こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
Send feedback Encryption in transit Stay organized with collections Save and categorize content based on your preferences. This is the third whitepaper on how Google uses encryption to protect your data. In this whitepaper, you will find more detail on encryption in transit for Google Cloud and Google Workspace. For all Google products, we strive to keep customer data highly protected and to be as
Wuffs' goal is to produce software libraries that are as safe as Go or Rust, roughly speaking, but as fast as C, and that can be used anywhere C libraries are used. This includes very large C/C++ projects, such as popular web browsers and operating systems (using that term to include desktop and mobile user interfaces, not just the kernel). Wuffs the Library is available as transpiled C code. Othe
cbctf_ssr.md CBCTF SSR Writeup ゲームのようなアプリケーション。ざっと大まかな動作をみていく。 ガチャを回すとアイドルを入手できる。 ガチャの際、サーバへのアクセスは発生しない(=ガチャはクライアントサイドのみで完結) 入手したアイドルはidolsという名前のCookieで記録。 レア度"SSR"のアイドル"Uzuki"を引いた場合のCookieは次のようになった: [{"key":["ssr","0"]}] リロードしてレスポンス内容をみると、入手したUzukiのデータがHTMLに直接含まれていた(=Cookieを見てサーバサイドで入手済みのキャラクターを返している様子) 入手したアイドルには次のように連番で個別のページが作られる: http://ssr.tasks.ctf.codeblue.jp/idols/0 個別のページでは、次のようなURLのvoic
2017年10月のWall Street Journalによる報道を受け、Kaspersky Labが実施した詳細な内部調査について結果を発表します。 背景 10月初旬、Kaspersky LabのソフトウェアがNSA職員の自宅コンピューターから機密情報を吸い上げるのに使われたとする記事が、Wall Street Journalにて公開されました。サイバースパイ行為およびサイバー犯罪活動の最前線で20年にわたり戦ってきたKaspersky Labでは、これらの申し立てを非常に深刻なものと受け止めています。個別に本件を調査する方々、そしてこれら申し立てが真実なのかと問うてきた方々のために、当該報道に関連する以下の10の質問に答えるべく内部調査を実行し、ここに調査結果を報告します。※中間報告についてはこちらをご参照ください Kaspersky Labのソフトウェアは、ユーザーのコンピューターか
Node.js Security Overview The initial Node.js release happened a little bit more than 8 years ago. Since then Node.js became one of the leading platforms for building backend applications. As such, security becomes more and more important. In the first part of this article you will learn where Node.js and npm are when it comes to security. In the second part, you will learn some best security prac
howisFelix.today? Want to be the first to hear about more privacy and mobile related essays? Subscribe Do you want the user’s Apple ID password, to get access to their Apple account, or to try the same email/password combination on different web services? Just ask your users politely, they’ll probably just hand over their credentials, as they’re trained to do so 👌 Disclaimer This is just a proof
10月7日土曜日に, 脆弱性診断 初心者ハンズオントレーニング に参加してきた. OWASP Japan, ISOG-J WG1, そして, Burp Suite Japanの共催によるトレーニングで, 脆弱性診断ガイドラインに沿って診断を学ぼうというもの. 会場はサイボウズ株式会社さん. 森があってフクロウがいた....すごい... 以下, トレーニングの流れを簡単に紹介する. 導入 脆弱性診断士スキルマッププロジェクト ( Pentester Skillmap Project JP - OWASP ) の紹介, そして, そのプロジェクトの一環として2017年4月にリリースされたWebアプリケーション脆弱性診断ガイドラインの紹介があった. 脆弱性診断士スキルマッププロジェクトとは, 以下の通り. 脆弱性診断を行う個人の技術的な能力を具体的にすべく、脆弱性診断を行う技術者(以下、脆弱性診
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く