Flatt Securityは、2023年7月からスタートするTBS系金曜ドラマ『トリリオンゲーム』のIT・セキュリティ技術監修を務めます。

ドラマ『トリリオンゲーム』1話の元となった原作各シーンの技術的要素につい��、ドラマと原作両方の技術監修を担当するFlatt Securityが解説します。

人気漫画『トリリオンゲーム』のドラマ化を記念し、原作の作画を務める池上遼一先生に、創作のモチベーションや『トリリオンゲーム』制作の裏話についてお話を伺いました。

人気漫画『トリリオンゲーム』の原作者である稲垣理一郎先生と、技術監修者であるFlatt Securityの志賀遼太が、ストーリー作りや技術監修の裏側などについて語り合いました。

株式会社Flatt Securityのプレスリリース（2024年2月13日 15時31分）プロダクトセキュリティスタートアップのFlatt Securityが約10億円の資金調達を実施し、GMOインターネットグループに参画

今回解説する脆弱性は、当時プライベートベータ中だったGitHub Enterprise Importerと呼ばれる機能に存在しました。 この機能は以下の環境からGitHub Enterprise Cloudに対して、リポジトリデータだけでなくプルリクエストやそのコメントなど、様々なデータをインポートすることができるもの…

週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱…

本記事では、NETGEAR社のWAC124(AC2000)ルーターにおいて、様々な脆弱性を発見し、いくつかの脆弱性を連鎖させて、前提条件なしに未認証ユーザーの立場からコマンドを実行する方法について説明します。 私は1週間ほどかけてこれらのバグをすべて見つけ出し、前提条件を必要とするバグと前提条件を必要としないバグの2種…

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを…

株式会社Flatt Securityのプレスリリース（2020年9月17日 11時00分）Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。

We are pushing our best effort to investigate and identify security vulnerabilities on various types of software and hardware that are currently available on the internet. As a result of our enormous...

Bluetoothは、米国Bluetooth SIG,Inc.の商標です。 イントロ BLE通信 概観 GATTプロファイル ペアリング 脆弱性 1: Characteristicの権限指定ミスによる平文通信 観点: GATT Characteristicと属性 対策: characteristicへの暗号化必須属性の…

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあた…

※本記事は筆者RyotaKが英語で執筆した記事を、弊社セキュリティエンジニアkoyuriが日本語に翻訳したものになります。 はじめに こんにちは、Flatt SecurityでセキュリティエンジニアをしているRyotaK( @ryotkak )です。 先日、特定の条件を満たした場合に攻撃者がWindows上でコマンドイ…

株式会社Flatt Securityのプレスリリース（2020年1月15日 10時00分）上野宣氏がFlatt Securityの社外取締役に就任しました

こんにちは。株式会社 Flatt Security セキュリティエンジニアの志賀( @Ga_ryo_ ) です。 本記事では、最近公開されたCVE-2020-15702の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiativeを経由してベンダーに報告しました。本記事は、脆弱…

こんにちは。株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本記事では、主にFirebaseの概要やセキュリティルールを用いた堅牢なCloud Firestore環境の構築について説明します。本記事を読むことで、Firebaseに関する基礎知識やデータベースにおけるセキュリ…

今回、HackerOneとGitHubが開催するライブハッキングイベント「H1-512」に招待されたため、6月14日から6月18日の間テキサス州オースティンに行っていました。 本稿では、H-512に参加するために国内/国外含めて記憶がある中では初めての飛行機を使った旅行をした筆者が、どのようにしてオースティンに辿り着き…

本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。

後編では、サイボウズ PSIRT、SmartHR 岩田さん、メルカリ Simonさん、Ubie 水谷さん、LayerX 鈴木さんからのコメントをご紹介します。

弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を無償・期間無制限で一般開放することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししよう…

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、ク…

GitHub Organizationを安全に運用していくためのベストプラクティス、そしてそのベストプラクティスがきちんと開発組織の中で運用されているかをモニタリングする方法についてまとめたスライドを公開しました。 この記事では、そのスライドを公開のお知らせを兼ねて、公開の背景や概要について紹介できればと思います。

※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所／セキュリティエンジニア…

Detail about CVE-2021-34866

2024年で創業5周年を迎えるFlatt Security。代表取締役CEOの井手康貴が「Flatt Securityが歩んだ5年間」と「これから目指すこと」について語ります。

株式会社Flatt Securityのプレスリリース（2020年6月4日 10時02分）Flatt Securityが「ペネトレーションテスト」の提供を開始。

ドラマ『トリリオンゲーム』5話のハッキングシーンの設定や、ドラマ・原作監修の流れについて、ドラマと原作両方の技術監修を担当するFlatt Securityが解説します。

近年急速に活用が進むパブリッククラウドですが、同時にパブリッククラウド特有のセキュリティ事故も多発しています。 本スライドでは、パブリッククラウド特有のセキュリティ脅威や事例について紹介し、それらに対する防御の考え方を示すことで より安全にパブリッククラウドを活用いただくことを目的としています。

株式会社Flatt Securityのプレスリリース（2021年6月1日 12時00分）東大発サイバーセキュリティスタートアップFlatt SecurityのCTOに米内貴志が就任

本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わらず、Webセキュリティを学ぶ上で非常に有用な資料です。これからWeb開発やセキュリティを勉強したいと考えている方はもちろん、まだ読んだこ…

弊社では本当にありがたいことに多くのお客様から様々なWebサービスの脆弱性診断をご依頼頂いています。本稿では、特にご依頼いただくことが多いBtoB SaaSという領域において実際にどのような種類の脆弱性が見つかっているのか(我々が発見できているのか)を集計し、上位10種類の脆弱性を紹介します。また、この上位10種類にど…

Web開発エンジニアとして就職予定の皆さんに是非知ってほしいセキュアコーディングの基礎知識のクイズを3問用意しました。全問正解して、同期や友達にシェアしよう!

株式会社Flatt Securityのプレスリリース（2021年10月18日 11時00分）Flatt Securityが2億円を資金調達。開発とセキュリティの分断を解消する「B2Dセキュリティ」を軸に海外を含めた多面展開を加速

この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。

はじめに Flatt Security 取締役CTOの米内です。今回、弊社 Flatt Security は GMO インターネットグループから 10 億円の増資を受けるとともに、既存株主からグループへの株式譲渡（合計 66.6% 分）が行われることにより、GMO インターネットグループに参画する運びになりました。これ…

株式会社Flatt Securityのプレスリリース（2024年8月19日 12時00分）国産脆弱性診断ツール「Shisho Cloud byGMO」、自動Web脆弱性診断（DAST）機能を提供開始。

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思…

## イベントについて Flatt Securityが4/26に開催したCTF初心者〜中級者の方に向けたライトなCTF「Flatt Security mini CTF」を、好評につき再び開催します！ 前回イベントページ：https://flatt.connpass.com/event/279472/ ※出題内容は前回と同一です。ご留意ください。 作問は国内の数々のCTFで実績を残してきたFl...

## イベントについて Flatt Securityの人気企画「Flatt Security mini CTF」の第5回を開催します！さまざまな技術テーマで過去開催してきましたが、今回のテーマはFirebaseです。CTF初心者の方から、腕に覚えがある方まで様々な方のご参加をお待ちしています！ 作問はSECCON Beginners運営 / 『詳解セキュリティコンテスト CTFで学ぶ脆弱性攻...

はじめに Flatt SecurityでエンジニアをしているAzaraとei01241です。本ブログは、2024年の8月初旬に開催された、BSides Las Vegasに弊社2名のエンジニアが登壇した際の記録です。 🌏 海外登壇のお知らせ 🌏米国ラスベガスで8月6日（火）〜7日（水）に開催される BSides Las…

はじめに 弊社Flatt Securityでは学生の学びを支援したいという想いから今回少額ではありますが高橋さんの留学を支援させていただき、そのご縁で弊社のYONEUCHI, Takashi (@lmt_swallow) | Twitterもスタッフを務めるセキュリティミニキャンプにおける素晴らしい講義の内容をテックブ…

こんにちは。株式会社Flatt Securityセキュリティエンジニアの志賀(@Ga_ryo_) です。 本記事では、最近公開されたCVE-2021-20181の技術的な解説をしていきたいと思います。本脆弱性は、自分が発見し、Zero Day Initiative を経由してベンダーに報告しました。本記事は、脆弱性の危…

こんにちは、 @okazu_dm です。 この記事は、CookieのSameSite属性についての解説と、その中でも例���的な挙動についての解説記事です。 サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上…

目次 はじめに こんにちは。Flatt Securityでセキュリティエンジニアをしているlambdasawaです。 ソフトウェアエンジニアとして8年ほど開発業務に携わった後、脆弱性診断に興味を持つようになり、3ヶ月ほど前からFlatt Securityで働き始めました。 Flatt Securityには社内技術ブロ

はじめに こんにちは、@okazu_dm です。 今回自分がぴざきゃっとさんが2022年4月に書いた以下の記事を更新したため、本記事ではその差分について簡単にまとめました。 Firebase Authentication利用上の注意点に関して生じた差分とは、すなわち「この2年強の間にどのような仕様変更があったか」と同義…

We are pushing our best effort to investigate and identify security vulnerabilities on various types of software and hardware that are currently available on the internet. As a result of our enormous...

こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。 クラウドサービスが発展し続ける今日こ…

こんにちは、 @okazu_dm です。 前回の記事 に引き続きCookie関連のセキュリティに関する記事となります。 今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について…

認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に…

1990年から1995年にかけて『ビッグコミックスペリオール』で連載された『サンクチュアリ』。完結から25年以上経つ今も多くのファンから支持される、不朽の名作です。主人公は、カンボジアでポル・ポト政

We are pushing our best effort to investigate and identify security vulnerabilities on various types of software and hardware that are currently available on the internet. As a result of our enormous...

はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。 本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたりオブジ…

Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to use logo in technical articles for educational purposes)) / React logo: ©︎ Meta Platf…