Hacking– category –
-
バイブコーディングでフロントにAPIキーを書いたらハッキング被害&高額請求|実例とセキュリティ対策も紹介
「まず動く」を重視して高速にアプリを組み上げていく“バイブコーディング”は、現代的な開発スタイルとして人気を集めています。 特にSupabaseやFirebaseなどのBaaSを使えば、わずか数行のコードで認証やDB操作も完了し、素早いプロトタイピングやUI改善に... -
【AIセキュリティ】モデル改ざんで特定クラスを無効化してみた|HackTheBox Fuel Crisis Writeup
AIは「学習して判断する」だけでなく、その判断の元となるモデル自体が攻撃対象になる時代になりました。特に機械学習モデルの重みやバイアスは、その出力結果を決定づける中枢であり、ここを改ざんされると予測結果を意図的に歪められます。 こうしたモデ... -
【AIセキュリティ】プロンプトインジェクションでAI交渉型ランサムウェアを攻略してみた|HackTheBox TrynaSob Ransomware Writeup
AIは、もはや単なる「会話相手」ではなく、攻撃者のツールにもなり得る時代になりました。近年はランサムウェアの世界でも、被害者とのやり取りを自動化するAI交渉ボットが登場し、身代金のやり取りを効率化しています。 しかし、このAIが持つ権限や情報の... -
【AIセキュリティ】OpenAI Function Callingを悪用したAI Agent Hijackingを実践&防御策も解説!HackTheBox Loyalty Survey writeup
AIの進化は、もはや「人間と会話するだけ」の段階を超えました。最近の大規模言語モデル(LLM)は、ユーザーの依頼に応じて外部の関数やAPIを呼び出し、実際のシステムやサービスを動かすことができます。OpenAIが提供する Function Calling 機能は、その... -
【AIセキュリティ】プロンプトインジェクションでLLMを騙してみた|HackTheBox External Affairs Writeup
AIが人間の意思決定を代行する時代。もし、そのAIを少しだけ“騙す”ことができたら、どうなるでしょうか? 今回挑戦したのは、AIによる国外渡航審査を突破するCTF。使ったのはプロンプトインジェクションという、LLM(大規模言語モデル)の弱点を突くハッキ... -
【実践解説】HackTheBoxでSSTI脆弱性からRCEでハッキング!脆弱性の原因と対策を学ぶ|Spookifier Writeup
テンプレートエンジンは、Webアプリケーションの中でHTMLとデータを組み合わせて表示を生成するために広く使われています。たとえば、ユーザー名や投稿内容などをHTMLに埋め込む場面で、バックエンドではテンプレートエンジンが活躍しています。 しかし、... -
Hack The Boxの始め方|無料と有料プラン・LabsとAcademyの違いを徹底比較
セキュリティエンジニアを目指している、CTFでスキルアップしたい。そんな想いで「Hack The Box(HTB)」に興味を持った方も多いのではないでしょうか。 でも実際に公式サイトを見ると、いろんなサービス(Labs、Academy、CTF、Business…)が並んでいて、... -
【XSS デモ】たった1行でWebサイトをハッキングしてみた!!
「HTMLタグが使える掲示板アプリを作ってみた!」そんな初心者エンジニアの作品が、たった1行の投稿で“乗っ取られて”しまうとしたら? 今回は、セキュリティの基本中の基本、「クロスサイトスクリプティング(XSS)」の実例を使って、実際にどんな風に脆弱... -
初心者向け:Spring BootとMyBatisで実践!SQLインジェクションのリスクと防止策
Webアプリケーションを開発する上で、避けて通れないのが「セキュリティ対策」。中でも「SQLインジェクション」は、データベースに対する深刻な脅威として知られています。 この記事では、SQLインジェクションの仕組みをわかりやすく解説し、実際にどのよ... -
【SECCON Beginners CTF 2024】WEB Writeup
あまり良い結果ではなかったですが、SECCON Beginners CTF 2024に出場しましたので、備忘録としてWriteup残しておこうと思います。 ssrforlfi ソース確認 tar.gzを解凍したフォルダ構成は下記になります。 $ find ./ ./ ./docker-compose.yml ./.env ./app...
