概要
Webセキュリティ分野を中心に、
情報処理安全確保支援士試験対策と並行して
CTF・脆弱性検証・技術ブログ執筆を継続しています。
Dockerを用いたDVWA検証環境の構築や、
SQLインジェクション、認証・セッション管理の不備などを
実際に再現・検証し、学んだ内容をブログおよびGitHubで公開しています。
理解を深めるため、手を動かして確認することと、
自分の言葉で説明・アウトプットすることを重視しています。
技術テーマ
Webセキュリティ
- SQLインジェクション(認証回避・入力値検証不備)
- 認証・セッション管理の脆弱性
- Cookie改ざん
- User-Agent / HTTPヘッダの扱い
- Webアプリケーションの入力値検証
環境構築・検証
- UTMを用いたUbuntu環境構築
- DockerによるDVWA検証環境構築
- Web脆弱性の再現・挙動確認
- 攻撃成立条件と対策の整理
理論・試験対策
- 情報処理安全確保支援士(午前Ⅱ・午後問題演習)
- PKI / CA / デジタル署名
- クラウドサービスのセキュリティ
- インシデント対応・マルウェア対策
実践・検証内容
Dockerを用いてDVWAの検証環境を構築し、
SQLインジェクションやOSコマンドインジェクションの
動作確認・再現を行いました。
CTF(picoCTF Web Medium)に取り組み、
Webアプリケーションの脆弱性を実際に突くことで
攻撃手法と防御の考え方を整理しました。
代表的な成果物
picoCTF Web Medium Write Up
More SQLi
SQLインジェクションによる認証回避について、
クエリの挙動を確認しながら原因と対策を整理しました。
あわせて読みたい
【picoCTF – Write Up】 More SQLi(Medium – Web Exploitation)
このページにはプロモーションが含まれています 問題情報 タイトル:More SQLi カテゴリ:Web 難易度:Medium 使用ツール:ブラウザ、Burp Suite 問題文 問題文の和訳 …
Irish-Name-Repo 1
Webアプリケーションの認証処理の問題点を分析し、
入力値検証や設計上の注意点を考察しました。
あわせて読みたい
【picoCTF – Write Up】 Irish-Name-Repo 1(Medium – Web Exploitation)
このページにはプロモーションが含まれています 問題情報 タイトル:Irish-Name-Repo 1 カテゴリ:Web 難易度:Medium 使用ツール:ブラウザ、Burp Suite 問題文 問題…
login
クライアント側処理を確認し、
認証ロジックの不備を分析しました。
あわせて読みたい
【picoCTF – Write Up】 login(Medium – Web Exploitation)
このページにはプロモーションが含まれています 問題情報 タイトル:login カテゴリ:Web 難易度:Medium 使用ツール:ブラウザ 問題文 問題文の和訳 犬のシッターさん…
学習スタンス
- 毎日継続して学習に取り組むこと
- 実際に手を動かして再現・検証すること
- 理解した内容を文章としてアウトプットすること
を大切にしています。
リンク
個人ブログ(Write Up・学習記事)
https://it-nyanter.com
GitHub(学習ログ)
https://github.com/bugnyanter870/study-notes