おさらいnote まとめ

本

セキュリティについて学んだことをまとめるシリーズ#おさらいnoteの記事ををこちらのマガジンにまとめてあります。

運営しているクリエイター: 宮下

おさらいnote~第15回クロスサイトリクエストフォージュリ~

こんばんは。宮下です。今回は攻撃手法の一つであるクロスサイトリクエストフォージュリをおさらいしていこうと思います。よろしくお願いします！ 1.クロスサイトリクエストフォージュリとは？クロスサイトリクエストフォージュリとは、ログイン中のユーザーに対して何らかの方法により、意図しないリクエストを送信させるように仕向けることです。この攻撃の影響として、利用者アカウントによる物品購入利用者の退会処理利用者アカウントによる掲示板などへの書き込み利用者アカウント

おさらいnote~第14回クロスサイトスプリクティング~

こんばんは。テストなり何なりでしばらく更新できていませんでした。お久しぶりです。今回は攻撃手法の一つであるクロスサイトスクリプティングをおさらいしていこうと思います。よろしくお願いします！ 1.クロスサイトスクリプティングとは？クロスサイトスクリプティングとは、動的にページを表示させる際の出力処理に何らかの問題があり、スプリクトを直接埋め込むことが可能になる脆弱性をついた攻撃のことを指します。サイトを横断してスプリクトを実行させることが語源となっています。この攻撃

おさらいnote~第13回 #35 Simple Auth II~

お久しぶりです、なんやかんやしてて全然更新できなくてすみません！！今回はksnCTFの第３５問目、Simple Auth IIを解いていきますよろしくお願いします！１.まずは問題確認一つのリンクと、ソースコードがあります。ログインしろってことはSQLインジェクションかな？と思ったり。２.解いてみる$db = new PDO('sqlite:database.db'); まずこいつが気になりました。データベースファイルがぽつり。また、PDOって何かの関数っぽい

おさらいnote~第12回#12 Hypertext Preprocessor~

どうも、宮下です。今回は12問目、Hypertext Preprocessorを解いていこうと思います。よろしくお願いします！！問題把握配点：70 問題内容： 2012:1823:20:21:10:04:07:57:53:53:46:05:42 問題はこちらから前準備まず、問題名Hypertext Preprocessorをググってみます。 Hypertext PreprocessorとはPHPというプログラミング言語のことで、簡単に言うとWebサイトの中で、

おさらいnote~第11回#6 Login~

こんにちは。宮下です。今回は6問目のLoginを解いていきたいと思います。よろしくお願いします！！(今回は解ききれなかったので解き方だけです。) 問題把握配点：120 問題文：URLがひとつ。開くとログイン画面が出てきます。問題はこちらから解いてみるとりあえず開いてみます。ログイン画面のようですね。これは私のおさらいnoteで前やりました、SQLインジェクションでしょうか…！！！以下のようにログインしてみましょう。 ID : admin pass : pas

おさらいnote~第10回#10 #!~

こんばんは。宮下です。今回はksncftの10問目、#!を解いていきます。よろしくお願いします！問題把握配点：20 問題文： What's this?↓#!/usr/bin/pythonprint "Hello world"The flag is FLAG_S?????? (in capital letters).Don't use a brute force attack :( #!が何なのか聞かれています。おそらくこれの名前がフラグになります。解いてみる#

おさらいnote~第9回#8 Basic is Secure?~

どうも。明日はTOEICのIPです、宮下です。(やばい) 今日はksnctfの第八問目、Basic is secure? を解いていきたいと思います！よろしくお願いします！問題の把握配点：50 配布ファイル：q8.pcap 問題はこちらから前置き説明(わかる方は読まなくておーけーです)・pcap形式とは…ネットワークトラフィックを監視するためにアプリケーションで使用されるファイル形式・ネットワークトラフィックとは…インターネットなどのネットワークを通じて送受信され

おさらいnote～第8回 ksnctf#5 Onion～

こんにちは、宮下です。今回は久しぶりにksnctfのwriteupを書いていきます！私のやり方は少し時間がかかるやり方なので、はやく終わらせたい方はもう一つのやり方があるのでそちらで解答してください！それではよろしくお願いしますm(_ _"m) １．問題問題名：Onion 配点：70点こちらから問題を見ることができます。２．前置き(意味が分かる人は飛ばして大丈夫です👌)①Base64というエンコード方式でデコードをしていきます。...といわれてもどういうことかわ

おさらいnote~第7回スタックバッファオーバーフローの脆弱性~

こんにちは、最近リングフィットをがんばっている宮下です。毎回統一のない話題で申し訳ないのですが、今回はスタックバッファオーバーフローというexploit分野の攻撃手法の解説していきたいと思います。今回は少しむずかしいかもしれませんが、がんばりましょう。。！１．スタックバッファオーバーフローとは？一つずつ砕いて説明します。スタック･･･後入れ先出しのデータ構造を持つメモリ領域の一つ。（1,2,3の順番でデータを入れたら3,2,1とデータを取り出す）特徴として、先に

おさらいnote~第6回 DoS攻撃とDDoS攻撃~

こんばんは。あと夏休みも10日で終わります、宮下です。最近noteでおさらいするジャンルが様々すぎてどうしようかなぁと思いつつ、今回はDoS攻撃とDDoS攻撃をおさらいしていきたいと思います。では、頑張っていきましょう～！１．DoS攻撃DoS攻撃とは、Denial Of Serviceの略で、サービス妨害を意味する攻撃方法です。（様々なDoS攻撃の総称です。）攻撃者が特定のサイトに何度も連続してサーバに対して通信を行い、応答パケットが大量に蓄積されてしまうことでサー

おさらいnote ～第5回　メールヘッダインジェクション～

こんにちは、もう秋ですね、宮下です。今回はメールによるインジェクション攻撃をおさらいしていきたいと思います。メールといってもgmailやyahooメールではなく、お店に聞きたいときに使用する問い合わせフォームです。＊こちらも前回同様インターネット上で実行できてしまいます。場合によっては犯罪になるので実行するときはローカルな環境で実行してください」！攻撃例まず、通常の動作の流れを説明します。フォームにユーザーがメールアドレスと本文を記入し、送信します。するとその企業

おさらいnote ~第4回　SQLインジェクション(２)~

こんばんは。インターンの合間を縫って記事を書いております。宮下です。 SQLインジェクションの二回目です。今回はブラインドSQLインジェクションをおさらいしていきたいと思います。＊この手法はインターネット上で実行できてしまう可能性があります。場合によっては犯罪となってしまうのでローカルな環境で実施するようにしてください…！それでは、Goooo！ブラインドSQLインジェクションってSQLインジェクションについては前回記事をまとめているのでそちらをご覧ください、！それを

おさらいnote ～第3回　SQLインジェクション(１)～

こんにちは。おひさしぶりです。インターンシップの準備やテストなどでぜんぜん更新できていなかったのでゆるゆる更新していきたいと思います。今回はインジェクション攻撃をおさらいしていきます。その中で今回から数回に分けてSQLインジェクションをピックアップしたいと思います！＊この攻撃手法はインターネット上で実行できてします。場合によっては犯罪になるので必ずローカルな環境で行ってください…！ SQLってなーに SQLはデータベース(RDBMS)を操作するための言語です。デー

おさらいnote~第2回 ksnctf#2 Easy Cipher~

こんにちは、パソコンが治ってうきうきの宮下です。最近ksnCTFを友人に教えてもらって始めました。今回は、一番最初の(？)問題であるEasy Cipherを解いていきたいと思います。よろしくお願いします！！問題把握配点：５０点問題はこちら EBG KVVV vf n fvzcyr yrggre fhofgvghgvba pvcure gung ercynprf n yrggre jvgu gur yrggre KVVV yrggref nsgre vg va g