Kali LinuxやParrot OS上で、VirtualboxでVMを起動している最中、VMのウインドウを動かせないという事象をしばらく放置していました。 調べてみたら以下の記事が出てきて、書かれている通り、ホストキーを押してみたら動かせるようになりました。 askubuntu.…

はじめに 日本コンピュータセキュリティインシデント対応チーム協議会（日本シーサート協議会、NCAなどとも）が『CSIRT人材の育成 Ver 1.0』を公開しました。 www.nca.gr.jp インシデントが起きると様々な役割の人達が入り乱れて、時に統制され、時に混沌と…

SQLインジェクションの検証環境が欲しくて、ついでにGo言語とGoのWebアプリケーションフレームワークEchoも触っておくかということで↓を作りました。ぜんぜん大したものじゃないんですが、日記として。 github.com 今はシンプルにJSONを返すだけですが、Reac…

はじめに Docker Desktop for Windowsが動かなくて嫌な思いをしたのでメモです。 結論 ログファイルを見たら、 WSL_E_DISTRO_NOT_FOUND というエラーが出ていた。ググったら以下の記事が出ていて、これの内容に従った。 github.com こうなってたところを、 P…

はじめに Googleがosv-scannerというリポジトリを公開しています。どうやら脆弱性スキャナのようです。 github.com これを使ってみる前に、OSVとかSBOMとか、知らなかった概念について先に掘り下げて置こうと思います。この記事ではOSVについて見ていきます…

先日、TrivyでAWSのセキュリティチェックができるようになりましたね（参考：クラスメソッドさんのブログ）。 dev.classmethod.jp GCP（Google Cloudと呼ぶ人もいるらしい）も近日対応予定！って感じみたいですが、直近さくっとチェックしたいニーズがあった…

はじめに Web Security Academyの「Remote code execution via web shell upload」解いてみました。 portswigger.net 難易度的に簡単なものが続いているのはご容赦ください。。 あと、ウェブシェルって色々あると思うんですが、使いやすいもの、多機能なもの…

はじめに task4233さんが開催したtaskctf2022に参加していました。 問題数、難易度、期間全てが絶妙で楽しかったです。チュートリアルを置くお人柄も素敵です。ありがとうございました。そしてお誕生日おめでとうございました。:tada: 誕生日CTFことtaskctf…

はじめに PortSwigger Web Security Academyの「Basic SSRF against the local server」を解きました。 portswigger.net Writeup 事前情報 在庫確認機能は、内部システムにデータをフェッチする Walkthrough 商品ページを見て、 在庫チェック機能のリクエス…

はじめに この記事は「shinobe179 Advent Calendar 2022」2日目の記事です。 adventar.org まずは「Lab from all topics」のコンプリートに向けて、「JWT authentication bypass via unverified signature」を解きました。簡単な問題ですが、飲み会終わりに…

はじめに この記事は「shinobe179 Advent Calendar 2022」1日目の記事です。 adventar.org CISSP、eJPT以降、忙しさにかまけて精進が滞っていたので、アドベントカレンダーの力を借りてBurp Suite Certified Practitioner（BSCP）を取ろうかなと思います。 …