技術ネタ

Hack The BoxはVIP+に課金するべきか

結論としては課金推奨という感想.

2020年7月に登録し,2020年12月から2021年9月までVIP+で課金してきたので,感想をまとめておく.現在の攻略台数は82台.Easyマシンを全て攻略した段階での感想となる.

続きを読む

WordPressの更新画面で「最新バージョンの WordPress をお使いです。」としか表示されない場合の対処法

個人的メモ.

WordPressの脆弱性が発見されたらしく,そういえばこのサイトもアップデートしてたかなぁと見てみると,Ver.5.5.1なのに「最新バージョンのWordpressをお使いです」と表示される.公式サイトを見に行くと5.7.2がリリースされているので明らかにおかしい.

続きを読む

CGI検証用Linux環境構築メモ

世間で配布されているCGIには脆弱性がないのか.

もし配布されているCGIに脆弱性があった場合,多くのサイトで影響が出る可能性がある.そのため,Windows10 Pro上にHyper-VでCentOS8を立て,その上にCGIを載せる.そして,Windows側からOWASP ZAPによる脆弱性検査を行う.

続きを読む

TOEICのログインページの死活監視

10月4日に開催される第253回試験の申込みが,本日8月5日12:00から開始された.しかしながらサーバにアクセスが集中し,(Twitterを見ている限り誰も)ログインができない状況が発生した.この状況は14:00まで継続し,14:00に公式から申し込みを中断する旨が発表された.

続きを読む

「脆弱性を直して学ぶ!Webセキュリティハンズオン by Recruit」の振り返り

5/16日(土)に開催された「脆弱性を直して学ぶ!Webセキュリティハンズオン by Recruit」について,個人的な振り返りです.

 

概要

内容としてはbadsns2019という20個の脆弱性を埋め込んだ簡易Twitterのようなものに対して,脆弱性を調べて対策するというものでした.事前課題は上記の修正であり,イベント当日は各脆弱性の解説,デモ,良い対策手法についての解説をしていただきました.

badsns2019は研修の内容らしく,レベルが高いにも関わらず解説が丁寧にまとまっていた印象です.また,こういった類のイベントには珍しく,Dockerで環境を再現して後からでも演習に挑戦できる点が好ましいと感じました.

続きを読む