End-of-Life Dataset (EOLDS) I Find Abandoned Open-Source Dependencies Your Scanner Misses | HeroDevs
Libraries.io - security & maintenance data for open source software
What is Libraries.io? Libraries.io is a free service that collects publicly available open source package information scraped from the internet. With it you can search 9.96M packages by license, language, or explore new, trending, or popular packages. The Tidelift Subscription: for more complete and accurate package data Data available via Libraries.io is scraped from the internet and not validate
生成AIが自律的にペネトレーションテストを実行!?「Metasploit MCP」で自動ハッキングを検証 - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の吉原です。普段はプラットフォーム診断を担当し、診断作業や新規診断スクリプトの開発などを行っています。 昨今、生成AIの進化が大きな話題となっています。今回は、そのAI技術をセキュリティ分野で活用する検証として、ペネトレーションテストツール「Metasploit Framework」をAIエージェントから操作可能にするModel Context Protocol(MCP)である、「Metasploit MCP」を利用してみました。 ターゲットとして、セキュリティ学習用のやられ環境コミュニティ「Vulnhub」で公開されている仮想マシンを用意し、AIエージェントによる自律的な攻略(ハッキング)を実施した結果をレポートします。 Metasploit MCPとは Metasploit MCP とはAIと外部ツールを繋ぐ、オープンプロトコルであるMCPを利用して、AIエージェン
VPNは本当に危ないのか | CSAジャパンブログページ
2026年3月26日 諸角 昌宏 本ブログは、CSAジャパンとしての正式な見解ではなく、あくまで筆者の個人的な意見としてまとめたものである。しかしながら、この問題はクラウドセキュリティに関わる人に幅広く関係することとして、このCSAジャパン・ブログに掲載させていただく。皆さんの屈託のない意見をいただければ幸いである。 「VPNは危険だ」という言説が広まっている。ランサムウェア被害の報道でVPNが侵入経路として言及されることが増え、セキュリティベンダーはこぞって「脱VPN・ゼロトラスト移行」を訴えている。しかし実際のところ、VPNの何が問題で、どこまでが誇張なのか、冷静に整理できている組織は少ないのではないかと考えている。 本ブログでは、VPNをめぐるリスクの構造を三層に分けて整理し、国内の統計データの正確な読み方、よくある意見への答え、そして対策の方向性について考察する。 VPNのリスクは
distrolessコンテナイメージの中を覗いて「なんか軽くてセキュアらしい」より理解を深める - エムスリーテックブログ
この記事はセキュリティチームブログリレー3日目 兼 AIチームブログリレー3日目の記事です。 こんにちは、セキュリティチーム 兼 AIチームの横本(@yokomotod)です。 今回は distroless コンテナイメージについて自由研究してみました。 エムスリーでもよく使われている gcr.io/distroless/static などの distroless イメージ、「シェルもパッケージマネージャもない最小限のイメージ」「軽量!なにもないから安全!」といった説明がされますが、今回は実際にその中身を確かめてみようと思います。 ブログリレーの前回記事はこちら www.m3tech.blog www.m3tech.blog コンテナベースイメージのおおまかな選択肢 scratch だけだと何が足りないか scratch で動かしてみる CGO_ENABLED=0 にしてみる distro
【保存版】バグバウンティ実践者のための curl ― 偵察からPoC構築まで - Qiita
はじめに バグバウンティや脆弱性診断の現場では、Burp Suite が主力ツールとして広く使われています。 一方で、curl だけでも実務で使えることは想像以上に多いです。 ターゲットの技術スタックを数秒で把握する 認証フローを再現してセッションを操作する IDOR・SSRF・CORS misconfiguration の初期検証を素早く行う レスポンスの差分から権限の境界を特定する 再現性のある PoC をそのままレポートに貼る 複雑な UI フローやブラウザ依存の挙動確認は Burp やブラウザ開発者ツールのほうが向いていますが、多くのケースでは curl のワンライナーだけでも十分に初動調査や PoC 構築が可能です。 シェルスクリプトとの親和性が高く、再現性のある PoC をそのままレポートに貼れるのも大きな利点です。 にもかかわらず、日本語では curl をバグバウンティ文脈で
AI前提のセキュリティ対策室での仕事 - Pepabo Tech Portal
セキュリティ対策室のn01e0です。 この記事では、セキュリティ対策室で私がAI(広義)をどのように活用しているかを紹介します。 Attack Surface Managementの自動化から、機械学習による異常検知、AIエージェントを活用した脆弱性診断まで、私の業務の各領域でAIが前提となりつつある現状をお伝えします。 PASM (Pepabo Attack Surface Management) scratchコンテナで動くRustスキャナ ドメインの自動収集 AI x Rust Agentic ML 令和最新版「ビッグデータをエーアイで良い感じに」 データの正規化とgit管理 Shodanデータの可視化・クエリ基盤 スナップショットの差分抽出 IPの分類 ポートの希少性スコア 異常検知 Human-in-the-Loop MLは過渡的な手段 Agenticな脆弱性診断 (Unrave
SAML認証はなぜバイパスされるのか?XML署名検証と攻撃手法を整理 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? SAML認証はなぜ破られるのか?仕組みと代表的なバイパス手法を整理 導入 SAML認証は企業システムで広く使われているSSOの仕組みです しかし実際の脆弱性診断では SAML認証のバイパス が見つかるケースが珍しくありません なぜSAML認証は破られてしまうのか この記事では勉強会の内容を元に SAML認証の仕組みと脆弱性の背景 を整理します この記事では次のことをまとめます SAML認証の基本構造 SAMLレスポンスと署名検証の仕組み SAML認証がバイパスされる理由 開発者が理解しておくべきポイント 勉強会概要 イベント PenTe
米国で話題のRAGのセキュリティ脅威についてまとめてみた - Qiita
はじめに こんばんは、mirukyです。 前回の記事「コーディングが楽になったからこそ気をつけるべきセキュリティ」では、AIコーディング時代のセキュリティリスクについてまとめました。 今回は、あの記事の中では深く触れられなかったRAG(Retrieval-Augmented Generation)システムのセキュリティ脅威に焦点を当てます。 RAGは今、企業のAI活用で最も導入が進んでいるアーキテクチャです。 社内ドキュメントをベクトルDBに取り込み、LLMに「自社の知識」を与える。Microsoft 365 Copilot、Amazon Q Business、社内チャットボット…どれもRAGを核としています。 私の記事でも、度々RAGを用いたナレッジベース構築を行ってきました。 しかし、米国のセキュリティ研究コミュニティでは、RAG固有の脅威が次々と報告され始めています。 2026年3月
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The OSINT Rack | Curated Intelligence Tools
Open CRE
HackerAI - AI-Powered Penetration Testing Assistant
My Resources and Links over time to various Tools, Notes, Videos, Papers, Articles, Writeups, and more. Will be moving to my own private hosted Wikipedia soon. Ascii Art Font: Calvin S
GitHub - JLospinoso/unfurl: An Entropy-Based Link Vulnerability Tool
GitHub - SirCryptic/cwv-scanner: This is a simple web application vulnerability scanner that checks if a given URL or IP address is vulnerable to 36 common web application security vulnerabilities. The tool is designed to help website owners and security
GitHub - osamahamad/Interesting-Things: Single-WebApp-Target essentials testing methodology tool starting at recon-information gathering for the juicy stuff ended up in exploitation.
GitHub - reewardius/Nuclei-AI-Prompts: Nuclei-AI-Prompts
ITDB: technical details, EOL and vulnerabilities of the top assets used by enterprises
HackMD - Collaborative Markdown Knowledge Base
GitHub - 0xsrb/AASRT: Imperial Security Reconnaissance System
