12/23 12/24 subdomain takeover 12/25 作業効率化、メンタル面強化 12/28 subdomain takeover reconツール作成 12/23 バグハント手順作成 フェーズを決める。 12/24 subdomain takeover できる条件が不明。 CNAMEがあって、名前解決ができないもの →これはNS takeover?ネームサーバを紐付けする? どうやってできると判別しているのか? CNAMEの期限切れ? 12/25 作業効率化、メンタル面強化 昼寝 音楽聴きながら30分ほど。 想像以上に頭がスッキリする。 よほどの理由が無い限りやったほうが…
2019年の振り返り 2019年は検証の年でした。 脆弱性診断士になったり、グループを始めたり、ブログを頑張ってみたり。 ここ最近で一番成長することができ、楽しかった年でした。 一番良かったのは、自分が楽しいと思える生活がわかったことです。 仕事はインフラ(社内SEやテクニカルサポート)や開発をやってきました。 どちらもある程度想像できる仕事内容です。 インフラで、夜に設定作業をしたり、問い合わせ対応をするのはとてもつまらなかったです。 開発でお客さんの要望通りに決められた言語とフレームワークでアプリを作るのはとてもつまらなかったです。 要望されたことを、要望された範囲でやることが自分には合い…
投資生活 10週目 2019年12月30日(月) 累計64日
インデックス投資 ロボティクス FX まとめ インデックス投資 現在:230954円 トータル:+12954円 ロボティクス 現在:161057円 トータル:+10557円 FX 現在:1139811円 トータル:+30664円 まとめ 現在:1531822円 トータル:+54175円
SNSを辞めたら生活が楽しくなった。 SNSはTwitterで、厳密に言うとTLを眺めている行為。 とりあえずでセキュリティ関係の人をフォローしてTLを眺めていた。 情報収集もできるし、暇つぶしもできるから良いかなと思っていた。 辞めたきっかけは、時間と通信量を使っていたからだった。 思い切ってモバイル通信をオフにした。 最初に思ったことは、特に生活に影響がない、ということだった。 別にTwitterが見れなくても何か困るわけじゃなかった。 ただ、夜は少しTwitterを見たいた。 しかし、それも海外のバグハンターや#bugbounty など、バグバウンティ関連の情報を探すときのみ。 Twit…
駆け出し脆弱性診断士はどこ行った? 対象者 場所 内容 終わりに 駆け出し脆弱性診断士はどこ行った? 今年1年、脆弱性診断士として楽しく過ごすことができました。 割とTwitter見てる方ですが、思うことがあります。 駆け出し脆弱性診断士どこ行った? ハッシュタグで#駆け出しエンジニアとつながりたい ってやつがあります。 なので、このエンジニアは割といるんだと思います。 あれ?脆弱性診断士は? もしいるならお話してみたいと思い、この記事を作ってみました。 (いないならいないでバグハントのライバルが減ると思ってます) 対象者 駆け出し脆弱性診断士(自称でOK) 場所 CSL webチャンネル w…
GraphQL bugbounty 調査レポート Ver1.0
目的 成り立ち 学習用リソース セキュリティ 公開レポート 目的 脆弱性診断士として、Webに関わる技術を学び、サービス向上に繋げる。 成り立ち 2012年にFacebookが作成した。 従来のRESTでは、アプリ側で使用するデータセットの観点で取得するデータの内容が考えられていなかった。 それらに対応するには、サーバサイドで対応する必要があった。 モバイルアプリの限られたネットワーク内で複雑なデータを扱う必要があったため、Facebook News Feed APIとして使用する目的で作成された。 アプリ側で必要なものを取得できるような形式であり、限られたリソース内で必要なデータだけを取得で…
12/15 GraphQL 12/17 読んだ記事 XSS 歴史 12/18 読んだ記事 XSS 事例 12/19 読んだ記事 XSSの機能面での対策 12/21 XSS フィルタ 12/15 GraphQL 成り立ち 2012年にFacebookが開発した。 当初はFacebook News Feed APIとして使用する目的で作成された。 モバイルアプリの限られたネットワーク内で複雑なデータを扱う必要があったため。 www.channelfutures.com 2015年にオープンソース化された。 そして、2018年にGraphQL Foundationが作成された。 foundation…
今までnoteに書いてたんですが、こっちに書くことにしました。 セキュリティ関連じゃないけど、許してください。 インデックス投資 ロボティクス FX まとめ インデックス投資 現在:195858円 トータル:+10858円 ロボティクス 現在:160009円 トータル:+9509円 FX 現在:1140026円 トータル:+30879円 まとめ 現在:1495893円 トータル:+51246円
12/7 12/8 12/9 12/14 12/7 Android用環境作成 静的解析からネットワーク解析まで始めることが可能に。 静的解析はAndroid Tamerを使用。 とはいえ、MobSFくらいしか使っていない。 androidtamer.com 動的解析はAndroid Studioのadbを使用。 ネットワークはBurp。 ARMのバイナリが入っているapkはエミュレータにインストールできないらしい? Cookie samesite属性について 意気揚々とCSRFをやろうとしたら、こいつのせいで出来なかった。 ドメインをまたぐときにCookieをセットするかの設定とのこと。 これ…
セキュリティエンジニア(脆弱性診断士)として、スキル習得の過程メモです。 ここにかかれていること、学んだことは安全確保・セキュリティ防御のみに使用されます。 11/28 11/29 12/1 12/3 12/4 12/5 12/6 11/28 jQuery CVE-2019-11358について nvd.nist.gov Object.prototype pollutionにより jQuery.extend(true, {}, ...)を誤って処理する。 サニタイズされていないproto がある場合、Object.prototypeを拡張できる。 疑問・調査点 Object.prototype …
「ブログリーダー」を活用して、Nickさんをフォローしませんか?
指定した記事をブログ村の中で非表示にしたり、削除したりできます。非表示の場合は、再度表示に戻せます。
画像が取得されていないときは、ブログ側にOGP(メタタグ)の設置が必要になる場合があります。
![FLUX.1 Kontext [dev]を使ってみた](https://img.blogmura.com/sites/718692/post-images/72680042.webp/crop/120x120)
