dhmo – Self branding

ペネトレーションテストとは何か？NIST Special Publication 800-115を起点に分からないカタカナ語を潰した先に見えた答えとは？

投稿日: 2024年4月22日2024年4月22日 dhmoカテゴリー: セキュリティ

「ペネトレーションテストとは？」世間ではどのように表現されているのか？ホワイトハッカーの宿命か。この質問は日 […]

【スマホ脆弱性診断】OWASP Mobile Top 10 2024では何を確認すればよいか

投稿日: 2024年2月20日2024年2月20日 dhmoカテゴリー: セキュリティ

8年ぶりにOWASP Mobile Top 10の更新 8年ぶりにOWASP Mobile Top 10が更新 […]

生成AI(OPEN AI,Chat GPT)への攻撃手法とセキュリティ対策の考え方｜Web LLM attacksがPortSwigger(Burp Suite)のAcademyを通じて実践的に考える

投稿日: 2024年1月29日2024年1月29日 dhmoカテゴリー: セキュリティ

AIをサービスに組み込む場合の責任と対応の難しさ AIの脅威は、業務中に上司にChatGPTの回答が正しいか聞 […]

【セキュリティ】OSINTとアタッカーサーフェスマネジメント（ASM）｜ネットワーク構成図の管理イコールセキュリティ対策なのか

投稿日: 2023年12月31日2023年12月31日 dhmoカテゴリー: セキュリティ

年末になったのを思い出したかのように急冷却を始めた12月ですが、セキュリティは年中無休なので年末感出されるとよ […]

【セキュリティ】BurpSuiteでAndroidのHTTPS通信を診断するためには？｜Android Pie Q対応(Android 7/8/9/10)

投稿日: 2023年11月29日2023年12月14日 dhmoカテゴリー: Android

バージョンに関係のないBurpSuiteでAndroidのHTTPS通信を診断する手法を発見スマートフォン診 […]

【全モジュール解説】AWS特有のセキュリティリスクとPacuでクラウド診断/ペネトレーションテストの実施(2023年12月更新)

投稿日: 2023年10月18日2023年12月11日 dhmoカテゴリー: AWS

クラウドでは１つの設定で無数の影響が発生する。安易な対処療法ではなく診断が大切クラウド環境(AWS)で旧来の […]

【セキュリティ】GraphQLの脆弱性原理とリスク適切に把握して対策しましょう

投稿日: 2023年9月18日2023年9月19日 dhmoカテゴリー: セキュアコーディング

GraphQLの脆弱性に関しても、インジェクションの一種だろうと診断入力値やシグニチャを調べ出す人が多いのです […]

アメリカと日本のサイバーセキュリティの置かれている制度・環境の違いを自覚する

投稿日: 2023年9月8日2023年9月9日 dhmoカテゴリー: セキュリティ

立ち位置さえ自覚できれば確実に日本をよくできる。むしろ現在は日本がピンチゆえチャンスですセキュリティの業界に […]

保護中: 自組織のためにできるフットプリンティングとは

投稿日: 2023年8月1日 dhmoカテゴリー: セキュリティ

この投稿はパスワードで保護されているため抜粋文はありません。

【DOM exploit】XSSだけではないDOM脆弱性原理とリスク適切に把握して対策しましょう

投稿日: 2023年7月16日2023年7月18日 dhmoカテゴリー: セキュアコーディング

DOMの脆弱性は特に仕組み上「〇〇があれば大丈夫」が通用しない DOM XSSはインジェクションの入り口となる […]

【セキュリティ】HTTP request smuggling(HRS)の脆弱性の原理と仕組みを理解する

投稿日: 2023年7月10日2023年7月10日 dhmoカテゴリー: セキュリティ

RFCと現実の利用実体との差が埋められず生まれたHTTP request smuggling(HRS)の脆弱性 […]

【脆弱性】Relative Path Overwrite,CSSインジェクション見逃してないですか。

投稿日: 2023年7月3日2023年7月6日 dhmoカテゴリー: セキュアコーディング

見逃されがちな脆弱性としてRelative Path Overwrite,CSSインジェクションがあります。 […]

【クラウドセキュリティ】ランサムウェアには現実的にどのように対処するのがベストなのか？

投稿日: 2023年6月12日2023年6月12日 dhmoカテゴリー: AWS

ランサムウェアの本質は情報資産を人質に金銭を得ることを目的としていることランサムウェアは情報資産を人質に金銭 […]

AWS、GCP、AzureでSubdomain takeoverの脆弱性が発生するタイミング・サービスを抑え

投稿日: 2023年4月17日 dhmoカテゴリー: セキュリティ

Subdomain takeoverの脆弱性と有名事例 Subdomain takeoverの脆弱性は、Web […]

フィッシング詐欺の見抜き方を極める｜サイト、メール、SMSの本質を抑えてあらゆる手口に対処する

投稿日: 2023年4月16日2023年4月17日 dhmoカテゴリー: セキュリティ

フィッシング対策は視野が狭くなると益々犯罪者の思う壺「フィッシングとはネット版のオレオレ詐欺」という言葉がし […]

ZIP圧縮やPNG・PDFなどファイルフォーマットの基礎を作ったジェイコブ・ジヴさんの逝去を偲んで技術的、セキュリティ的に振り返る

投稿日: 2023年4月2日2023年4月2日 dhmoカテゴリー: セキュリティ

ジェイコブ・ジヴさんが開発したLempel-Ziv-Welch（LZW）アルゴリズムとは？ 2023年3月26 […]

標的型メール訓練はなぜ、標的型訓練の対策とはならないのは何故か？｜AwarenessとTrainingから正しい組織啓蒙活動を

投稿日: 2023年3月25日2023年3月26日 dhmoカテゴリー: セキュリティ

詳しくなっても「怪しい」を100％防ぐことはできない。ただし組織として言い訳が効かないレベルの「怪しい」は1 […]

【エラーの解決方法】npm ERR! 404 Not Found – GET https://registry.npmjs.org/severless – Not found

投稿日: 2023年3月24日2023年3月24日 dhmoカテゴリー: AWS

「npm ERR! 404 Not Found – GET https://regi […]

保護中: Splunkを知る

投稿日: 2023年3月6日2023年3月27日 dhmoカテゴリー: セキュリティ

この投稿はパスワードで保護されているため抜粋文はありません。

クラウド特有の脆弱性はハッカーにとって格好の標的にCSPMだけでカバーできないクラウド設定ミスを解説します

投稿日: 2023年2月19日2023年2月19日 dhmoカテゴリー: セキュリティ

クラウドサービスの利用でエンジニアスペックに合わせたスピーディなサービス展開が可能になった一方、責任分解モデル […]

Javascript現在の仕様になった歴史的な経緯や背景を深掘りしワンランク上の評価ができるようになろう

投稿日: 2023年1月28日2023年1月30日 dhmoカテゴリー: IT技術

過去にプロトタイプ汚染について記事にした際、Javascriptに関して深掘りした記事を書きたいと思って1年以 […]