GMOインターネットグループ CISOの牧田誠氏が、才能があるエンジニアやクリエイターが評価される世界を作るための取り組みを発表しました。全2回。前回はこちら。 入社当日から有給休暇を15日付与・10連休は年間で3回以上 2つ目ですが、休みをだいぶ増やしました。我々の会社は中途入社が多くて、中途入社はだいたい入社後半年で有給10日が日本の一般的なルールかと思いますが、中途入社だって休む必要があるよねと。子どもが病気になるかもしれないし、いろいろあるから入社当日から有給休暇を15日付与する。これは2011年の話ですが、そういう制度を作りました。 10連休は年間で3回以上ですね。年末年始はその有休を組み合わせることによってだいたい17連休とか。去年1番（連休が）多かった人は、24連休を取っていました。残業に関しては、ゼロが理想ですよね。マイナスでも良いと僕は思っています。 フルフレックスなので

HTTP request smuggling In this section, we'll explain HTTP request smuggling attacks and describe how common request smuggling vulnerabilities can arise. Labs If you're already familiar with HTTP request smuggling and just want to practice on a series of deliberately vulnerable sites, check out the link below for an overview of all labs in this topic. View all HTTP request smuggling labs What is H

Part of the Spectral API Security Series Collaboration is key. Not only in software development. But when it comes to collaboration on Git repositories, the word “key” takes on a whole new meaning. Whether it’s API Keys, passwords, or digital certificates; the secrets used to authenticate access must remain secure. The open nature and convenience of Git repositories are often encumbered by human-e

Wizは7月26日(米国時間)、「GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads｜Wiz Blog」において、UbuntuのOverlayFSモジュールに複数の深刻な脆弱性があるとして、注意を呼び掛けた。この問題の影響を受けるUbuntuのバージョンがクラウドで広く普及しているため、Ubuntuユーザーの約40%がこれらの欠陥に対して脆弱であると警告している。 GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads｜Wiz Blog OverlayFSは、Linuxで広く利用されているファイルシステム。コンテナの普及により事前に構築されたイメージに基づく動的なファイルシステムのデプロイが可能となり、人気を集めるようになった。ただし、このファイルシステムには多くの論

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです！⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記

Ⅰ. はじめに Ⅱ. インストール Ⅲ. 使い方 iOSでFridaを利用する方法 Androidのアプリをトレースする Windows上のプロセスをトレースする 起動中のプロセス一覧を表示する インストール済みのアプリ一覧を表示する（USB接続端末） 引数を表示する HEXダンプ1 HEXダンプ2 レジスタ(ARMの例) 直接アドレスを指定してメモリを読み取る メモリを書き換える アドレス（ポインタ）にオフセットを加える 文字列を表示する(IL2CPP用) ネイティブ関数アドレスを取得し、呼び出す Javaをhookする Java クラスの新規インスタンスを作成し、メソッドを呼び出す Fridaでjavax.crypto.spec.SecretKeySpecをhookする方法 Fridaでjava.security.MessageDigestをhookする方法 Frida を Node.

こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。 クラウドサービスが発展し続ける今日この頃、多くの企業がパブリッククラウドやプライベートクラウドなどを駆使し顧客へサービス提供しているのを目にします。そのような中で、サービスが利用するクラウドにおいて設定不備や意図しない入力、構成の不備により顧客情報や IAM をはじめとする認証情報が脅かされるケースが多々あります。 本記事では、そのような脅威の一例をもとにクラウドサービスをより堅牢で安全に利用する一助になればと、攻撃手法や対策などについて解説をしていきます。 また、私の所属する 株式会社 Flatt Secur

最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ 主にWebアプリに関すること 診断と自分で勝手に脆弱性を探す行為との違い 網羅性は全く必要ない 診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。 期間が永遠 診断期間は自由なので後で気づいて頭を抱えることはない 攻撃に到るまでを説明する必要がある 「バージョンが古いのでダメです」だけでは許してもらえない 変なことすると逮捕される可能性がある 無闇にツール回すと不正アクセス禁止法に引っかかるので だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない 日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向 コモディティ化が進む 自分だけしか知らないような脆弱性はない まだ知られていない手法もほぼ

Disclaimer 本エントリーは、この夏 blackhat usa 2016で行われる予定の講演「NONCE-DISRESPECTING ADVERSARIES: PRACTICAL FORGERY ATTACKS ON GCM IN TLS」 のネタバレを含んでいます。現地で直接聞く方は読まないよう気をつけて下さい。 0. 短いまとめ 今回は短めにと思ったのですが、やっぱりそれなりの分量でした。なので短いまとめを書いておきます。 4千万以上のサイト対してAES-GCM使ったTLS通信の初期ベクトル(IV)データのサーベイが行われ、7万程のサイトでIVの値が再利用される可能性があることがわかりました。IVが再利用された場合、AES-GCMの安全性は致命的な影響を受けます。IVの再利用が判明した幾つか実装から既に脆弱性のアナウンスが出ています。 IVが再利用された場合、現実的にHTTPS

外側から、NAT内の端末の任意ポートにアクセスするNAT Slipstreamingという攻撃があります。 このNAT Slipstreamingについては、以前ブログに書いたとおりです。 asnokaze.hatenablog.com 2021年01月26日に、Armisの研究者らがNAT Slipstreaming v2として新しい攻撃手法を公開しました。 簡単にv1との違いを眺めていこうかと思います。 v2の違い v2も攻撃の大きな流れは同様です。罠サイトを踏んだNAT内のブラウザに、ALGをご作動させるようなパケットを送らせることで、NATの穴あけを行う。v1はすでにブラウザで対応されていたが、v2ではその対応では不十分だった。 v2の違いを簡単にかいつまむと v1では罠サイトを踏んだ端末のみに外部からアクセス可能だったが、v2では罠サイトを踏んだ端末以外にもアクセス可能 H.32

Android端末にも搭載されているLinuxのカーネルに任意のファイルを上書きできる脆弱(ぜいじゃく)性が発見されました。ルート権限が必要なファイルについても上書き可能で特権昇格を行うことができるため、非常に影響の大きいものとなっています。 The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation https://dirtypipe.cm4all.com/ この脆弱性は「Dirty Pipe(CVE-2022-0847)」と名付けられている通りLinuxで複数のプログラムの通信を担うパイプに起因するものとのこと。Linuxには一度読み込んだファイルをメモリ上にキャッシュとして置いておくことで再度アクセスする際の読み込み速度を高速化する「ページキャッシュ」という仕組みが存在していますが、Dirty P

LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog この記事はLINE Advent Calendar 2016の16記事目です。 こんにちは、LINEエンジニアの愛甲健二です。所属は「セキュリティ室」の「Application Security Team」というところで、主にリリース前のGames/Appsの診断を行っている、いわゆる一般的なセキュリティエンジニアです。今日はUnityに関するセキュリティ視点の入門記事を書きたいと思います。 はじめに そもそも「Games/Appsのセキュリティ診断って具体的に何をするのか」という話ですが、基本的にはアプリの解析と、通信プロコトルの解析/診断をメインに行います。 アプリの解析にはいくつかのツールを使うのですが、まず.dexを分