はじめに こんにちは。GMO Flatt Security株式会社セキュリティエンジニアの村上です。入社してから5年ほどWebアプリケーションを中心に脆弱性診断を担当しています。 近年、言語やフレームワークの進化により、SQL Injectionなどの古典的脆弱性は減少傾向に…

2026年3月31日、HTTP クライアントライブラリ axios の npm パッケージが侵害されました。攻撃者はメンテナの npm アカウントを乗っ取り、マルウェアを含むバージョン 1.14.1 および 0.30.4 を公開しました。axios は npm エコシステムで週間約1億ダウンロー…

はじめに こんにちは。GMO Flatt Securityのセキュリティエンジニアの松井（@ryotaromosao）とチョン（Eui Chul Chung）です。 皆さんは、「署名付きURLにおけるパストラバーサル」の脆弱性をご存知でしょうか？ Webアプリケーションで署名付きURLを実装する…

はじめに こんにちは。株式会社GMO Flatt Securityセキュリティエンジニアの森(@ei01241)です。 近年、React、Vue、Angularといったフロントエンドフレームワークを用いたSPAの開発が主流となり、Webアプリケーションにおけるクライアントサイドの役割はます…

※ 本記事は Unity と開示タイミングを調整し公開された英語版の第一報記事の翻訳版です。 はじめに こんにちは、GMO Flatt Security株式会社でセキュリティエンジニアをしている RyotaK（@ryotkak）です。 本記事では、2025年5月に開催された Meta Bug Bount…

こんにちは、GMO Flatt Security の大崎です。 本記事では、私が作問し弊社の Kaigi on Rails 2025 出展ブースで出題したクイズを解説します。 このクイズは、実際に HackerOne に報告された脆弱性を元ネタとしています。 Ruby on Rails をバージョンアップ…

Go Conference 2025 に協賛し、ブースを出展させていただきました！ セキュリティエンジニアの xryuseix です。今回は先日開催された Go Conference 2025 の振り返りと、ブースで出題したセキュアコーディングクイズの解説をお届けしたいと思います！ 弊社は…

はじめに GMO Flatt Securityセキュリティエンジニアのcanalun、ryotaromosao、mn1、fujitargzです。 本ブログでは、2025年8月上旬に開催されたBSides Las Vegas、Black Hat USA 2025、DEF CON 33に弊社メンバーが参加した際の記録、および、特に興味深かっ…

先日公開した記事「Passkey認証の実装ミスに起因する脆弱性・セキュリティリスク」では、「8. Non Discoverable Credentialのフローとの混在」において、StrongKey FIDO Serverのアカウント乗っ取りが可能な脆弱性について言及しました。StrongKey FIDO Serv…

XSSこわい 若頭: おいお前ら、なにかおもしろい遊びをしねえか。こんなにみんなで集まる機会もそうねえだろう エンジニア佐藤: そうですねえ、こんなのはどうでしょうか。人間誰しも怖いものが1つはありますから、それをみんなで教えあってみましょうよ 若頭…

こんにちは、GMO Flatt Security株式会社 セキュリティエンジニアの小武です。 近年、WebAuthn、特にPasskeyはパスワードレス認証への関心の高まりや利便性の高さから、普及が進んでいます。 WebAuthnによるPasskey認証は強固な認証手段ですが、複雑な認証基…

こんにちは、"エンジニアの背中を預かる" をミッションに掲げるGMO Flatt Security(以下、Flatt)です。 弊社はそのミッションの通り開発組織にとって体験の良いセキュリティサービスを提供しており、その関係で技術コミュニティに協賛・カンファレンスにブー…