目指す姿
- 適応力
- 適応力 : 心理学。
- 変化 : 関数型プログラミングのこと。
- ⭐️ゴリラ力 : セキュリティ/インフラ/低レイヤーのこと。相手からの猛攻を知識量で耐久する。
成功について
前提 : 努力はしない。これまでの努力のレッドオーシャンを自覚すること。 キーワード : 一攫千金。
| タイプ | 一攫千金? | 補足 |
|---|---|---|
| 本業 | OK | |
| 自治体 | OK | |
| 低レイヤー | NG | NG。まだ「努力」が先頭に来ている。(というより、「楽しさ」が先に来ている) |
| 心理学 | ? | いい感じ。 誰もいないからこそ、一攫千金を狙えそう。 |
TODOリスト
広報運営
- DONE : 自動ツイート
セキュリティ関連
- バグバウンティ
- : CTFリアルタイム攻撃確認会
- : 脆弱エンジニアの日常https://www.youtube.com/watch?v=7SiAQbA5aUo
- : CTF times writeup https://ctftime.org/writeups
- 攻撃手法一覧
- 最優先(1週間)
- DONE : SQLインジェクション
- DONE : メモリの脆弱性
- DONE : テンプレートインジェクション
- DONE : キャリッジリターンラインフィードインジェクション -> なし
- DONE : クロスサイトスクリプティング : https://www.tohoho-web.com/ex/draft/xss.htm
- DONE : XML外部エンティティ
- : プロンプトインジェクション
- : ディレクトリトラバーサル
- : サーバーサイドリクエストフォージェリ(XSSでは?)
- DOING : クロスサイトリクエストフォージェリ(XSSでは?)
- セッションハイジャック
- オープンリダイレクト
- HTTPパラメーターの汚染
- HTMLインジェクションとコンテンツスプーフィング
- リモートコード実行
- サブドメインの乗っ取り
- 最優先(1週間)
- ツール(2週間)
- CTF大会に参加する
- DOING : セキュリティの勉強会に参加する
- HOLD : CTF大会を見つける
- CTF大会に申し込む
- CTF大会の会場に行く
- ホワイトリストスキャン
- 脆弱な環境の用意
- DONE : flask
- DONE : Debug=trueな環境
- DONE : Django
- DONE : 攻略可能なサイト
- DONE : flask
- DONE : アセンブリ言語
- WebCTF
- webhacking.kr
- DONE : old01 クッキー
- : old02 ブラインドSQLインジェクション
- DONE : old-15
- DONE : old-18 SQLインジェクション
- DONE : old-19 HASH
- : old-20
- DONE : old-21 ブラインドSQLインジェクション
- DONE : old-23 XSS
- DONE : old-36 vi swpファイル
- DONE : old-38 ログインジェクション
- DONE : old-49 SQLインジェクション 文字列リテラルと16進数/
||演算
- defendtheweb
- DONE : intro1 ソースコード確認
- DONE : intro2 ソースコード確認
- DONE : intro3 ソースコード確認&ディレクトリトラバーサル
- DONE : intro6 ソースコード確認&オプション変更
- DONE : intro7 robots.txt確認
- DONE : intro8 暗号化
- DONE : intro9
- DONE : intro12 ソースコード確認
- webhacking.kr
- CTFサイトを作る
- EC2を立てて、nginxを使って、サイトを複数建てる。
- テクニック
自治体向け
- インフラ
業務
- セキュリティチェック
- DONE : PTH宣言
- DONE : セキュリティチェックマネジメント
- DONE : セキュリティチェック全体像把握
- DONE : 共有
- DONE : やることリスト作成
- DOING : セキュリティチェックリスト
- DONE : 概要wiki化
- HOLD : WEBセキュリティチェックリスト確認
- 攻撃手法の共有
- : SQLインジェクション
- : メモリの脆弱性
- : テンプレートインジェクション
- : キャリッジリターンラインフィードインジェクション -> なし
- : クロスサイトスクリプティング
- : XML外部エンティティ
- : プロンプトインジェクション
- : ディレクトリトラバーサル
- : サーバーサイドリクエストフォージェリ(XSSでは?)
- : クロスサイトリクエストフォージェリ(XSSでは?)
- : セキュアコーディングリスト確認
- データパイプライン
- staffit
- DONE : SREとしてコミュニケーション対応
- : Terraform巻き取り
環境作り
メンタルコントロール
関数型プログラミング
コーディング
低レイヤー
要件定義
仕事
- Cardio Flow Design(2年:アルバイト)
- デスクトップアプリの改修 : 心臓の血流解析を行う企業。2年ほどデスクトップアプリ(C#)の改修、テストを行う
- ニトリホールディングス(3年:情報システム改革室)
- 家具製品開発システム : 商品企画プロセスを改善する社内のシステムを構築。フロントエンド~バックエンドまで担当
- ODBC対応 : 保守切れとなる社内のデータベース接続方式を変更する対応。VBA,BV6で書かれた300以上のソースコードを改修する。
- その他保守運用 : ニトリネットの保守運用作業
- ITソリューション事業
- 秘密❤️
- 現職(人材業界)
- 派遣求人文章検索システム : 求人サイトに掲載する文章の自動生成プロジェクトに参加。インフラ~バックエンドを担当
- クラウド開発基盤構築 : プロジェクトを跨ぐクラウド開発環境のテンプレートカタログを構築を試みた。
その他
- 4年計画
page:https://minegishirei.hatenablog.com/entry/2024/10/19/161810
