-
Web For Pentester IIのMass Assignmentをやってみた Hello there, ('ω')ノ Mass Assignmentを。 どうもRubyのActiveRecordで構築しているようで。 どおりでSQLインジェクションも見当たらず。 SQLmapで… Read more
-
Metasploitable3 を nmap でスキャンしてみる 前回の記事でセットアップした Metasploitable3 に対して Kali linux からスキャンをしてどんなサービスが動いているか調べてみたので方法をまとめておきます。 Metasploit… Read more
-
【Hack The Box】Archtype 概要 Hack The BoxのArchetypeをやりながら学んだことをまとめます。Starting Pointでは攻略の仕方が書かれていますが、私は書かれているコマンドの意味が理解できなかったので… Read more
-
徳丸基礎試験に合格したので勉強方法とか書く どうも、のみぞうです。 先月、ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格したので、受験までに勉強したこととか書きます。これから受験する方の参考になればと思ってます。 www.phpexam.j… Read more
-
SSCP 試験の攻略法を本気で考える 個人的な話で大変恐縮ですが、最近しなもんの周りではセキュリティ資格 "SSCP" 取得に向けた機運が高まっています。すぐ身バレしそうですね 私は昨年 SSCP 試験を受験し、合格しています。 その時書… Read more
-
WordPress の XXE(CVE-2021-29447) やる はじめに 修正内容 脆弱性の検証 WordPressの起動 アカウントの確認 攻撃用WAVファイルの生成 攻撃者Webサーバを起動 WAVファイルのアップロード 攻撃者Webサーバのログを確認 ログか… Read more
-
SSH で正しく公開鍵認証設定しているのに接続先パスワードを聞かれるときの対処 2021-05-15 概要 環境 確認1:鍵設定の手順を確かめる 確認2:パーミッション 確認3:sshd_config の設定値 確認4:sshd のログ 確認5:SELinux が止めていないか確… Read more
-
IAM Policyの"Action"に指定できる権限の一覧はどこにあるのか IAM Policyの"Action"区内に指定できるaction権限の一覧が記載されている場所の備忘録です。 はじめに IAM Policyの"Action"に指定できるaction権限の一覧 場所… Read more
-
-セキュリティ- はてなブログでTLS 1.0/1.1の利用が停止されました しばらくまえからアナウンスのあった「はてなブログでのTLS1.0/1.1停止」ですが、12/28(月)に実施されたようです。 では具体的な設定状況はどうなっているのでしょうか。Qualys(情報セキュ… Read more
-
とある診断員とSecurity-JAWS#02でAWS環境のDFIRを体験してきた 12/12(土)に とある診断員とSecurity-JAWS#02 にリモートで参加してきました。 tigersecjaws.connpass.com 勉強会は、AWS特有のセキュリティ機能とAWS環… Read more
