Hello there, ('ω')ノ 富士通：3172円を下げたら空売り 住友電工：3289円を上げたら買い 三井物産：2977円を下げたら空売り ローム：1941.5円を上げたら買い F&LC：6926円を下げたら空売り 安川電機：2807円を下げたら空売り 良品計画：6488円を下げたら空売…

Hello there, ('ω')ノ 1. 攻撃チェーン全体像 ステップ1: キャッシュポイズニング 目的: Webキャッシュサーバ（CDNやリバースプロキシ）に 攻撃者が細工したレスポンスを保存させる。 ステップ2: Stored XSS 目的: キャッシュされたレスポンスの中に 悪意の…

Hello there, ('ω')ノ 1. SSTIとは何か SSTI（Server-Side Template Injection）は、 サーバ側テンプレートエンジンの機能を悪用して、意図しないコードを実行させる攻撃手法です。 例: Flask (Jinja2) Django (Template Engine) Ruby on Rails (ERB) Twig (…

Hello there, ('ω')ノ 403 Forbidden バイパスの基本的な考え方 403エラーが返る場合、以下の2つに大別されます。 アプリケーションレベルでのアクセス制御（例：認証・IP制限） WAFやリバースプロキシレベルの制御（例：Cloudflare、AWS API Gateway など）…

Hello there, ('ω')ノ なぜフォームや入力欄が狙われるのか？ ユーザーが自由にデータを入れられる＝攻撃者も自由に入れられる フィルターやチェック漏れがあると、そのまま悪さができてしまう 典型的な例： XSS SQLインジェクション ロジックエラー 具体的…

Hello there, ('ω')ノ ファジングとは？ 正式には「Fuzz Testing（ファズテスト）」と言います。 ✅ やること： 本来は想定していない変な値 ものすごく長い文字列や記号 空欄や特殊な組み合わせ これらを大量にシステムに送って、エラーが返ってくるか、挙動…

Hello there, ('ω')ノ まず結論：すべてを読む必要はない！ 脆弱性チェックで見るべきは、以下のような部分です： 入力を受け取る場所 データベースにアクセスする場所 ファイル操作する場所 認証・認可を管理する場所 見つけやすい脆弱性パターン一覧 ✅ 1. …

Hello there, ('ω')ノ プロキシツールとは？ 一言でいうと： パソコンとインターネットの間に入って 通信内容を丸ごと記録・観察・改ざんできるツール ブラウザ開発者ツールでは見えない「アプリ内部」や「API裏側」のやり取りも細かく確認できるのが最大の…