週間 Nick気になった記事(Web・スマホ・その他) ver3

Web スマホ その他 Web Web shell attacks continue to rise Web Shellは増え続けているよという記事。 Web Shellアップロード可能なCVEとエクスプロイトが例としてあり、わかりやすい。 どのような手法でアップロードし、永続化するかというのも書いてある。 そもそもがMSの記事なので、Defenderがどう動作するかも書いてある。 Red、Blueともに参考になる記事。 一方、この記事が出て困るのはセキュリティに時間を割けない企業か。 攻撃・防御の手法が記載されているということは、少なくともこれらを知って対策していないとスタートラインに立てな…

【技術書感想】Software Design 2021年2月

感想 Web API システム監視 チームで仕事をする 脆弱性をふさぐ まとめ 終わりに 感想 Web API メインテーマは「Web API」でした。 APIとはどういったものか、なぜ公開されているのかというのも取り扱っていました。 APIがピンと来ていない方に良いかもです。 基本的な設計方針（REST）もありました。 このあたりで設計ミスがあると、想定外のデータを消してしまったり受け入れてしまったりするので、解説があるのがとても助かります。 ちょこっとCORSにも触れられているのも良いなと思いました。 少し前にGraphQLを調べた時に見た、GraphQLが生まれた理由みたいなこともありま…

週間 Nick気になった記事(Web・スマホ・その他) ver2

Web スマホ その他 Web API adoption is on the rise across all industries APIの人気が高まる。 サーバレスなどいろいろ目を向けなきゃね。 www.helpnetsecurity.com THE 10 MOST COMMON BUGS OF 2021 SO FAR, AND HOW TO FIND THEM! CSRF、サブドメインテイクオーバーが多いというのは衝撃。 機密情報の漏洩を防ぐのは世界的にも難しいことになっているっぽい。 www.bugcrowd.com Dependency Confusion: How I Hacked …

【技術書感想】コンピュータハイジャッキング

感想 まとめ 終わりに 感想 この本は短期の出張があったので、その時に読みました。 順を追って解説されているので、とてもわかりやすかったです。 というのも、CTFのpwn分野に興味を持つことがたびたびあったのですが、CTFのpwn分野で入門記事を探すと、 いきなり「オーバーフローが何ビットでうんたら」だとか「アセンブリがうんたら」だとか出てきました。 事前知識が無いので、何のことかさっぱり。 流石に読めばある程度理屈はわかりますが、納得感はありません。 基礎知識を埋めるために、プログラムの動作原理などの低レイヤの本を読んでも、長続きしません。 現実のやりたいことと離れすぎていて、飽きてしまいま…

週間 Nick気になった記事(Web・android・iOS) ver1

web android ios その他 web Playing Fetch: New XS-Leak exploits browser redirects to break user privacy The Daily Swig クライアントサイドの攻撃も進化していく。 portswigger.net android How to use Ghidra to Reverse Engineer Mobile Application soファイルを取り扱うのを具体的に書いているのを始めてみた。 apkファイルのリバースでは、soファイルをどうするかというのを悩んでいたのでちょうどよかった。 m…