プロフィールPROFILE

Nickさんのプロフィール

住所
未設定
出身
未設定

自由文未設定

ブログタイトル
Nick Security Log
ブログURL
https://www.nicksecuritylog.com
ブログ紹介文
セキュリティについて脆弱性を中心に調べていくブログです。
更新頻度(1年)

26回 / 115日(平均1.6回/週)

ブログ村参加:2019/09/26

本日のランキング(IN)
読者になる

新機能の「ブログリーダー」を活用して、Nickさんの読者になりませんか?

ハンドル名
Nickさん
ブログタイトル
Nick Security Log
更新頻度
26回 / 115日(平均1.6回/週)
読者になる
Nick Security Log

Nickさんの新着記事

1件〜30件

  • ウィークリーバグバウンティレポート vol.2

    1/10~1/17のまとめです。 注意事項 脆弱性情報 Cryptic Rumblings Ahead of First 2020 Patch Tuesday Citrix CVE-2019-19781 記事 Breaking into Information Security: Learning the Ropes 101 Kali Linux - An Ethical Hacker's Cookbook, 2nd Edition ($44.99 Value) FREE for a Limited Time Awesome-Hacking Public Bug Bounty Takes Ai…

  • ウィークリーバグバウンティレポート vol.1

    1/4~1/10で見た記事や面白かったもののまとめです。 この期間で見たものとなるため、新たに作成されたものや更新されたものではないことをご了承ください。 注意事項 脆弱性情報 Tik or Tok? Is TikTok secure enough? Firefox Critical Zero-Day Being Exploited: Patch NOW 記事 OWASP API Security Top 10 2019 Bypass SameSite Cookies Default to Lax and get CSRF Hunting Good Bugs with only [BODYも分…

  • Nick today topic 2020/1/7

    記事 How I have exploited reflected self-XSS or CORS is not the end the-book-of-secret-knowledge The Web Application Hacker's Handbook Twitter SQLi Write Up Subdomain Takeover Tools 動画 Live Recon Stream #3: Tesla 感想 記事 How I have exploited reflected self-XSS or CORS is not the end skavans.ru 後で見る。 COR…

  • Nick today topic 2020/1/6

    記事 [BODYも分かる!] AWS WAFでXSS / SQLiのログに詳細が記録されるようになりました[アップデート] awesome-mobile-security Two Easy RCE in Atlassian Products Top 10 web hacking techniques of 2019 - nominations open A list of resources for those interested in getting started in bug bounties Twitter API TIP Hakrawler 記事 [BODYも分かる!] AWS W…

  • Nick技術週報 12/29~1/4

    いつ何をしたか忘れました。 ほぼメンタル関連です。 時間別の気持ち 朝 昼 夕 夜 モチベーション作成について 勉強法 時間別の気持ち 朝 8時より前の時間は起きれない。 前日何時に寝ても眠い。 昼 10:00~15:00 この時間が一番元気。 夕 16:00~18:00 使い物にならないことが多い。 この時間の記憶が一番薄い。 おそらく頭はもう使えないので、休日ならジム行ったほうが良い。 平日は仕事中 or 帰宅途中なので割とどうでもいい。 夜 19:00~ 日中の過ごし方によるが、ある程度頭が働いている。 昼の6割くらい(夕は昼の3割以下) 睡眠時間は最低7時間確保できていれば、起床時間に…

  • 投資生活 11週目 2020年1月5日(日) 累計70日

    インデックス投資 ロボティクス FX まとめ インデックス投資 現在:231038円 トータル:+13038円 ロボティクス 現在:161057円 トータル:+10557円 FX 現在:1140686円 トータル:+31539円 まとめ 現在:1532781円 トータル:+55134円 アメリカのイラン関係でニュースが騒いでいるので、全体的にガクッと下がる可能性が非常に高い。 1~2月は生き残ることをメインに考えよう。

  • 2020年の生活超効率化術

    あけましておめでとうございます。 2020年もガンガン楽しんでいきます。 2019年、1日が24時間じゃ足りないと思っていたので、2020年はまずそれを増やそうかと思います。 そこで、やってみた中で使えそうなワザをまとめていきます。 ほとんど読んだ本の参考です。 時間革命 堀江貴文 他人の時間を生きない オマケ 無駄を無くす 最短の時間で最大の成果を手に入れる 超効率勉強法 クロノタイプに逆らわない BGMをうまく使う 調査中 睡眠 運動 朝食 昼食 昼寝 まとめ 終わりに 時間革命 堀江貴文 (function(b,c,f,g,a,d,e){b.MoshimoAffiliateObject=…

  • Nick技術週報 12/22~12/28

    12/23 12/24 subdomain takeover 12/25 作業効率化、メンタル面強化 12/28 subdomain takeover reconツール作成 12/23 バグハント手順作成 フェーズを決める。 12/24 subdomain takeover できる条件が不明。 CNAMEがあって、名前解決ができないもの →これはNS takeover?ネームサーバを紐付けする? どうやってできると判別しているのか? CNAMEの期限切れ? 12/25 作業効率化、メンタル面強化 昼寝 音楽聴きながら30分ほど。 想像以上に頭がスッキリする。 よほどの理由が無い限りやったほうが…

  • 2019年の振り返りと2020年の豊富

    2019年の振り返り 2019年は検証の年でした。 脆弱性診断士になったり、グループを始めたり、ブログを頑張ってみたり。 ここ最近で一番成長することができ、楽しかった年でした。 一番良かったのは、自分が楽しいと思える生活がわかったことです。 仕事はインフラ(社内SEやテクニカルサポート)や開発をやってきました。 どちらもある程度想像できる仕事内容です。 インフラで、夜に設定作業をしたり、問い合わせ対応をするのはとてもつまらなかったです。 開発でお客さんの要望通りに決められた言語とフレームワークでアプリを作るのはとてもつまらなかったです。 要望されたことを、要望された範囲でやることが自分には合い…

  • 投資生活 10週目 2019年12月30日(月) 累計64日

    インデックス投資 ロボティクス FX まとめ インデックス投資 現在:230954円 トータル:+12954円 ロボティクス 現在:161057円 トータル:+10557円 FX 現在:1139811円 トータル:+30664円 まとめ 現在:1531822円 トータル:+54175円

  • SNSを辞めたら毎日が変わった

    SNSを辞めたら生活が楽しくなった。 SNSはTwitterで、厳密に言うとTLを眺めている行為。 とりあえずでセキュリティ関係の人をフォローしてTLを眺めていた。 情報収集もできるし、暇つぶしもできるから良いかなと思っていた。 辞めたきっかけは、時間と通信量を使っていたからだった。 思い切ってモバイル通信をオフにした。 最初に思ったことは、特に生活に影響がない、ということだった。 別にTwitterが見れなくても何か困るわけじゃなかった。 ただ、夜は少しTwitterを見たいた。 しかし、それも海外のバグハンターや#bugbounty など、バグバウンティ関連の情報を探すときのみ。 Twit…

  • #駆け出し脆弱性診断士とつながりたい

    駆け出し脆弱性診断士はどこ行った? 対象者 場所 内容 終わりに 駆け出し脆弱性診断士はどこ行った? 今年1年、脆弱性診断士として楽しく過ごすことができました。 割とTwitter見てる方ですが、思うことがあります。 駆け出し脆弱性診断士どこ行った? ハッシュタグで#駆け出しエンジニアとつながりたい ってやつがあります。 なので、このエンジニアは割といるんだと思います。 あれ?脆弱性診断士は? もしいるならお話してみたいと思い、この記事を作ってみました。 (いないならいないでバグハントのライバルが減ると思ってます) 対象者 駆け出し脆弱性診断士(自称でOK) 場所 CSL webチャンネル w…

  • GraphQL bugbounty 調査レポート Ver1.0

    目的 成り立ち 学習用リソース セキュリティ 公開レポート 目的 脆弱性診断士として、Webに関わる技術を学び、サービス向上に繋げる。 成り立ち 2012年にFacebookが作成した。 従来のRESTでは、アプリ側で使用するデータセットの観点で取得するデータの内容が考えられていなかった。 それらに対応するには、サーバサイドで対応する必要があった。 モバイルアプリの限られたネットワーク内で複雑なデータを扱う必要があったため、Facebook News Feed APIとして使用する目的で作成された。 アプリ側で必要なものを取得できるような形式であり、限られたリソース内で必要なデータだけを取得で…

  • Nick技術週報 12/15~12/21

    12/15 GraphQL 12/17 読んだ記事 XSS 歴史 12/18 読んだ記事 XSS 事例 12/19 読んだ記事 XSSの機能面での対策 12/21 XSS フィルタ 12/15 GraphQL 成り立ち 2012年にFacebookが開発した。 当初はFacebook News Feed APIとして使用する目的で作成された。 モバイルアプリの限られたネットワーク内で複雑なデータを扱う必要があったため。 www.channelfutures.com 2015年にオープンソース化された。 そして、2018年にGraphQL Foundationが作成された。 foundation…

  • 投資生活 9週目 2019年12月21日(土) 累計55日

    今までnoteに書いてたんですが、こっちに書くことにしました。 セキュリティ関連じゃないけど、許してください。 インデックス投資 ロボティクス FX まとめ インデックス投資 現在:195858円 トータル:+10858円 ロボティクス 現在:160009円 トータル:+9509円 FX 現在:1140026円 トータル:+30879円 まとめ 現在:1495893円 トータル:+51246円

  • Nick技術週報 12/7~12/14

    12/7 12/8 12/9 12/14 12/7 Android用環境作成 静的解析からネットワーク解析まで始めることが可能に。 静的解析はAndroid Tamerを使用。 とはいえ、MobSFくらいしか使っていない。 androidtamer.com 動的解析はAndroid Studioのadbを使用。 ネットワークはBurp。 ARMのバイナリが入っているapkはエミュレータにインストールできないらしい? Cookie samesite属性について 意気揚々とCSRFをやろうとしたら、こいつのせいで出来なかった。 ドメインをまたぐときにCookieをセットするかの設定とのこと。 これ…

  • Nick技術週報 11/28~12/6

    セキュリティエンジニア(脆弱性診断士)として、スキル習得の過程メモです。 ここにかかれていること、学んだことは安全確保・セキュリティ防御のみに使用されます。 11/28 11/29 12/1 12/3 12/4 12/5 12/6 11/28 jQuery CVE-2019-11358について nvd.nist.gov Object.prototype pollutionにより jQuery.extend(true, {}, ...)を誤って処理する。 サニタイズされていないproto がある場合、Object.prototypeを拡張できる。 疑問・調査点 Object.prototype …

  • 個人的に使っているバグバウンティの情報収集手段

    Hacker101 community Hacktivity Bugcrowd community Bugcrowd University Reddit Medium Twitter Bugbounty World Bugbounty Forum portswigger Google Hacker101 community www.hacker101.com discordapp.com hackeroneが提供する勉強用サービス。 動画で勉強し、CTFで実践できる。 discordでコミュニティも用意されている。 内容はCTFのことだけではなく、全般的なものとなる。 最近参加し、ボリュームが…

  • バグバウンティの基礎みたいなところ

    ほとんど0からの人は何すればいいですか?って聞かれた気がしたので、まとめてみます。 脆弱性とかを知る前に、基礎のところを知らんとわけわからんと思うので、そのあたりです。 細かく各単語や機能を説明するわけではなく、簡単に紹介して詳細は他記事や本を参照する形です。 流れを把握したり、参考として使ってもらえればと思います。 Webを知る クライアントを知る サーバを知る HTTPを知る URL リクエスト、レスポンス パラメータ セッション、Cookie サイトに使われている技術を知る HTML JavaScript CSS PHP Java Ruby etc... Next Step <補足>マイ…

  • バグバウンティの学び方 beta

    バグバウンティをやり始めて1年。 脆弱性診断士を始めて半年。 勉強のやり方や情報収集などを試行錯誤してきました。 今私が考えている学び方を残しておこうと思います。 今後変わる可能性は大いにあるのでbeta版としておきます。 1年前の自分に向けて。 セキュリティの基本、モラルを学ぶ 教えてもらえる環境を探す 実際に学ぶ 知識をつける 随時アウトプットする 検証環境で確かめる (脆弱性診断士でない場合)検証環境を診断してみる (脆弱性診断士でない場合)実際の環境を可能な範囲で診断してみる 試行錯誤する 情報収集をする 気に入った脆弱性を選び、集中して学ぶ 終わりに 参考 セキュリティの基本、モラル…

  • アウトプットしやすい環境を作りたい

    もっと、もっとたくさんの情報がほしい。 色んな人と切磋琢磨をしたい。 だが、アウトプットしている人はだいたい強い人ばかり。 初心者クラスの人もいなくはないが、比率を考えると初心者クラスの方が圧倒的に多くてもおかしくないのでは? アウトプットは自分自身に大きな影響がある。 誰も見ていなくても、自分自身に役に立つ。 それを気軽にできる環境を作りたい。 CSLを、そんな環境にしていく。 アウトプットしやすい環境について どう変わるか 内容について アウトプットするのが怖い場合 アウトプットの効力 終わりに アウトプットしやすい環境について 私が作ったCSLは、2週間程前からアウトプットを主体とした方…

  • CSL(Cyber Security Learners)に進化!セキュリティの世界へようこそ!

    概要 対象者 対象分野 活動内容 ルール 入り方 作成時の状況(2019年10月13日段階) 終わりに 概要 バグバウンティのビギナーグループをやってましたが、それをサイバーセキュリティを学んでいる方向けグループにしました! 理由は、思ったより幅広い分野をやっている方が多く、範囲を広げたほうが面白くなりそうだったからです。 対象者 サイバーセキュリティを学習している方 レベル感問わず 対象分野 ネットワーク フォレンジック バイナリ ios android pwn web crypto マルウェア ハニーポット プラットフォーム iot リサーチ 運用(企業のセキュリティ担当者とかそのあたり)…

  • 脆弱性診断士の軌跡 半年くらい v1.0

    振り返り 知識 課題 振り返って感想 勉強法 やる時間帯 内容 やりかた 準備 勉強時間 環境 まとめ おわりに 振り返り 知識 基本的なものは検出可能。 XSS SQLインジェクション オープンリダイレクト IDOR パストラバーサル 不必要な情報の公開 認証関連の不備 セキュリティヘッダの不備 Cookie設定の不備 脆弱なミドルウェア、フレームワーク などなど 脆弱性診断プロジェクトで言うSilverを満たしているレベルかな? 課題 根本的なところがたくさん。 脆弱性のリスクについての詳細な説明 脆弱性の対策方法の熟知 脆弱性検出の応用 プラットフォーム別の診断方法 理由について。 リス…

  • セキュリティを仕事にするためにSES時代にやったこと

    思い返せば、SESのころもセキュリティに関連する業務は出来ました。 問題はそれが自分にとってあってるかどうかですよね。 社会人2~3年目 社内SE時代 社会人5年目 テクニカルサポート時代 まとめ 終わりに 社会人2~3年目 社内SE時代 社内SEのころのメイン業務は問い合わせ対応でした。 基本は電話で問い合わせが来るので、来ないときは暇。そんな仕事です。 ある時、ウイルスの対応をしました。 そこからセキュリティに興味が出ました。 ウイルス対応によりセキュリティに興味が出たので、やりたいことといったらもちろんマルウェア解析です。 ただ、それは出来ないので課題と現状出来ることを考えました。 課題…

  • 【2019/9/27】Road to Researcher in Security 4

    Last time www.nicksecuritylog.com All GitLab Security Secure Coding Training about.gitlab.com XSS cheat sheet XSS cheat sheet blockchain×OSS prtimes.jp

  • 【2019/9/26】Road to Researcher in Security 3

    Last Time www.nicksecuritylog.com Blog Zero-Day RCE in vBulletin v5.0.0-v5.5.4 blog.sucuri.net oh,PHP template injection RCE. I want to verify someday. today? tommoroww? Bug fixed Jenkins Security Advisory 2019-09-25 jenkins.io Jenkins had many many XSS. Recognized that XSS is a major vulnerability.…

  • Road to source code analysys master 2【jQuery CVE-2012-6708】

    Last time www.nicksecuritylog.com source research event fix place test task source CVE www.cvedetails.com github github.com research flow event fix place test cause event selector interpreted as HTML bugs.jquery.com fix place before rquickExpr = /^(?:[^#<]*(<[\w\W]+>)[^>]*$|#([\w\-]*)$)/, after rqui…

  • 【2019/9/25】Road to Researcher in Security 2

    Last time www.nicksecuritylog.com Disclosed bug Blog Disclosed bug Open SSL Code Injection hackerone.com Brave Software XSS hackerone.com Perl Heap Overflow1 hackerone.com Perl Heap Overflow2 hackerone.com Blog Serverless Blind XSS hunter with Cloudflare Workers vavkamil.cz

  • 【2019/9/24】Road to Researcher in Security 1

    IE11 zeroday Summary IE11 zeroday https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/CVE-2019-1367portal.msrc.microsoft.com www.jpcert.or.jp www.ipa.go.jp www.cisecurity.org Summary start to research in security news. today is one topic only.

  • めざせソースコード解析 Master その1【jQuery CVE-2011-4969】

    ネタ元 調査 jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起こるか? 課題 なぜ正しくチェックできないとXSSになるのか? なぜfirefoxとchromeは起きなかったのか? ネタ元 CVE www.cvedetails.com github github.com 調査 ながれ jqueryの使い方 脆弱性の検証について 事象 どこがどう修正されている? どんな意味か? 検証 なぜ起きる? jqueryの使い方 qiita.com 脆弱性の検証について 事象 「$(location.hash)」の取り扱いによるXSS bugs.jq…

カテゴリー一覧
商用
読者になる