DARK MATTER

CDI Engineer's Technical Blog

Development

Server-Side Template Injection

技術部の松永です。「サーバーサイド・テンプレート・インジェクション」という脆弱性をご存じでしょうか。 Webアプリケーションの開発やセキュリティテストに関わったことのある方でも、あまり聞き馴染みの無い脆弱性ではないかと思います。サーバーサイド…

iOS Reverse Engineering Tool開発 - Objective-C tracer

こんにちは。技術部エンジニアの松永です。 昔、iOSアプリケーションのセキュリティ診断を頑張っていた頃に作ったツールを紹介します。全ての Objective-C のメソッド呼び出しをトレースするものです。

Burp Extension JSON Prettyの公開

Burp Extension JSON Prettyの公開

Dockerを使って、Apache Struts2の脆弱性S2-037のやられ環境を手軽に作る

技術部の津野田です。 先日、Apache Struts2の脆弱性S2-037が公開されました。 https://struts.apache.org/docs/s2-037.html このような危険度の高い脆弱性が公開された場合に、当社では独自に検証を行い再現性の確認を行っています。 この検証作業には、要…

Burp Extension開発 - RESTfulアプリケーション対応

こんにちは。技術部エンジニアの松永です。 Burp Suite Japan(@BurpSuiteJapan)にて告知していました、HTTPリクエストのコピーツールを公開しましたので、簡単に紹介したいと思います。 Burp Extension 以下のGithubリポジトリで公開しています。https://git…

開発への取り組み

こんにちは。技術部エンジニアの松永です。 セキュリティ診断作業の傍らで、攻撃・解析ツールや診断システムなどの開発を行っています。 セキュリティは総合格闘技と評される通り、これらのツール開発の分野もWebやNetworkに始まり、PC・スマホアプリといっ…

Burp Extension開発 - MessagePack

こんにちは。技術部エンジニアの松永です。 PC・スマホアプリケーションや組込機器の脆弱性診断の現場では、クライアント(アプリや機器)とサーバー間の通信に Web API が使用されるケースによく遭遇します。 Web APIの診断には、弊社では主に Burp Suite P…

株式会社サイバーディフェンス研究所 / Cyber Defense Institute Inc.