サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
Wikipedia
blog.flatt.tech
こんにちは、Flatt Security執行役員の @toyojuni です。 弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。 「KENRO」とは? 「KENRO」のトライアルとは? トライアル一般開放の背景 トライアルはどのような人にオススメ? トライアルの利用方法 最後に 「KENRO」とは? 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。 https://flatt.tech/kenro これまでエ
こんにちは。株式会社Flatt Securityセキュリティエンジニアの志賀(@Ga_ryo_) です。 本記事では、最近公開されたCVE-2021-20181の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiative を経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 Virtioとは VirtFSとは QEMU Coroutine 各種スレッド メッセージハンドラの呼ばれ方 Coroutineの利用 VirtFSにおけるファイル共有 V9fsFidState構造体 reclaim unreclaim clunk 脆弱性解説 PoC概要 修正 まとめ おわりに 参考 読む前に 事前に言っておくと、権限昇格のExploitは
The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で機械的に検出できる環境を作れば、開発者はコーディングやコードレビューの邪魔になる些末な問題を早期に頭から追い出し、本質的な問題に集中できます。 また、そのような環境づくり(e.g. linter のルールセットの定義、組織独自のルールの作成、…)は、まさに開発組織のベースラインを定義する作業として捉えることができます。一度誰かが定義
2020年11月にβ版をローンチした「KENRO」。Webエンジニアがセキュアコーディングを習得するためのSaaS型eラーニングサービスであり、2021年4月の正式版リリースを待たずしてすでに大手企業を含め導入が始まっています。 同サービスには「開発現場にすぐに活かせる」「開発経験の少ないエンジニアも学びやすい」という特徴があるものの、β版ができたばかりということもあり 実際の使用者の感想はどのようなものか? 自社のエンジニアは受講対象なのか? 数百人単位でも導入可能なのか? 新人研修でも使えるのか? と疑問を投げかけられることもしばしば。そこで、セキュリティ教育のプロフェッショナルで弊社の取締役でもある上野宣さんに「KENRO」を実際に使っていただき、また管理画面の機能を紹介してレビューをお願いしました。 ※2021年4月にサービス名を「Flatt Security Learning P
こんにちは、株式会社Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、Cloud Firestore (以下、Firestore) を用いたセキュアなアプリケーション開発を行うためのアプローチについて説明するとともに、そのアプローチを実現するセキュリティルールの記述例を複数取り上げます。 本稿を読むことで、そもそも Firestore とは何か、どのように Firestore に格納するデータの構造を設計、実装すればセキュアな環境を実現しやすいのか、また、Firestore を利用するアプリケーションにおいてどのような脆弱性が埋め込まれやすいのかといったトピックについて理解できるでしょう。 なお、本稿は以前に投稿した記事と共通する部分があります。理解を補強するために、こちらの記事も適宜ご覧ください。 flattsecurity.hatenablo
Flatt Securityは2020年11月4日、SaaS型eラーニングサービス「KENRO」をリリースしました。OWASP Top 10 に含まれる脆弱性をはじめとして、今日のWebエンジニアが開発にあたって学ぶべきセキュリティ技術の学習環境を提供するサービスです。 日本のセキュリティ業界において、教育サービスがSaaSとしてリリースされるというのはあまり多くありません。どのような経緯を経て本サービスを開発するに至ったのでしょうか。そこで今回は、学習コンテンツ作成を担当するセキュリティエンジニアの米内氏とプロダクトマネージャーとして製品設計に携わる小島氏にインタビューを実施。 「中の人」である開発者の声を紹介することで、「KENRO」というプロダクトの価値を改めてお伝えします。 flatt.tech 開発者プロフィール 開発のきっかけは「Web アプリケーションセキュリティを学ぶハード
This image includes the work that is distributed in the Apache License Version 2.0 株式会社Flatt Securityでセキュリティエンジニアとして働いている米内です。 本稿では、Envoy に独自メトリクスを追加するようなフィルタのサンプル実装の提示を通して、 WebAssembly によるサービスプロキシの拡張を可能にする仕様である Proxy-Wasm について紹介します。 Proxy-Wasm とは Proxy-Wasm の周辺 Rust による Envoy の拡張 SDK の利用 スタートアップ処理 メトリクスの定義 メトリクスの値の変更 動作例 おわりに Proxy-Wasm とは 近年は WebAssembly System Interface(WASI) を中心として、「WebAssembl
こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。 クラウドサービスが発展し続ける今日この頃、多くの企業がパブリッククラウドやプライベートクラウドなどを駆使し顧客へサービス提供しているのを目にします。そのような中で、サービスが利用するクラウドにおいて設定不備や意図しない入力、構成の不備により顧客情報や IAM をはじめとする認証情報が脅かされるケースが多々あります。 本記事では、そのような脅威の一例をもとにクラウドサービスをより堅牢で安全に利用する一助になればと、攻撃手法や対策などについて解説をしていきます。 また、私の所属する 株式会社 Flatt Secur
Flatt Securityではどのようなメンバーが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施しています。今回お話を伺ったのは2020年10月に入社したばかりの小島凌汰さん。 Web エンジニアのセキュアコーディング 習得を支援する SaaS 型の完全オンラインの学習プラットフォーム「KENRO」のプロダクトマネージャーや新規事業の開発・推進などを担当しています。 中学生時代、自身のWebサービスを作成したことがきっかけでセキュリティに興味を持ち、「いつかはセキュリティに携わりたい」と思っていた小島さん。今までのキャリアと、セキュリティプロダクトに懸ける想いを聞きました。 ※2021年4月にサービス名を「Flatt Security Learning Platform」から「KENRO(ケンロー)」に変更しています。 小島凌汰(@ryoidong): 2019年3
※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所/セキュリティエンジニア stypr」でお話した通り、私は現在Flatt Securityで0day huntingとセキュリティの診断をしています。 私は 5月に入社してから 0day hunting の業務に取り組んでいます。他の面白い業務と並行して取り組んでいるので、一つの製品にかけている時間は、最低1日からせいぜい1週間程度です。 結果、これまでの間、私はかなり多くのOSS脆弱性を見つけてきました。そこで今回の記事では、現在までに修正された脆弱性のうち、技術的に面白い選りすぐりのものを解説し
こんにちは。株式会社 Flatt Security セキュリティエンジニアの志賀( @Ga_ryo_ ) です。 本記事では、最近公開されたCVE-2020-15702の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiativeを経由してベンダーに報告しました。本記事は、脆弱性の危険性を通知する目的ではなく、あくまで技術的観点での学びを共有する事を目的としています。 読む前に 概要 前提条件 影響 apportとは 脆弱性解説 PoC概要 PID再利用のタイミング調整 特権プロセスのcwdにcoreファイルを出力したときに権限昇格をする方法 余談 修正 まとめ 参考 読む前に 解説に関して誤りや疑問点があれば、個人宛に連絡をいただけると幸いです。また、本記事中におけるコードは基本的に2.20.11-0ubuntu27でのapportのソースコード
Flatt Securityではどのようなエンジニアが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施。今回お話を伺ったのは正社員として働きながら、セキュリティ・キャンプ全国大会講師や電気通信大学WEBSYS講師などを歴任しているセキュリティエンジニアの米内貴志さん。 米内さんは、代表の井手さんが所属するサークル「TSG(東京大学理論科学グループ)」の後輩にあたります。井手さんの「日本発の、世界で使われるセキュリティプロダクトを開発したい」という価値観に共感し、2019年にジョインしました。 セキュリティに対する思いやFaltt Securityでどのような事業を展開していきたいのかなどを、井手さんとの対談形式でお届けします。 写真左:井手康貴(@niconegoto) Flatt Security代表取締役。東京大学経済学部在学中。大学入学後、メルカリなどでのエンジニ
Flatt Securityではどのようなエンジニアが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施。今回は世界屈指のCTF強豪チーム「TokyoWesterns」に所属し、0day huntingとしてLinuxやQEMUなどに対して脆弱性を報告するなど、さまざま実績を持つ志賀遼太さんに当社を知ったっきっかけや入社の決め手について聞きました。 志賀遼太(@Ga_ryo_): 早稲田大学基幹理工学部情報理工学科卒業後、早稲田大学大学院へ進学。2016年、修士へ進学する際に大手IT企業でインターンを開始。大学院を中退し、正社員としてジョインする。セキュリティ診断や設計レビューなどを担当。 2020年4月にFlatt Securityへ入社。Flatt Securityでは0day hunting、ペネトレーションテスト、スマートフォンアプリ診断、IoT診断などを担当して
こんにちは。株式会社 Flatt Security セキュリティエンジニアの村上(@0x003f)です。 弊社ではセキュリティ診断サービスの1つとしてスマートフォンゲーム診断を提供させていただいています。しかし実際にスマートフォンゲームの診断というのがどのように行われているのかご存知の方は多く無いと思います。 本記事では実際の診断の流れや観点などについて簡単に触れつつ、タイトルに挙げた2つのオープンソースソフトウェア(以下OSS)を使用して実際にどのように診断を行うかを説明したいと思います。 チートについて 診断の流れ サーバー クライアント ツールの紹介 PacketProxy apk-medit 書き換えたい数字を「find」する findで出た候補を「filter」で絞り込む 「patch」コマンドを使って書き換える 終わりに チートについて まず、スマートフォンゲームに置いて開発者
こんにちは!Flatt Security広報の橋本岬です。 新型コロナウイルス感染拡大の影響で、引き続き在宅勤務が続いている方も多いのではないでしょうか。弊社も社会情勢を鑑みながら、出勤とリモートワークを使い分けています。 そこで今回は、「通勤時間が減って余暇ができた!」という方に向けてFlatt Securityに所属しているセキュリティエンジニアと代表の井手(元エンジニア)の計7名が、エンジニアにおすすめの技術書やサイトを紹介します。 ぜひ参考にしてみてください。 ※エンジニアごとにまとめており、それぞれのコメントを引用しているため書籍に重複があります。 セキュリティエンジニア moosan63 (@0x003f)推薦 コンピュータの構成と設計 第5版(通称パタヘネ) セキュリティエンジニア 石川 推薦 コンピュータの構成と設計 第5版(通称パタヘネ) Hacking: 美しき策謀 第
こんにちは。元・株式会社Flatt Security デザイナーの北川レオです(業務は4月末まででした)。 今回Flatt Securityのロゴをリニューアルし、本日プレスリリースにて公開させていただきました。 2020年1月から4月までの約4ヶ月間のプロジェクトでしたが、創業3周年のこのタイミングでロゴを一新できて良い区切りになりました。 本記事では、今回のロゴリニューアルプロセスを紹介していければと思います。 背景 まずは、ロゴをリニューアルすることになった経緯について。 ロゴをリニューアルすることになった1番のきっかけは、約1年前の事業転換です。 Flatt Securityは元々、PinQulというtoCのライブコマースサービスを提供していたので、サービスが会社の顔であり企業ロゴに関して特に大きな課題はありませんでした。昨年社名がFlattからFlat
こんにちは。株式会社Flatt Security セキュリティエンジニアのおもち(@0xomochi)です。 本記事では、弊社が提供する「アンチウイルスソフト性能検証サービス」について、主にサービスの必要性や技術的背景について説明します。 アンチウイルスソフト性能検証サービスとは サービス概要 アンチウイルスソフト性能検証サービスとは、弊社が独自に用意したデータセットを用いてアンチウイルスソフトの検証を行うものです。マルウェアの検知率や正常ファイルの誤検知率、リソース消費、検証過程で見つかったバグ、検証に用いたデータセット情報などをまとめ、詳細な報告レポートとして提供します。検証終了後も検証内容に関するサポートをメールで行う予定です。 サービスの必要性・背景 近年、アンチウイルスソフトは、企業単位だけでなく、個人のPCにも導入されていることが多くなっています。皆さんが今使っているアンチウイ
こんにちは。株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本記事では、主にFirebaseの概要やセキュリティルールを用いた堅牢なCloud Firestore環境の構築について説明します。本記事を読むことで、Firebaseに関する基礎知識やデータベースにおけるセキュリティ上の懸念事項について理解するとともに、セキュリティルールを用いて堅牢なCloud Firestore環境を構築するための初歩を身につけることができるでしょう。 また、Flatt Securityでは開発/運用中のプロダクトにおいて、Firebaseをセキュアに活用できているか診断することも可能です。 Firebase を用いた開発におけるセキュリティ上の懸念事項が気になる場合や、実際に診断について相談したいという場合は、ぜひ下記バナーからお問い合わせください。 Fireb
はじめに Flatt Securityでは2019年末から2020年始にかけて1週間の短期インターンを3日程実施しました。本記事は2番目の日程で参加された@ei01241さんによる体験記になります。 読者の皆様には実際の参加者の文章を通してFlatt Securityの雰囲気をより知っていただけたら幸いです。以下本文になります。 はじめまして、@ei01241です。 Flatt Securityさんでインターンに参加した体験記をまとめました。 本インターンは2020年1月27日~1月31日の5日間実施されました。 インターンの内容は独自コンテンツを利用してWebセキュリティを学習し、CTF形式で実践することで、スキルや知識を身に付けることを目的とするものでした。 本記事ではインターン前後やその心境を紹介します。 はじめに インターン参加前 参加のきっかけ 事前学習 インターンのコンテンツ
はじめに 弊社Flatt Securityでは学生の学びを支援したいという想いから今回少額ではありますが高橋さんの留学を支援させていただき、そのご縁で弊社のYONEUCHI, Takashi (@lmt_swallow) | Twitterもスタッフを務めるセキュリティミニキャンプにおける素晴らしい講義の内容をテックブログに書いていただけることになりました。以下本文になります。 @00_ です。今年の夏のUC Berkeleyへの留学費用をFlatt Securityさんに支援して頂いた経緯で、セキュリティミニキャンプの講義内容についてテックブログで書くことになりました。 2019/09/28-2019/09/29 のセキュリティミニキャンプ山梨で「ミニキャン言語を作ってみよう!」の講座を行いました。この講座では、「ミニキャン言語(MC言語)」という独自言語のコンパイラを、自分がコミッタで
はじめに BlackHat USA 2019 株式会社 Flatt Security でセキュリティエンジニアをしている米内(@lmt_swallow)です。私は 2019/8/3 から 2019/8/8 で開催された Black Hat USA 2019 と、続いて開催された DEFCON 27 に参加してきました。本記事では、特に Black Hat USA 2019 で印象的だった以下の 4 つの発表について、簡単な紹介と解説をしたいと思います。 HTTP Desync Attacks: Smashing into the Cell Next Door API-Induced SSRF: How Apple Pay Scattered Vulnerabilities Across the Web Denial of Service with a Fistful of Packets:
このページを最初にブックマークしてみませんか?
『Flatt Security Blog』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く