Hello there, ('ω')ノ 従来のリコンの課題 古典的な流れ： Subfinder / Amass でサブドメイン収集 httpx / ffuf / dirsearch で生存確認やディレクトリ探索 gau / waybackurls で過去URLを収集 JSファイルを手作業で分析 パラメータをファズして脆弱性確認 …

Hello there, ('ω')ノ 背景 アプリケーションは「製品レビュー」を LLM に読み込ませ、ユーザーの質問に答える仕組み。 問題は LLMの最終出力がブラウザにそのまま描画される こと。 攻撃者が細工したコメントを残すと、LLMがそれを回答に含めてしまい、結果…

Hello there, ('ω')ノ ✅ 1. 不要な「権限」を要求しない ✖️ NG例： <uses-permission android:name="android.permission.READ_CONTACTS" /> → 使っていないのに付けっぱなし。診断で即バレます。 ✔ 対策： 最小権限の原則（Principle of Least Privilege） 本当に必要なときだけ runtime permission でユーザーに明示的に許可を求</uses-permission>…

Hello there, ('ω')ノ SELinuxとは？ SELinux（Security-Enhanced Linux）は、アメリカ国家安全保障局（NSA）主導で開発されたLinux向けの強制アクセス制御（MAC: Mandatory Access Control）機構です。 Androidではこれをベースにした**SEAndroid（SELinux…