kapieciiのブログ

日々学んだことを残しておくためのブログです。このブログはGoogle Analyticsを利用しています。

トップ > security

security

アプリの通信内容を確認する(Android7以降)

android security

Androidアプリのテストをするため、先日用意した検証用端末で、アプリの通信内容を確認しました。 kapiecii.hatenablog.com 「今更Android7の記事を書くの?」とも思いましたが、色々試したので内容を整理してブログに残しておこうと思います。 HTTPSで通信…

「サイバーセキュリティ レッドチーム実践ガイド」を読んだ

security

昨今のサイバー攻撃検知や防御の事情を知りたくなりました。 攻撃を検知したり防御するためには、敵の攻撃方法を知る必要があります。 ということで、以前から気になっていた下記の本を読んでみたので、復習を兼ねて記事にしたいと思います。 サイバーセキュ…

jarファイル(Java)をdecompileする方法する方法まとめ

security tips

jarファイルを解析する場面に出くわしました。 これまでは「jd-gui」を使っていたのですが、ソースコードの取得中に処理が止まる現象が発生したので、「jd-gui」以外の方法について調べました。 発生したエラーコードを含め、今後のためにメモを残しておきま…

Javaのバージョンを切り替える(ERR_SSL_PROTOCOL_ERROR, SSL_ERROR_RX_RECORD_TOO_LONG)

java security

Burp Suiteというローカルプロキシツールを使って、とあるWebサイトにアクセスしたところ、下記のエラーが発生しました。 Chromeの場合: ERR_SSL_PROTOCOL_ERROR Firefoxの場合: SSL received a record that exceeded the maximum permissible length. エラ…

dockleでWordPressをscanしてみた

Docker security kali

Trivyに続いて、気になっていたdockleを使ってみました。 github.com Trivyの記事はこちら。 kapiecii.hatenablog.com 目次 環境 インストール Scan対象 Scan Scan内容について 最後に 環境 Kali Linux インストール READMEに沿ってインストールします。 # V…

KaliにTrivyをインストールしてWordPressをscanしてみた

kali Docker security

Trivyは、コンテナの既知の脆弱性をチェックできるツールです。 github.com リリースされた当初から性能や利便性で話題になっていましたが、最近「個人で作ったOSSが海外の企業に買い取られた」という記事でも話題になりました。 knqyf263.hatenablog.com op…

realmのセキュリティまわりについて調べてみた

realm security

realmを使う場面に出くわしました。 これまでrealmについて調べたことが無く、realmのセキュリティ周りについて少し調べたので備忘メモを残しておきます。 目次 realmとは? 推奨されているセキュリティ機能 暗号化鍵の保存 realmとSQLインジェクション real…

iOSアプリの通信内容を確認する(2019/6時点)

ios security

iOSアプリのデバッグや調査の際に通信内容を確認したいことがあります。 Burp Suiteというローカルプロキシツールを使って通信内容を確認しました。 portswigger.net 目次 全体像 環境 手順 1.Burp Suiteの設定 2. iOS端末に証明書をインストール 3.IOS端末…

kali linuxのdex2jarで「OutOfMemoryError: Java heap space」

kali security

kali上のdex2jarを実行したところ、下記のエラーが発生した。 Exception in thread "main" java.lang.OutOfMemoryError: Java heap space どこでメモリの設定変えるんだっけ?と少し調べたのでメモを残しておきます。 環境 kali linux 解決方法 Java VMのメ…

「Retire.js」を使って、Webサイトで使われているJavaScriptライブラリの脆弱性を確認してみよう

security javascript

よしたくさんのブログで「Wrappalyzer」を紹介していました。 yoshitaku-jp.hatenablog.com 私が「Wrappalyzer」と合わせて使っている「Retire.js」も便利なので、ご紹介したいと思い記事にしてみました。 目次 Retire.jsって? OWASP ZAP Burp Suite インス…

.NET Frameworkの既知の脆弱性とサポートバージョンを調べてみた

.net framework security

Webサイトを見ていると、エラーページなどで.NET Frameworkのバージョン情報を目にすることがあります。 当該バージョンに既知の脆弱性があるかどうかを調べてみました。 目次 エラー画面での表示例 インストールされているバージョンやService Packを確認す…

各種アプリケーションの脆弱性を調べるCPEサンプル集

security

「いい加減ちゃんと使い方を覚えないと」と思ったので、メモを残しておきます。 目次 サンプル ASP.NET framework Apache Tomcat Apache Http Server PHP Microsoft Internet Information Services (IIS) jQuery jQuery UI CPEを使ってNVDで脆弱性を検索する…

MQTTを利用したサービスの攻撃シナリオを検証してみた

mqtt security iot

下記のAvastのブログで2018年8月時点のMQTTに関する情勢や、攻撃シナリオについて解説していました。 とても興味深かったので、攻撃シナリオの中の1つをローカル環境で検証してみました。 Are smart homes vulnerable to hacking? https://blog.avast.com/mq…

システム運用者側からみた脆弱性の調査とハンドリングについて

event security

2018/11/24に開催された「大和セキュリティ勉強会:今年話題になった脆弱性を攻撃してみよう! with Vuls」に参加してきました。 脆弱性の概要と対策を調べる方法や、脆弱性を実際に検証してみることの楽しさを体験できたので、ブログに残しておこうと思いま…

脆弱性情報や攻撃コードを探す際に見るところ

security

概要 公開されている脆弱性情報や攻撃コードを集める際に見るところを整理してみました。 ソフトウェアの採用検討や情報収集などの際に既知脆弱性がどれだけありそうか参考にすることが目的であり、情報の悪用は目的としていません。 「Pen Test Partners bl…

kapieciiのブログについてお問い合わせがある場合、下記のフォームからご連絡をお願い致します。
お問い合わせはこちら