Hacking– category –
-
【XServer VPS】UbuntuでLXDEのGUI環境を構築し、LXQtへ移行する
xServer VPS では、OS に Ubuntu デスクトップ(LXDE)を選ぶだけで、GUI 環境をすぐに用意できます。 ただ、LXDE は少し古いデスクトップ環境なので、今回は後継の LXQt に入れ替えて使うことにします。LXQt への移行はデスクトップ環境を切り替えるだけ... -
【XServer VPS】Ubuntu Desktop × Distrobox で Kali Linux 環境を構築する最適解
VPS で Kali Linux を使おうとすると、そもそも Kali が選べない、というケースは意外と多いです。特に日本の VPS では、OS テンプレートに Kali が用意されていないことも珍しくありません。 そこで現実的な選択肢になるのが、 Ubuntu を入れて、その上に... -
アカウントが乗っ取られる!? IDORを実際に試してみた【HackTheBox Armaxis writeup】
Webアプリでは、認証やトークンといった仕組みが導入されているだけで「安全になった」と判断されがちです。しかし実際には、どのユーザーのデータを操作してよいかという認可の設計を誤るだけで、アカウント乗っ取りに直結するケースは少なくありません。... -
バイブコーディングでフロントにAPIキーを書いたらハッキング被害&高額請求|実例とセキュリティ対策も紹介
「まず動く」を重視して高速にアプリを組み上げていく“バイブコーディング”は、現代的な開発スタイルとして人気を集めています。 特にSupabaseやFirebaseなどのBaaSを使えば、わずか数行のコードで認証やDB操作も完了し、素早いプロトタイピングやUI改善に... -
【AIセキュリティ】モデル改ざんで特定クラスを無効化してみた|HackTheBox Fuel Crisis Writeup
AIは「学習して判断する」だけでなく、その判断の元となるモデル自体が攻撃対象になる時代になりました。特に機械学習モデルの重みやバイアスは、その出力結果を決定づける中枢であり、ここを改ざんされると予測結果を意図的に歪められます。 こうしたモデ... -
【AIセキュリティ】プロンプトインジェクションでAI交渉型ランサムウェアを攻略してみた|HackTheBox TrynaSob Ransomware Writeup
AIは、もはや単なる「会話相手」ではなく、攻撃者のツールにもなり得る時代になりました。近年はランサムウェアの世界でも、被害者とのやり取りを自動化するAI交渉ボットが登場し、身代金のやり取りを効率化しています。 しかし、このAIが持つ権限や情報の... -
【AIセキュリティ】OpenAI Function Callingを悪用したAI Agent Hijackingを実践&防御策も解説!HackTheBox Loyalty Survey writeup
AIの進化は、もはや「人間と会話するだけ」の段階を超えました。最近の大規模言語モデル(LLM)は、ユーザーの依頼に応じて外部の関数やAPIを呼び出し、実際のシステムやサービスを動かすことができます。OpenAIが提供する Function Calling 機能は、その... -
【AIセキュリティ】プロンプトインジェクションでLLMを騙してみた|HackTheBox External Affairs Writeup
AIが人間の意思決定を代行する時代。もし、そのAIを少しだけ“騙す”ことができたら、どうなるでしょうか? 今回挑戦したのは、AIによる国外渡航審査を突破するCTF。使ったのはプロンプトインジェクションという、LLM(大規模言語モデル)の弱点を突くハッキ... -
【実践解説】HackTheBoxでSSTI脆弱性からRCEでハッキング!脆弱性の原因と対策を学ぶ|Spookifier Writeup
テンプレートエンジンは、Webアプリケーションの中でHTMLとデータを組み合わせて表示を生成するために広く使われています。たとえば、ユーザー名や投稿内容などをHTMLに埋め込む場面で、バックエンドではテンプレートエンジンが活躍しています。 しかし、... -
Hack The Boxの始め方|無料と有料プラン・LabsとAcademyの違いを徹底比較
セキュリティエンジニアを目指している、CTFでスキルアップしたい。そんな想いで「Hack The Box(HTB)」に興味を持った方も多いのではないでしょうか。 でも実際に公式サイトを見ると、いろんなサービス(Labs、Academy、CTF、Business…)が並んでいて、...
