FFRIエンジニアブログ

株式会社FFRIセキュリティのエンジニアが執筆する技術者向けブログです

トップ > 脆弱性

脆弱性

AddressSanitizer の内部実装を読む 1 〜 概要・論文編

プログラミング・開発 プログラミング・開発-コンパイラ 脆弱性 セキュリティ

はじめに 基礎技術研究部の末吉です。 バグを検知するツールにサニタイザー(Sanitizer)というものがあります。 英語で Sanitizer は「消毒剤」という意味で、Hand Sanitizer なら手指消毒剤を意味します。 ここで紹介するサニタイザーは、菌の代わりにバグを…

HTTP リクエストスマグリング入門から最新研究まで

ウェブ 脆弱性 脆弱性-脆弱性攻撃 カンファレンス・学会 カンファレンス・学会-Black Hat

はじめに 基礎技術研究部リサーチエンジニアの末吉です。 HTTP リクエストスマグリング(HTTP Request Smuggling: HRS)の CVE 登録数を見ると、最初に発表された 2005 年に大量に登録されて以降は下火傾向で、2018 年までは毎年数件ずつ登録される程度でした*…

Exim に関するアップデート適用状況の観測

脆弱性 脆弱性-脆弱性観測

はじめに FFRI セキュリティエンジニアの田中です。 セキュリティ関係の仕事をしていてよく思うことがあります。 『ベンダーからの修正バージョンリリース後にシステム管理者はどれくらいの期間でアップデート適用をしているのか???』と。 この疑問の…

RISC-V で JIT-ROP をやってみる

脆弱性 脆弱性-RISCV 脆弱性-脆弱性攻撃

はじめに FFRI リサーチエンジニアの中川です。今回は近年注目を集めている RISC-V において ASLR RELRO データ領域での実行防止が有効な状況下で JIT ROP によるシェル起動をやってみたので、簡単にその紹介をします。 なお、将来的に悪用される可能性があ…