新年から気を引き締めるためにオンラインCTF(TetCTF)に参加してきましたので、参加記録と雑感を書きます。

 
TetCTF2023 とは
TetCTFはベトナムの新年の祝日(Tet)に新年が皆様にとって良い年でありますようにと願いを込めて、開催されています。

難易度は正直わかりません。CTFTimes(https://ctftime.org/)で新年からで[…]

今年も去年に劣らず情報漏洩が起こりました。

原因は不正アクセスからヒューマンエラーと様々あります。

個人情報漏洩事件で取り上げられている2021年に発生した事案を分析し、どのような傾向があるか見ていきましょう。

※本当は白書等の情報をもとにするべきですが、ざっくりとした傾向をつかみたいので上記リソースをもとにしました。

 
事案分析
集計に際し[…]

Linuxのターミナル画面をブラウザで実行できることもあり、CTFの問題より実装が気になってしまった。

ブラウザ上でShellを実行できるメリットとしては、問[…]

例えば、世界3大名所や、日本がっかり3大名所などがあります。

情報セキュリティの分野においても同じように、主要な要素がまとめられています。

今回は情報セキュリティにまつわるいくつかの例を紹介していきます。
情報セキュリティ3大要素
情報セキュリティを構成する3つの要素のことをまとめて情報セキュリ[…]

今回、とある情報漏洩事件について調べてみたので、私なりのまとめをご紹介いたします。

 
概要
今回題材としたのは、糖質制限食ショップの情報漏洩事件です。このインシデントを現状わかる範囲で調査しどのような攻撃にさらされたかを推測します。[…]

お知らせを確認すると「認証されていないユーザ（以下『ゲストユーザ』に対して意図した以上の情報にアクセスを許可してしまう可能性があることに懸念を持たれているお客様がいらっしゃることを認識しております」とのこと。

また、「Salesforce[…]

ECサイトがインターネット上にあふれている昨今、脆弱性や設定ミスからクレジットカード情報の漏洩やなりすましによる被害が絶えません。日本でも毎日のように漏洩事件が起きています。実際に起きた事件について、原因を調査して少し考察したいと思っています。

注意：この記事は、はてなブログで活動されている方の記事の影響を強く受けています。取り上げる題材は被りのないように注意していますが、万が一被ったり、内容が似通[…]

 
情報処理安全確保支援士
IPAが認定している国家資格です。サイバー攻撃の組織化や収益化が進んできた昨今、セキュリティ人材の確保の為に制定された制度です。詳しくは、IPAの「国家資格「情報処理安全確保支援士（登録セキスペ）」とは」を参照してください[…]

私は脆弱性診断の仕事を3年弱しています。今までの経験の中で、脆弱性診断の仕事について思ったことを書かせていただきます。

 
脆弱性診断とは
脆弱性診断とは、2種類に分けられます。①Webアプリケーション診断②プラットフォーム診断です。

やることをざっくり説明すると、Webアプリやプラットフォームに脆弱性がないことを確認します。具体的には、細工したパケットや、リクエストを送信し、[…]

 
感じること
大きく分けて3つあります。

会社での立場
給料
社会的な立場

1.会社での立場
会社員より言いたいことが言えるようになりました。会社員だと、入社3か月程度で様々な提案をしても「新人のくせに」で一蹴されてしまうことが[…]

webアプリケーション診断を実施する際に、意図しないファイルやディレクトリがないかサクッとやりたい時があります。

そんな時、OWASP ZAPやBurp Suiteといった自動診断ツールを使う手もありますが、CLIでやるツール「Ffuf(FUZZ Faster U Fool)」が紹介されていましたので、使ってみた雑感を紹介いたします。

 
環境
Kali Linux 4.[…]

2020/05/23(土) 14:00 ~　5/24(日)14:00の24時間、SECCON Beginners CTF 2020が開催されました。

「第3回 SECCON Beginners CTF（5月23日）開催終了しました」

私は残りの15分ほどしか参加できなかっ[…]