はてなブックマーク

はじめに はじめまして、今春にセキュリティエンジニアになりましたSatoki (@satoki00) です。今回はOpenAI APIを用いたチャットボットに対するPrompt Injection AttackをOffensiveな観点からまとめます。攻撃を防止しようとする記事は数多くありますが、攻撃者視点に立った見方も重要であるという考えです。Prompt Injection Attackの緩和策についてはDefensive Measures | Learn Promptingに書かれているので、覗いてみると良いかもしれません。 本記事では、AIチャットボットを用いたサービスの提供が今後増加するであろうとの予想から、脆弱性診断員がそれらチャットボットの診断を行う場合に用いるペイロード集の先駆けとなることを目指しました(というのは嘘で、自分用まとめです)。言うまでもないですが、本記事のペイ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに はじめまして、セキュリティエンジニア？のSatoki (@satoki00)です。今回は趣味でCTFをやっていたらFirefoxの(しょぼい)脆弱性を見つけてCVEを貰った話を置いておきます。ちなみに、技術的にはあまり役に立たない記事です。実は年末に書こうと思っていたのですが、修論の影響でかなり遅れました。 もし、他にFirefoxのバグを見つけた方は ここ から報告してください。 CTFをやる 時は遡り、2022/05/13に開催されたTJCTF 2022に参加しjoksterなるWebジャンルの問題を解いていました。詳しく

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? MicrosoftのTechNetを見て自分なりに頭の中を整理した・・・つもりなんだけどやっぱり実際のパケットの流れを見ないと解らないところもあります。 今回は、ドメインに参加したPCにログオンする際、Windowsサーバがどのような挙動をしているか、パケットからその動きを追ってみました。 ドメインPCログオンの流れ ドメインに参加しているPCを起動し、ログオンする際のおおまかな流れです。 1. DNS問い合わせ・応答 PCが起動すると、DNSサーバに登録されたLDAPサーバレコード(SRV)を検索します。 （例）nmr.localドメ