chikoblog

やってみたことの掃溜め

セキュリティ

Apache2.4.49サーバにパストラバーサルの脆弱性攻撃やってみた

Apache HTTP Server 2.4.49にパストラバーサルの脆弱性が発見されましたね。 We have reproduced the fresh CVE-2021-41773 Path Traversal vulnerability in Apache 2.4.49.If files outside of the document root are not protected by "require all deni…

【CEHのお勉強】フットプリンティングって何? WEB編

この記事は マイナビ Advent Calendar 2020 の23日目の記事です。 最近CEHの取得を目指しいろいろと勉強しています。 CEHの試験範囲にあるフットプリンティングについて個人的にまとめてみました。 今回は検索エンジンで調べられるものやWEBサイトからのフッ…

AWS環境にKali Linuxを建てて遊ぶ方法

この記事は マイナビ Advent Calendar 2020 の7日目の記事です。 Kali LinuxをAWS環境で建てて、脆弱性診断やセキュリティの勉強をしたい人向けに僕が実際に建てたハッキングラボ環境を簡単に紹介しようと思います。 準備するもの Kali LinuxとテストAttack…

コロナによる在宅ワークで話題になったZoomセキュリティネタまとめ

新型コロナウイルス(COVID-19)の流行により、在宅ワークをおこなう方が多くなったかと思います。 そんな中、在宅ワークに不可欠なZoom、FaceTime、Skypeなどのビデオ会議ツールへの攻撃が世界的に流行っているようです。 特に人気で利用者も多いZoomは脆弱性…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 6

この記事は下記のブログの続きです! 過去の記事でおこなった手順は省略してますのでご注意ください。 chikoblog.hatenablog.jp まだ、このシリーズの読んでいなければ先にLevel 1の記事をご覧ください。 chikoblog.hatenablog.jp ※この記事はflaws.cloudの…

flaws2.cloudをやってみた Attacker Level 1

※この記事はflaws2.cloudの解き方の一例が載ってます。 今後flaws2.cloudにチャレンジ予定の方はネタバレになってしまいます。 flaws.cloudの続編⁉flaws2.cloudがあったのでそちらを解いてみました! flaws2.cloudとは flaws2.cloud AWS固有のセキュリティリ…

AWS ワークショップ【AWS 環境における脅威検知と対応】をやってみた モジュール1

前から気になっていたAWSセキュリティワークショップをやってみました! awssecworkshops.jp AWSセキュリティワークショップでなにが学べるか? AWSで実行される環境および ワークロードの保護に適用できる様々なベストプラクティスが紹介されています。 こ…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 5

この記事は下記のブログの続きです! 過去の記事でおこなった手順は省略してますのでご注意ください。 chikoblog.hatenablog.jp まだ、このシリーズの読んでいなければ先にLevel 1の記事をご覧ください。 chikoblog.hatenablog.jp ※この記事はflaws.cloudの…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 4

この記事は下記のブログの続きです! Level 1〜Level 3でおこなった手順は省略してますのでご注意ください。 chikoblog.hatenablog.jp まだ、このシリーズの読んでいなければ先にLevel 1の記事をご覧ください。 chikoblog.hatenablog.jp ※この記事はflaws.cl…

AWSセキュリティ学習環境構築ツールCloudGoatの初期設定

僕のようなAWSセキュリティに興味がある人にうってつけのツールCloudGoatを見つけたので環境構築をやってみました。 CloudGoatとは Rhino Security Labs社が開発したセキュリティ学習用の脆弱性があるAWS環境構築ツールです。 用意されているシナリオを進め…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 3

この記事は下記のブログの続きです! chikoblog.hatenablog.jp まだ、このシリーズの読んでいなければ先にLevel 1の記事をご覧ください。 chikoblog.hatenablog.jp ※この記事はflaws.cloudのやり方が載ってます。今後flaws.cloudにチャレンジ予定の方はネタ…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 2

この記事は下記のブログの続きですので、まだ読んでいなければ先にLevel 1の記事をご覧ください。 そちらの記事にSSRFの説明も記載してありますので、 SSRFとはなんぞや?って方は読んでいただければふわっと理解できるかと思います! chikoblog.hatenablog.…

flaws.cloudでAWS環境にSSRF攻撃をやってみた Level 1

※この記事はflaws.cloudのやり方が載ってます。今後flaws.cloudにチャレンジ予定の方はネタバレになってしまいます。 EC2インスタンスメタデータサービスv2のリリースでも上がっている flaws.cloudを使ってSSRF攻撃について個人的に調査してまとめてみました…

Micro Hardening:Enterprise Editionを受講してきました!

この記事は,マイナビ Advent Calendar 2019 12日目の記事となります. ※本記事は講師の方にネタバレにならない程度なら記事にしていいと言われているのでふんわりとした内容となっています。 Micro Hardening:Enterprise Editionとは 「様々な攻撃からECサ…

デフォルトVPCを使う場合に最低限注意しないといけないこと

この記事は,マイナビ Advent Calendar 2019 5日目の記事となります。 そもそもVPCって? インフラに詳しくない人からするとよくわからないのではないかと思いまして 軽い説明からさせていただきます! VPCとは Amazon Virtual Private Cloudが正式名称 VPC…