Flatt Security Blog

株式会社Flatt Securityの公式ブログです。情報漏洩等につながる脆弱性がないか調査する「セキュリティ診断」とWeb開発者向けセキュアコーディングのeラーニング「KENRO」を提供しています。」

株式会社Flatt Securityの公式ブログです。
技術的な知見や社内の雰囲気を伝える記事を発信しています。

2023-01-01から1年間の記事一覧

React Hooksに潜む罠/一緒にプレイするだけで乗っ取り!?【Security․Tokyo #1】

株式会社Flatt SecurityとTokyo HackerOne Clubが共催した脆弱性勉強会「Security․Tokyo #1」より、今回は、LT5「React Hooksに潜む罠」とLT6「一緒にプレイするだけで乗っ取り!? ~任天堂のバッファオーバーフロー脆弱性~」の発表内容をお届けします。 …

決済代行サービスの実装における検証不備を悪用/Pwning Old WebKit for Fun and Profit【Security․Tokyo #1】

株式会社Flatt SecurityとTokyo HackerOne Clubが共催した脆弱性勉強会「Security․Tokyo #1」より、今回は、LT3「決済代行サービスの実装における検証不備を悪用」とLT4「Pwning Old WebKit for Fun and Profit」の発表内容をお届けします。 <注意事項> 本…

Cookie vs Local Storage マルウェア耐性等に差はあるか?Google Chromeによる保存時の暗号化を検証する

こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなア…

Deep in 国際化ドメイン名/Credential GuardをバイパスするPass-the-Challengeについて【Security․Tokyo #1】

株式会社Flatt SecurityとTokyo HackerOne Clubが共催した脆弱性勉強会「Security․Tokyo #1」。満員の会場ではテーマの異なる6つのLTが発表され、盛況のうちに終わりました。 今回は、LT1「Deep in 国際化ドメイン名」とLT2「Credential Guardをバイパスする…

Flatt Security Developers' Quiz #5 解説

はじめに 下記のTweetで出題させていただいた、Flatt Security Developers' Quiz #5にご参加いただきありがとうございました! Flatt Security Developers' Quiz #5 開催! オリジナルチョコ獲得を目指して頑張ってください!デモ環境: https://t.co/DUM6Nj…

新卒エンジニアのセキュリティ学習・教育は「楽しく」を第一の目標に始めよう

2022年末から2023年始にかけて1ヶ月ほど、「新卒開発エンジニアへのセキュアコーディング挑戦状 presented by KENRO」というキャンペーンを展開しました。Webセキュリティに関する簡単なクイズを3問解いてもらって、正答者にはステッカーをプレゼント!とい…