まったり技術ブログ

Webエンジニアのセキュリティブログ

2021-02-01から1ヶ月間の記事一覧

CodeQLで遊ぶ ~ ローカル環境で試す『静的アプリケーション・セキュリティ・テスト』 ~

はじめに CodeQL とは サポート言語 準備 検証環境の構築 CodeQL CLI の動作確認 (バージョンの表示) 動作確認 CodeQLデータベースの生成 脆弱性の検出 XXE の検査 ~ 検出されることの確認 ~ 検査の実施 ~ CSV形式で出力 ~ 検査の実施 ~ SARIFで出力 ~ RCE …

GitHubのCode Scanningを使ってみる パート2

はじめに スキャン実行 RCE (Remote Code Execution) Directory Traversal XML External Entity 攻撃 脆弱性を修正 まとめ 参考 更新履歴 はじめに この記事は先日書いた「GitHubのCode Scanningを使ってみる」の続きです。 Code Scanning の導入は下の記事…