セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場
セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog
画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
Pod Topology Spreadの超最前線 MinDomains、NodeInclusionPoliciesについて
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
敵対的プロンプト技術まとめ - Qiita
こんにちは@fuyu_quantです。 この記事はLLM Advent Calender 2023 17日目の記事です。 よかったらプライベートで作成したData Science wikiのGPTsも見て下さい! はじめに 今回は敵対的なプロンプト技術についてまとめました.まとめ方は主に,Ignore This Title and HackAPrompt: Exposing Systemic Vulnerabilities of LLMs through a Global Scale Prompt Hacking Competition というLLMに対する敵対的なプロンプト技術に関してまとめた論文を参考にしています.本記事の内容が世の中のLLMを使ったサービスの機能向上の役に立てれば幸いです. ※世の中のLLMサービスが敵対的なプロンプト手法に対応できるように公開をしたものであり,利用を
I’m kinda shocked. Windows actually got good for web developers. Between VSCode, WSL, and Intel’s latest desktop chips, I’ve been living with a PC for over a week that runs my programming tests faster than an M3 Max, ships with an excellent window manager out-the-box, and generally feels like a completely viable alternative to macOS for working with the web. Hell, not just viable, but better in ma
Simple.css Framework
Are you using Simple.css? If you are, it would be great if you considered buying me a coffee to say thanks. Things like this really help open source software thrive. You can Buy Me A Coffee or even sponsor me on GitHub. ❤️ Simple.css is a CSS framework that makes semantic HTML look good, really quickly. Simple.css is mostly classless, which means that you can integrate Simple.css with plain HTML a
Tailwind CSS v3.0 is here — bringing incredible performance gains, huge workflow improvements, and a seriously ridiculous number of new features. Tailwind CSS v3.0 is here — bringing incredible performance gains, huge workflow improvements, and a seriously ridiculous number of new features. For a tour of some of the coolest new features, check out the “What’s new in Tailwind CSS v3.0” video on our
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの入門として、主に Web アプリケーションを対象にした脆弱性の発見・報告・報酬金の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド Start Bug Bounty Bug Bounty JP Podcast 2. バグバウンティとは バグバウンティプラットフォーム Program Type Private Programs VDP (Vulnerability Disclosure Program) Asset Type 3. プログラムの選び方 Scope OoS (Out of Scope) 4. 脆弱性の探し方 (初期調査編) Subdomain Google Dorks Wayback Machine Wappalyzer JS Analyze [Blog] Java
2月某日、HackTheBoxでHacker Rankに到達することが出来ました。 ITエンジニアでも、理系大学卒でもない私がHackerになるまでやってきたことを振り返ってみようと思います。 #自己紹介 ニックネーム:とみー 職業:IT営業(代理店営業) 年齢:27歳 保有資格: 情報セキュリティマネジメント CompTIA CySA+ 勉強開始時点のTryHackMe HackTheBoxのRank TryHackMe Rank : level 1 HackTheBox Rank : noob HackTheBox Hacker到達までに費やした期間:6ヶ月 HTB Hackerを目指した理由 セキュリティエンジニアにキャリアチェンジしたいと思ったためです。 ハッキングラボのつくりかた との出会い ゆるいハッキング大会への参加 大和セキュリティ勉強会への参加 3つの出来事を通じて、セキ
はじめに 本稿では、「Hack The Box」(通称、HTBとも呼ばれています)を快適に楽しむために必要となるKali Linuxのチューニングについて解説します。 Hack The Boxとは Hack The Boxは、2017年6月に設立されたサイバーセキュリティトレーニングのオンラインプラットフォームです。 いくつかのソーシャル要素とゲーミフィケーション要素が採用されていることで、学習体験を楽しくやりがいのあるものにしています。 ダッシュボード Hack The Boxを楽しむ手順 攻撃環境としてペネトレーションテスト用のOS(Kali Linux / Parrot Security Linux / CommandoVM など)を用意する。 Hack The Boxの[Invite Challenge]ページのHTMLソースコードを解析し、「Invitation Code(招待コ
非同期処理の道具箱 — HACK The Nikkei
この記事はNikkei Advent Calendar 2022の 13 日目の記事です。 こんにちは、Web チームの井手です。最近 Web チームで働く魅力について語ったので是非とも読んで欲しいです。 今日は非同期ランタイムについて書きます。 私は非同期ランタイムやサーバー進化論が好きで、たまにブログを書いたり、前職でもアドベントカレンダーに書いたりしていました。 本稿では効率的な非同期処理を実現するライブラリが中で何をしているのかを、低レイヤーの非同期処理そのものを解説しながら見ていきたいと思います。説明の都合上 Rust を使うので、Rust 特有の話もありますが、低レベルな API があればどの言語でも当てはまる話だと思います。この辺りは Rust, Scala(JVM), Erlang, Go などはお互いがお互いのアイデアを参考にしていて切磋琢磨しつつも似た仕組みをそれぞれが
Custom Scrollbars In CSS
Custom scrollbars are getting more popular nowadays, and I’m very keen to dig into them. There are different reasons why to customize a scrollbar. For example, the default scrollbar can make an app UI look inconsistent across multiple operating systems, and here we can get the benefit of having a unified style. I have always been interested in learning about how to customize a scrollbar in CSS but
今回は実際に脆弱性を攻撃してみます。 ところで、「バグ」と「脆弱性」の違いは何でしょうか?一般論として、「バグ」と「脆弱性」は以下のように定義できます。 問題が計画されたシナリオを実行しないこと、それは「バグ」です。 問題が計画外のシナリオを実行できること、それは「脆弱性」です。 脆弱性は悪用されることでビジネスを停止させたり金銭や機密情報を窃取されたりする可能性があります。一方、バグの例として「ストリートファイターII」のキャンセル技があります。 キャンセルが発生するメカニズムは、通常技に対する必殺技の優先度が要因です。技の出始めからヒットまでの時間が短い通常技は、必殺技が成立する前に技がヒットしても必殺技となり、その結果、キャンセル技(コンボ)が誕生しました。そして驚くべきことに27年経った現在、ストリートファイターIIに新たなコンボ(バグ)が見つかりました。試してみたいですね。ちなみ
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 1. 始めに 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID やレポート Web Security の場合 9. その他 その後のチャレンジ バグバウンティ入門 セキュリティエンジニアを目指す就活生の方へ OSS の開発者の方へ 10. 終わりに 免責事項
Speculation in JavaScriptCore
This post is all about speculative compilation, or just speculation for short, in the context of the JavaScriptCore virtual machine. Speculative compilation is ideal for making dynamic languages, or any language with enough dynamic features, run faster. In this post, we will look at speculation for JavaScript. Historically, this technique or closely related variants has been applied successfully t
You Don’t Need A UI Framework — Smashing Magazine
Developers often reach for UI frameworks like Bootstrap or Material UI, hoping that they’ll save a bunch of time and quickly build a professional-looking app. Unfortunately, things rarely work out this way. Let’s talk about it. Every now and then, someone will ask for my recommendations on UI frameworks. By “UI framework”, I mean any third-party package that is focused on providing styled UI compo
LogLog Games
The article is also available in Chinese. Disclaimer: This post is a very long collection of thoughts and problems I've had over the years, and also addresses some of the arguments I've been repeatedly told. This post expresses my opinion the has been formed over using Rust for gamedev for many thousands of hours over many years, and multiple finished games. This isn't meant to brag or indicate su
OSCPを受験して合格しました!久々の記事更新ですね・・・実は転職をしたので色々とバタバタしていました。 本来、このブログは前職のチーム非公式のブログなのですが、更新していたのがほぼ自分一人で、このままブログが閉鎖されるのも寂しいので、転職すると同時にこのブログもいただくことにしました。今まではユーザ系の企業に努めていましたが、2020年5月より準セキュリティベンダーに転職しました。転職理由は・・・どうしてもネガティブな理由が含まれてしまうので、やめておこうと思います。一言だけ記載すると、前職だと自身のキャリアが見えなかったというのが大きな理由だと思います。 本題に戻すと、ちょうどこの前の4連休(9月20日)にOSCPを受験して、無事合格しました。OSCP受験記も最近増えて来ている気がしますが、まだまだ少ないので受験期&どのように勉強したかを載せていこうと思います。OSCP合格を目指してい
皆さんこんにちは!白百合です。 この度、OSCPに合格したため、その体験記を書いていこうと思います🌼 私は最初からPWKのアップデート版を受講したため、そのあたりのことも書いていきます! ------------------------------------------------------------------------------------ PWK / OSCPについて OSCP(Offensive Security Certified Professional)は、Offensive Securityが提供する、ペネトレーションテストの資格です。 試験の詳細は他の方々が沢山書かれているので省略しますが、簡単に言うと、最初の約24時間で5台のマシンに対して攻撃を行い(監視つき)、次の24時間でレポートを作成し提出するという実技試験です。 (詳細:https://www.of
「ダンジョンズ&ドラゴンズ」ベースのCRPG群「Gold Box」がSteamで3月30日より配信へ。珠玉のクラシック作品が一挙登場 - AUTOMATON
ホーム ニュース 「ダンジョンズ&ドラゴンズ」ベースのCRPG群「Gold Box」がSteamで3月30日より配信へ。珠玉のクラシック作品が一挙登場 イギリスのパブリッシャーSNEGは現地時間3月11日、テーブルトークRPG「ダンジョンズ&ドラゴンズ」をベースとしたクラシック諸作品を、Steam向けに配信すると発表した。「Gold Box」として親しまれる20本を超える作品を、3月30日より同プラットフォームでリリースする予定だ。 『Curse of the Azure Bonds』 今回配信が発表された諸作品は、Strategic Simulations, Inc.(SSI/現在は解散済)から発売されたコンピューターRPGシリーズだ。オリジナル版開発元はSSIのほか、Westwood StudiosやStormfront Studios(いずれも解散済み)などが知られている。1988年
In an interview with Evrone, Ryan Dahl speaks about the main challenges in Deno, the future of JavaScript and TypeScript, and tells how he would have changed his approach to Node.js if he could travel back in time. Introduction Ryan Dahl is a software engineer and the original developer of the Node.js, and the Deno JavaScript and TypeScript runtime. We are glad to have had an opportunity to speak
Container Queriesという手法 / CSS Advent Calendar 2019 - kojika17
この記事は CSS Advent Calendar 2019 - Qiita 23日目の記事です。 Container Queriesを知っていますか? Media Queriesに依存せず、コンテンツにあわせてレイアウトを変化させるを手法です。 Container Queriesとは レスポンシブwebデザインを行う時、みなさんはMedia Queriesを使用していると思います。 ブレークポイントにあわせて、画面ごとにコーディングを進めていくのが一般的な方法でしょう。 その方法は本当に正しいのでしょうか? Atomic Designやデザインシステムといった考え方が浸透してきて、UIなどをコンポーネントとして扱う場合も増えてきました。 しかし、コンポーネントとMedia Queriesは切り離せない関係です。ページの画面サイズに依存し、レイアウトを構築するする場合は、コンポーネントに何
An AnandTech Interview with Jim Keller: 'The Laziest Person at Tesla'
Topics Covered AMD, Zen, and Project Skybridge Managing 10000 People at Intel The Future with Tenstorrent Engineers and People Skills Arm vs x86 vs RISC-V Living a Life of Abstraction Thoughts on Moore's Law Engineering the Right Team Idols, Maturity, and the Human Experience Nature vs Nurture Pushing Everyone To Be The Best Security, Ethics, and Group Belief Chips Made by AI, and Beyond Silicon A
BlueTeam CheatSheet * Log4Shell* | Last updated: 2021-12-20 2238 UTC
20211210-TLP-WHITE_LOG4J.md Security Advisories / Bulletins / vendors Responses linked to Log4Shell (CVE-2021-44228) Errors, typos, something to say ? If you want to add a link, comment or send it to me Feel free to report any mistake directly below in the comment or in DM on Twitter @SwitHak Other great resources Royce Williams list sorted by vendors responses Royce List Very detailed list NCSC-N
春からセキュリティエンジニアとして働く人たちに伝えたいこと - トリコロールな猫/セキュリティ
はじめに 歳をとってきて、若手の人たちにいろいろいい残しておきたいけど直接言うと老害になるのでブログに書く試み第二弾。春からセキュリティエンジニアとして会社で働く学生に向けた言葉です。第一弾はこちら。 security.nekotricolor.com 食わず嫌いせずいろんな分野に挑戦しよう 幼稚園の頃からバイナリコードに夢中で・・とかいう人はいいです。その道を邁進してください。高校・大学からCTFやってますとか、なんとなくペンテストに興味があって、とかいう人は、興味のない分野でもとりあえずやってみることをお勧めします。意外な分野で適性があるかもしれません。社会人人生は五十年くらいあります。なるべくいろんなことをやってみて、自分に合っているものを見つけましょう。 できないことを悩まない 入社してしばらくすると、あの人はあんなにできるのになぜ自分はこんなにできないのかってなるんですよねえ。で
Each time I work on a component that needs absolute positioning, I ask myself: is it really necessary? I started to notice a few use-cases where using position: absolute isn’t needed. I found this interesting and I thought about documenting the use-cases that I usually came through while working on front-end projects. In this article, I will explore a few use-cases that using absolute positioning
Welcome to Wildebeest: the Fediverse on Cloudflare02/08/2023 This post is also available in 简体中文 and 繁體中文. The Fediverse has been a hot topic of discussion lately, with thousands, if not millions, of new users creating accounts on platforms like Mastodon to either move entirely to "the other side" or experiment and learn about this new social network. Today we're introducing Wildebeest, an open-so
1. 始めに こんにちは、morioka12 です。 本稿では、新卒の学生によるセキュリティエンジニア志望の就職活動について、morioka12 の就活話も含めて簡単に紹介します。 1. 始めに 想定読者 筆者のバックグラウンド 2. セキュリティエンジニアとは 脆弱性診断・ペネトレーションテスト 3. セキュリティエンジニア志望の就活 3.1 企業候補 セキュリティイベント JNSA 情報セキュリティサービス台帳 JVN 一般社団法人日本ハッカー協会 公務員 3.2 ユーザー企業・ベンダー企業 3.3 企業ホームページ 技術ブログ 3.4 求められるスキル 4. morioka12 の就活話 4.1 気になる企業をリストアップ 4.2 カジュアル面談 4.3 新卒採用 5. セキュリティエンジニアを目指す就活生へ (まとめ) 5.1 セキュリティ業界を知ろう 5.2 セキュリティイベント
JSer.info #520 - CSSの各仕様の現在のステータスを一覧する目的であるCSS Snapshot 2020が公開されています。 CSS WG Blog – CSS Snapshot 2020 Published CSS Snapshot 2020 CSS Snapshot 2020 日本語訳 CSS Snapshot 2020が発行されました | フロントエンドBlog | ミツエーリンクス スナップショットとしてCSSモジュール(ここではCSSの各仕様のこと)のステータスとサマリがまとまとめられています。 CSSの仕様の全体像が分かりやすいので、興味がある人は見てみると良いかもしれません。 また、最新のステータスはCSS current work & how to participateで確認できます。 JavaScript Performance in the Wild
I first got into web design/development in the late 90s, and only as I type this sentence do I realize how long ago that was. And boy, it was horrendous. I mean, being able to make stuff and put it online where other people could see it was pretty slick, but we did not have very much to work with. I’ve been taking for granted that most folks doing web stuff still remember those days, or at least t
awesome-vscode
A curated list of delightful Visual Studio Code packages and resources. For more awesomeness, check out awesome. Table of Contents Table of Contents Official Syntax Migrating from other editors Migrating from Vim Migrating from Atom Migrating from Sublime Text Migrating from Visual Studio Migrating from Intellij IDEA Camel Humps Using VS Code with particular technologies Lint and IntelliSense 1C A
トレーニングコンテンツ:「Hack The Box」を触り始めてみた
「Hack The Box」はペネトレーションテストのスキル向上に役立つオンラインプラットフォームです。このプラットフォーム上には、ラボと呼ぶ検証環境があります。これらのラボを使ってユーザは学習を進めます。利用登録をするためには簡単な Invite Challenge を解く必要があります。 その他、ユーザが効率的に学ぶことができるように下記のような環境が用意されています。 専用のコミュニティが用意されている Retired Machine(いわゆる過去問)はWalkthroughが公開される 各問題にはユーザの評価(問題の質・難易度)をつけることでき、それを参照できる
This is your complete guide to CSS cascade layers, a CSS feature that allows us to define explicit contained layers of specificity, so that we have full control over which styles take priority in a project without relying on specificity hacks or !important. This guide is intended to help you fully understand what cascade layers are for, how and why you might choose to use them, the current levels
Wondering what’s even more challenging than choosing a JavaScript framework? You guessed it: choosing a CSS-in-JS solution. Why? Because there are more than 50 libraries out there, each of them offering a unique set of features. We tested 10 different libraries, which are listed here in no particular order: Styled JSX, styled-components, Emotion, Treat, TypeStyle, Fela, Stitches, JSS, Goober, and
Haskell Problems For a New Decade It has been a decade since I started writing Haskell, and I look back on all the projects that I cut my teeth on back in the early part of this decade and realise how far the language and tooling have come. Back then Haskell was really barely usable outside of the few people who would “go dark” for months to learn it or those lucky enough to study under researcher
情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】 - #FlattSecurityMagazine
Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします! セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか? 回答者:shopper 回答者:Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか? 回答者:pizzacat83 Q.情シスからセキュリティエンジニアになるには? 回答者:akiym 回答者:moosan63 Q.Flatt Secu
Ten modern layouts in one line of CSS Stay organized with collections Save and categorize content based on your preferences. This post highlights a few powerful lines of CSS that do some serious heavy lifting and help you build robust modern layouts. Modern CSS layouts enable developers to write really meaningful and robust styling rules with just a few keystrokes. The talk above and this subseque
Since I was unable to travel for a couple of years during the pandemic, I decided to take my new-found time and really lean into Rust. After writing over 100k lines of Rust code, I think I am starting to get a feel for the language and like every cranky engineer I have developed opinions and because this is the Internet I’m going to share them. The reason I learned Rust was to flesh out parts of t
Before we dive in, let me provide some background. In 2013, a bunch of people signed the extensible web manifesto, in favor of an Extensible Web Platform. The goal is pretty obvious: elaborate new kind of standards, that provides authors freedom and flexibility to build their own features. The aim is to define low-level APIs, an access to the core of the browsers, and so, involve authors into the
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティエンジニアを3年続けて分かったおすすめ勉強法
ハッキングという言葉に憧れるエンジニア達に贈る Hack the Box 入門
VSCode + WSL makes Windows awesome for web development
Tailwind CSS v3.0 - Tailwind CSS
バグバウンティ入門(始め方) - blog of morioka12
非エンジニアがHack The Boxを始めてHackerになるまで - Qiita
Hack The Boxを楽しむためのKali Linuxチューニング - Qiita
ホワイトハットハッカーになろう!(4) 実際に脆弱性を攻撃してみよう
バグハント入門 (OSS編) - blog of morioka12
OSCP受験記&勉強方法 - マルウェア解析ブログ
OSCP合格体験記 - Lily's Blog
Interview with Ryan Dahl, Node.js & Deno creator by Evrone
Less Absolute Positioning With Modern CSS
Welcome to Wildebeest: the Fediverse on Cloudflare
新卒の学生によるセキュリティエンジニア志望の就活話 - blog of morioka12
2020-12-29のJS: CSS Snapshot 2020、100万のサイトをクロールした調査結果、FlowからTypeScriptへの移行
Old CSS, new CSS / fuzzy notepad
A Complete Guide to CSS Cascade Layers | CSS-Tricks
A Thorough Analysis of CSS-in-JS | CSS-Tricks
Haskell For a New Decade
Ten modern layouts in one line of CSS | Articles | web.dev
Rust: A Critical Retrospective « bunnie's blog
CSS Houdini - Vincent De Oliveira