Full-featured local proxy tool Save all captured packets (i.e., requests and responses) and show them in the history tab Filter/Search packets in the history tab (e.g. requests==/api/v1/users to show only requests whose path contains /api/v1/users ) Modify the contents of intercepted packets before forwarding them to the destination Resend (or replay) captured packets with or without manually modi
VAddyの事業責任者の市川です。 VAddyは、誰でも手軽に使えて自動化もできるクラウド型の脆弱性診断ツールとして開発をし、5年間運用してきました。様々なWebアプリケーションの検査に対応できるようにチューニングし続け、加えてプライベートネット版対応、シングルサインオン認証アプリ対応、SPA向けの複数FQDN対応などを行なってきました。今までは、よりうまく検査を行う方向での改善を続けてきていて、今後もこの方向は変わりません。 この1年ぐらいで世の中の流れが少し変わってきたかなと感じるようになりました。組織内のアカウント管理でしっかりした運用をしている企業では、VAddyのチーム機能では不十分なケースや、検査項目をもう少し増やして欲しいという要望が目立ってきました。今回のエンタープライズプランは、そのような組織向けに最適なプランになっています。 検査項目の増強 VAddyの既存プラン(Pr
[コンテナイメージ脆弱性スキャナ]Trivyをやっと試してみた!投稿者: adachin 投稿日: 2019/09/112019/09/11 完全に言い訳なのですが、Trivyの検証ブログをなかなか書けず。。。 そして!書いた? [DigitalOcean]KubernetesでWordPressを動かしてwikiブログを始めました! https://t.co/kum6pU11vA — adachin?SRE (@adachin0817) August 13, 2019 k8sを先月から運用し始めたので、コンテナの脆弱性をスキャンしようと、ようやくTrivyの検証をしてみたのでブログします! ■Trivyとはhttps://github.com/aquasecurity/trivy Vulsはsshで対象のサーバ(Linux)の脆弱性をスキャンできるツール(v0.9.0からAlpineのイ
Titan Security Key は USB タイプのものと Bluetooth タイプのものの2つがセットになって販売されています。 これを紹介している記事に「両方を2段階認証に設定するのではなく、片方は設定することなく安全な場所に保管しておくことを Google は推奨している」 と読み取れる説明がなされているものがあり、 気になったので使い方について調べてみました。 結論としては Google は「両方とも2段階認証に設定しておき、片方は安全な場所に保管しておく」という使い方を推奨しているものと理解しました。 Titan Security Key とは 2要素認証プロセスで利用可能な物理デバイス FIDO 標準に準拠したシステムで動作する Google が設計したファームウェアを内蔵するハードウェアチップが組み込まれている Google Storeから購入できる 購入可能なサイト
2019年08月27日 TEXT:山口真弘(ITライター) 今年の夏、某スマホ決済アプリの記者会見をきっかけに注目を集めることになった「2段階認証」。経緯はさておき、この件をきっかけにこの言葉を知った人も、実は多いのではないでしょうか。 2段階認証は、パスワード以外に別の認証方法を組み合わせ、セキュリティを強固にする仕組みです。オンラインでの銀行振込にあたり、パスワードとIDに加えてワンタイムパスワードが必要になる、あの仕組みといえば分かりやすいでしょう。 今回紹介するGoogleの「Titan セキュリティ キー」は、PCのUSBポートに差し込むことで、こうした2段階認証に利用できる物理キーです。もともとGoogle社内で用いられていたものが、昨年になって一般にも発売され、日本でも今年夏から入手可能になったという経緯があります。 パッケージ。USBタイプとBluetoothタイプの2種類
Hi everyone, in this article, I’ll explain how to bypass SSL pinning of android applications using frida framework. I’ll try to explain all things in details yet more clearly. This article will cover: Introduction to Frida and SSL pinningRequirementsSetup and InstallationFrida Server SetupSetup BurpSuitePushing the proxy’s CA Certificate:Script injection to bypass SSL pinningAll stuff in a nutshel
今回はソフトウェアエンジニアじゃない人や学生にも、ソフトウェアエンジニアという職業には夢があるかもしれないと思ってもらうために書いています。そのため既に詳しい方からすると回りくどい説明も多いと思いますがご容赦下さい。 基本的に記事とかには技術的なことしか書かないスタンスでやってきましたが、今回の件はさすがに誰かに伝えておくべきだろうということで長々と垂れ流しました。 概要 GW中に趣味で開発したソフトウェアを無料で公開したところAqua Securityという海外企業(アメリカとイスラエルが本社)から買収の申し出を受け、最終的に譲渡したという話です。さらに譲渡するだけでなく、Aqua Securityの社員として雇われて自分のソフトウェア開発を続けることになっています。つまり趣味でやっていたことを仕事として続けるということになります。 少なくとも自分の知る限り一個人で開発していたソフトウェ
Published: 07 August 2019 at 21:00 UTC Updated: 07 September 2022 at 09:06 UTC AbstractHTTP requests are traditionally viewed as isolated, standalone entities. In this paper, I'll explore forgotten techniques for remote, unauthenticated attackers to smash through this isolation and splice their requests into others, through which I was able to play puppeteer with the web infrastructure of numerous
2019/6/1 Legacy Code Meetup Kagoshima 2019での、西村の講演資料になります
オリジンIPの特定によるクラウド型WAFのバイパス May 27, 2019 昨年末に「How i was able to pwned application by Bypassing Cloudflare WAF」を読んで、CloudflareのWAFをバイパスする方法とそれがバグバウンティで認定された事例を知った。記事を書いた@vis_hacker氏は調査に「CloudFlair」というツールを使用しており、このツールを開発した@christophetd氏も同様の方法で報奨金を獲得していた¹。 Cloudflareに限らずクラウド型WAFのバイパスは2016年頃には既に話題になっており、論文も書かれていた²。2013年のBlackHat USAではDDoS保護のバイパスとして発表され³、DDoS保護サービスを提供するベンダーが注意喚起を行なっている⁴ ⁵。脆弱性として興味深かったので詳
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く