発表
上記2つ。講演依頼の話が来たら引き受ける、という感じで CfP を出したりはしていなかったので、こんなものかな…
今年の「コンテナランタイム周辺のセキュリティをやっていく」という目標に対してハンズオンでの講義を行うことができるようになったので良しとしよう。
来年は CfP 出すなりもうちょっと登壇の機会を増やして名前を出していく必要があるかな。
仕事
今年新卒入社して6月にセキュリティ対策室に配属された。まだセキュリティ基盤が整っていない中、手探りで全力疾走したという感じ。低レイヤーでの技術支援やペパボでの働き方については同僚の @hiboma さんに非常に助けられた。
業務としては、脆弱性見つけたり、セキュリティ周りを支援するツールを開発したり、インシデントレスポンスしたり…割とセキュリティに関することは何でもやってきた。わりとコードを書いている時間は多かったように思う。
コードを書くにあたって良いデザインというか、使いやすいインターフェイスや設計を考える力が弱いな、と思うことが多々あったので来年はこのあたりを頑張る感じで。
2019年は非常に面白い試みもできると思っているので、引き続きやっていきましょう。
あ、あと1月からシニアエンジニアとなり、給料もバーンと上がりそうなので良かった。
ブログ
今年書いた技術的な内容の記事は以下の33エントリ。今後は数より質の高い記事を書いていこう…
- blog.ssrf.inにService Workerを導入した
- RedisのNotify Keyspace EventsをSubscribeする
- このブログをGKEに移行した
- 最近のJavaScriptフレームワークでのXSS
- 機密情報の比較処理、secure_compareの実装について
- GitLab XSS via .ipynb
- Reactで安全にMarkdownをHTMLレンダリングする
- gixyでNginxの設定ファイルの脆弱性を検査する
- CookieのSameSite属性
- proxysqlのクエリログのバイナリを読む
- このブログにCSPを適用した
- Docker Remote APIを安全に利用する
- CVE-2018-7160 と Chrome DevTools Protocol のメモ
- Burp Suite Professional を購入した
- Oculus Go の Chrome
- ipynb’s XSS Vulnerability on Bitbucket
- PHP Extension を作って関数をフックしてみる
- CSPの違反レポートを Slack に送信する
- 簡易 strace を作ってシステムコールを表示する
- ptrace を使用して seccomp による制限を回避してみる
- open_by_handle_at(2) でコンテナから Break Out する
- seccompによる制限下にある特権コンテナで breakout する
- ネットワーク経由で取得した共有ライブラリをファイルを作成せずに読み込む
- glibc mallocのメモ1
- aa_change_onexec がどのように動作するか
- SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例
- dev.to の XSS
- Flareon 2018 Challenge5 Web2point0 writeup, wasabi で wasm を動的解析する
- libcriu でプロセスの checkpoint と restore をやってみる
- CODEGRAY CTF Writeup - Easy Django-
- Node.js における http モジュールでの Unicode の扱いと SSRF について
- Apparmor のバイパステクニック
- 入門 FUSE
総括
公私共に充実したものでした。
全力疾走して振り返りが不足していたようにも感じたので、来年は定期的に振り返りを入れようと思う。
また、2019年はコンテナランタイムセキュリティからクラウドネイティブセキュリティにフォーカスを広げようと思っている。
2019年も引き続きやっていきましょう。