティを楽しむこと 本音はどうなのよ 管理人(Nick)について グループリンク バグバウンティを楽しむこと 誰でもバグバウンティを楽しめる これがやはり大事。みんなで楽しんでいこう。 グループを作った理由でもあるのですが、始める時にハードルが高い。 そのため、人が少なくて参考にできる情報が少なくて成長が遅い(私の) これを解消したい、そして始めた後もできないことで悩んでほしくないという思いがありました。 これらはグループそのものの目的ですが、個人個人で目的があると思います。 それを尊重していきたいと思ってます。 私の目的は、「賞金と知識を得…

  • 【時間の使い方】1日没頭なんてできない【体験談】

    休みの日だからバグバウンティに没頭してみようと思い、1日中やってました。 その時に体験したことが画期的だったため、忘れないうちにまとめておきます。 没頭なんてできない 健康維持が大事 睡眠時間の捉え方 他の時間はどうするか? まとめ 没頭なんてできない 1日没頭なんてできませんでした。 実際取り組んでみた時間は「7:00~17:00」です。 食事休憩とかは入ってるので8~9時間ってところですかね。 終わってみた感想はこんなかんじです。 頭がぼーっとする 目が痛い 腰が痛い 後半ぼーっとしてた もうこの時間でやりたいと思わない さんざんですね。 また、体感で集中できる時間は「3~4時間」が限度だ…

  • 【抜粋】海外のバグバウンティガイドで参考になったこと【ブログ】

    海外の方はとても優しくて懇切丁寧にまとめてくれます。 しかし、内容が難しい上に英語なので、理解できるところが少ないです。 私が読んでいて参考になると思ったところを抜粋して紹介します。 海外の方はやる気も満点なのでなかなか高度なことを要求してきますが、やりたいところからやりましょう。 マインド 基礎知識 情報収集 環境を変える 終わりに 参考ブログ マインド 長時間1人で取り組み続ける 短期間で成果なんか出ないよってことが書いてあることが多いです。 これは大事ですね。 踏み込んで書いてあるものだと、「楽しむこと」とあるのもあります。 これからごちゃごちゃと書いていきますが、結局これが結論で最強な…

  • 【考察】新卒は最初の会社で何年働くべきなのか?【決まりはない】

    私もこのテーマについて語っていきたいです。 去年、同い年たちが新卒として働き始めてましたが大変そうでした。 多くは一般人なので、文句を言いながらもずっと働く雰囲気でいました。 学校でもそう教えられてきたのでしょうがないですね。 いや、しょうがなくないでしょ!! 新卒組、若手組。迷うことは無いんだ。 何年とかない 我慢することはない いい加減なのはダメ お互いのことを考える 終わりに 何年とかない そんなんない。 辞めたかったらいつだって辞めたら良い。 我慢することはない その人が必要な分、満足するまでで良いと思います。 それが一生であれば、一生なんだと思います。 (定年の概念はもう無くなるので…

  • 【マインド】参考になった本の紹介【おすすめ本】

    読んでいて参考になったな~と思う本を紹介します。 新しい考えなどを得るときに本はいいですね。あと単純に面白い。 随時追加していこうと思います。 すべての教育は「洗脳」である~21世紀の脱・学校論~ エンジニアの知的生産術 まとめ すべての教育は「洗脳」である~21世紀の脱・学校論~ すべての教育は「洗脳」である 21世紀の脱・学校論 (光文社新書) 堀江貴文さんの本です。私はこの方の考え方が好きです。 根幹を占めているのは「好きなことをやる」だと思うのですが、これが本当に好きなんですよね。 特にこのバグバウンティというか、セキュリティの分野ってこの本のテーマにもされている「教育」ではあまり触れ…

  • 【バグバウンティ】初心者からの抜け方【初級者になる】

    以前、とりあえず始めるために記事を作りました。 www.nicksecuritylog.com 今回はそのあたりのサポートみたいな記事になります。 海外の記事でfor beginnerはたくさんありますが、「beginner」のレベルが高い。 HTTP、NW、プログラムの基礎を学ぶって、そりゃそうだが、誰がそのプランで行動できるんだ・・・ たぶん、私は初心者から抜けた「初級者」にいると思います。 初級者目線で書かれたfor beginner記事は見かけたことが無いので、作ってみます。 ※筆者の経験を元にした記事です。この記事が誰にとっても正解であるとは限りません。 初心者・初級者の定義 筆者の…

  • 【転職】生きていれば無駄なことはなかったとわかったこと【セキュリティエンジニアへの道】

    伝えたいこと 背景 事例紹介 テクニカルサポート時代 プログラマー時代 SES時代 まとめ 伝えたいこと 絶望しても、心が折れても、生きていれば無駄なことはない。 背景 私は今年24歳になります。 普通なら2年目の年ですが、高卒なので6年目です。 今に至るまで、割と苦労をしました。 それは、仕事が多いとか、人間関係がうんたらとかではなく、「知識がつかない」ということでの葛藤でした。 1週間7日のうち、働くのは5日。 1日働くのは8時間だが、通勤、準備、休憩も含めれば12時間ほど。 生活の大半は会社で働いていることになります。 会社でやっていたことは、ほとんどが技術力が低くてもできることでした。…

  • 【無知の知】何がわからないかわかる方法【資格・プログラミング・バグバウンティ】

    わりと様々なところでこのような意見を聞きます。 「何がわからないかわからない」 私にもこのような悩みを抱えたことがあり、今は解消できたので参考になればとがてら記事にします。 結論 ~とりあえず実践~ 前提 ~1つのステップを越えている~ 体験談 資格勉強 プログラミング バグバウンティ 最後に 結論 ~とりあえず実践~ 「気になっていることをとりあえず実践する」 この悩みが出るときはだいたい、実践していないです。 最近調べたのですが、「ダニング=クルーガー効果」というのが近いと思います。 この効果はざっくりいうと「能力が低い時は自信が高い」というものです。 ja.wikipedia.org 厳…

  • 【体験談】未経験からセキュリティエンジニアへのなりかた【脆弱性診断士】

    私が過去求めたシリーズ。 SESのころ、一日に何回「セキュリティエンジニア なりかた」、「セキュリティエンジニア 未経験」で検索しかたわかりません。 前にセキュリティエンジニア(脆弱性診断士)になった経緯を記事にしました。 www.nicksecuritylog.com 今回は実際に役に立ったと思ったことをまとめます。 どこかの誰かの役にたてば幸いです。 ※Webの脆弱性診断士を前提として書きます 結論 ~やりたいことをやる~ 理由~熱中できる人はレア~ 簡潔に手順 終わりに~セキュリティエンジニアになろうと思ったときには、既にセキュリティエンジニアになっていた~ 結論 ~やりたいことをやる~…

  • 【BugBounty】 2019年6月16日 活動日記

    ※hackerone経由で公式にwebの調査をしています。 やろうとしたこと やったこと 次やりたいこと 得たこと、成長したこと 気になったもの やろうとしたこと 実践 やったこと 実践(事前調査) 1.実践(事前調査) js解析からGoogle Hackingをやってみました。 js解析はLinkFinder、Google Hackingはオープンリダイレクト調査ですね。 js解析はいまいちやってることがあってるかわからないです。 一応、DOMXSSの原因となりそうな箇所は見つかったので、間違っていないとは思いますが。 (対策はされてました) 次はWebの役割を把握しようと思います。 アカウ…

カテゴリー一覧
商用