セキュリティを仕事にするためにSES時代にやったこと

思い返せば、SESのころもセキュリティに関連する業務は出来ました。 問題はそれが自分にとってあってるかどうかですよね。 社会人2～3年目 社内SE時代 社会人5年目 テクニカルサポート時代 まとめ 終わりに 社会人2～3年目 社内SE時代 社内SEのころのメイン業務は問い合わせ対応でした。 基本は電話で問い合わせが来るので、来ないときは暇。そんな仕事です。 ある時、ウイルスの対応をしました。 そこからセキュリティに興味が出ました。 ウイルス対応によりセキュリティに興味が出たので、やりたいことといったらもちろんマルウェア解析です。 ただ、それは出来ないので課題と現状出来ることを考えました。 課題…

【2019/9/27】Road to Researcher in Security 4

Last time www.nicksecuritylog.com All GitLab Security Secure Coding Training about.gitlab.com XSS cheat sheet XSS cheat sheet blockchain×OSS prtimes.jp

【2019/9/26】Road to Researcher in Security 3

Last Time www.nicksecuritylog.com Blog Zero-Day RCE in vBulletin v5.0.0-v5.5.4 blog.sucuri.net oh,PHP template injection RCE. I want to verify someday. today? tommoroww? Bug fixed Jenkins Security Advisory 2019-09-25 jenkins.io Jenkins had many many XSS. Recognized that XSS is a major vulnerability.…

Road to source code analysys master 2【jQuery CVE-2012-6708】

Last time www.nicksecuritylog.com source research event fix place test task source CVE www.cvedetails.com github github.com research flow event fix place test cause event selector interpreted as HTML bugs.jquery.com fix place before rquickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$ #([\w\-]*)$)/, after rqui…

【2019/9/25】Road to Researcher in Security 2

Last time www.nicksecuritylog.com Disclosed bug Blog Disclosed bug Open SSL Code Injection hackerone.com Brave Software XSS hackerone.com Perl Heap Overflow1 hackerone.com Perl Heap Overflow2 hackerone.com Blog Serverless Blind XSS hunter with Cloudflare Workers vavkamil.cz

【2019/9/24】Road to Researcher in Security 1

IE11 zeroday Summary IE11 zeroday https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367portal.msrc.microsoft.com www.jpcert.or.jp www.ipa.go.jp www.cisecurity.org Summary start to research in security news. today is one topic only.

めざせソースコード解析 Master その1【jQuery CVE-2011-4969】

ネタ元 調査 jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている？ どんな意味か？ 検証 なぜ起こるか？ 課題 なぜ正しくチェックできないとXSSになるのか？ なぜfirefoxとchromeは起きなかったのか？ ネタ元 CVE www.cvedetails.com github github.com 調査 ながれ jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている？ どんな意味か？ 検証 なぜ起きる？ jqueryの使い方 qiita.com 脆弱性の検証について 事象 「$(location.hash)」の取り扱いによるXSS bugs.jq…

めざせIDOR Master その1

IDOR、アクセス制御不備、認証不備の備忘録 HacktivityのPopularを読む。 IDOR hackerone.com アクセス制御不備 hackerone.com 認証不備 hackerone.com

I have a Dream. 新生された夢

目標の新生 夢への想いについて まとめ 目標の新生 今日、2年くらい前に買った「夢をかなえるゾウ」を読みました。 そして感銘を受けました。 今まで持っていた夢は「ハッカーとして一流になる」というもの。 自分のことしか考えていなかった。 最近はグループでの交流が増え、グループのために何かを調べるということが増えていきました。 そういう現状と本を読んで得たことを踏まえ、夢を見直してみました。 「セキュリティを一般化させる」 夢への想いについて Twitterにも書いたのですが、Excelと同じような知名度でXSSなどが広まればな～と思ってます。 非常にITが便利な時代になり、便利な側面が広まってま…