[B! security] kodamのブックマーク

kodam id:kodam

securityに関するkodamのブックマーク (27)

Exploits and defenses - Exploits and defenses
1/52 >> First Last Exploits and defenses はまじしん一ろう
kodam 2015/05/21
CTF

security

programming

binary
リンク
https://www.crowdcurity.com/
kodam 2015/01/08
脆弱性診断のクラウドソーシングサービス

security

web

exploit

ctf
リンク
NICTERWEB 2.0
Home | Atlas | Cube | Stats | Top10 | NICTER Blog | Help | Contact | English | Atlas ⁄ Cube Information ・ NICTER 観測レポート2019 (2020-2-10) ・ NICTER 観測レポート2018 (2019-2-6) ・ NICTER Blogを始めました (2018-2-27) ・ NICTER 観測レポート2017 (2018-2-27) ・IoT製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動 (2017-12-19) Stats Top 10 List 2020/08/07のデータを表示中国別ユニークホスト数 Top 10 国名（国コード）ホスト数割合ブラジル（BR） 34,733 9% 中国（CN） 31,312 8% インド（IN） 24
kodam 2014/09/14
security

参考資料

これはすごい

network
リンク
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。クロスサイトスクリプティング SQL インジェクションパス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャックコマンドインジェクションまた、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
kodam 2014/03/15
PHP

セキュリティ

まとめ

web

security

programming
リンク
SECCON2013で出題した問題一式を公開しました。 - バイナリの歩き方
去年︵2013年︶から今年にかけてSECCON2013というセキュリティコンテストの運営に参加させていただきました。主に問題作成担当だったので、もし参加された方がいましたら、いくつかの問題は私が作成したものだったかもしれません。そのSECCONも先週末︵3月1～2日︶の決勝戦を終えてひとまずひと段落となりましたので、この1年で出題された︵私が作った︶問題一式を可能な限り公開したいと思います。 50000枚のアセンブラ短歌画像から 0609 と表示されるものを探せ http://07c00.com/tmp/tanka5t-50000.zip これは決勝戦で出題された問題︵の一部︶です。50000枚の画像がZIP圧縮されており、1枚1枚にはアセンブラ短歌︵マシン語列︶が書かれています。その中から 0609 を表示するものを探す問題でした。画像からテキスト︵コード︶を抽出し、それを実行するコー
kodam 2014/03/05
seccon

アセンブラ

security

ctf

セキュリティ

暗号
リンク
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Who is the OWASP® Foundation? The Open Worldwide Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open-source software projects, hundreds of local chapters worldwide, tens of thousands of members, a
kodam 2013/11/06
セキュリティ

OWASP

Web

security
リンク
The Honeynet Project
Forensic Challenge 14 - Weird Python 18 Mar 2015 Your boss John went to a BYOD conference lately. Yeah, he’s that kind of security guy… After some mumble about targeted attacks happening during the event, your team finally got their hands on a PCAP with his traffic. Your colleague Pete Galloway investigated the incident. Yesterday, he casually mentioned that he found some weird Python bytecode, bu
kodam 2013/10/07
security

capture

challenge

ctf
リンク
Packet Captures - PacketLife.net
nf9-juniper-vmx.pcapng.cap 912 bytes Submitted Dec 10, 2016 by Jb93 Juniper vMX NetFlow. IP UDP
kodam 2013/09/18
packet

ip

security

あとで読む

network

capture
リンク
GitHub - akiym/akictf2013: Archive of akictf Challenges
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
kodam 2013/08/23
CTF

セキュリティ

security

勉強
リンク
Flaggers
Flaggers は、CTF (Capture the flag) の問題を出し合うコミュニティサイトです。 Twitterアカウントがあれば、すぐに問題を解き始めることができます。 LoginCTF (Capture the flag) とは？ CTFには様々な種類があります。詳しくは、SECCONとは (外部) や、@ITの記事 (外部) をご覧下さい。 Flaggersで扱うCTFは、出題された問題から答え(旗, flag)を見つけ出し(capture)、その点数を競うものです。
kodam 2013/08/23
security

CTF

programming

seccon
リンク
てっしーの丸出し
1月に書いたまま放置してた︵笑︶GWまでに、200、200、Fleche、1000と走りきったので次を走るまでに新しい方から書き留めておこう。ということで1000kmの話。基本計画GWにBRM501日本橋1000でツールド奥の細道をたどる1000kmを走ってきた。来年のPBPの優先登録の権利が得られるという1000を挑戦してみようと。一緒に参加した知り合いからはR東京の日本縦断の半分1350kmのどっちかに参加しようと言われていたが、日程と前後の移動を考えると都内からスタートできる日本橋の1000かなあという感じで選定。 www.ar-nihonbashi.org 走行計画と概要スタートは5/1。11:00から30分ごとに12:30まで選択が可能で、なんとなく12:00組にエントリー。今年は初日が午後から雨で、11:00組が正解だったかも？ざっと全体の計画と区切りは以下の感じ1
kodam 2013/06/02
セキュリティ

blog

security

computer

CTF

programming
リンク
ksnctf
You are accessing this page via HTTP. We recommend you using HTTPS: https://ksnctf.sweetduet.info/ コンピュータセキュリティに関する問題を出題します。各問題からFLAG_123456xyzという形式の答え︵flag︶を探してください。 Twitterでログインすると、ランキングに参加できます。 ctfq.u1tramarine.blue以外への攻撃はしないでください。 Attacks are only allowed to ctfq.u1tramarine.blue. Tweet
kodam 2013/04/15
programming

セキュリティ

security

ctf

勉強
リンク
情報処理推進機構：情報セキュリティ：脆弱性対策：安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。「安全なウェブサイトの作り方」改訂第7版の内容第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション、OSコマンド・インジェクションやクロスサイト・スクリプティング等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
kodam 2012/11/29
SQLインジェクション

セキュリティ

programming

プログラミング

Web制作

security
リンク
実践 Metasploit
行政機関や企業に対するサイバー攻撃が世界中で深刻な問題になっています。攻撃者の脅威に対抗するための最も有効な手段はペネトレーションテストです。本書では、ペネトレーションテストのやり方を、Metasploitを主軸に説明しています。そうすることで、ペネトレーションテストの流れとともに、Metasploitを構成する個々の機能やその使い方を理解し、Metasploitの基本的な作法を身につけます。さらに本書では、クライアントに対する攻撃や無線LAN経由の攻撃、ソーシャルエンジニアリング攻撃といった、ペネトレーションテストで使う高度なテクニックを学びます。日本語版ではシェルコードの内部構造について加筆しました。本書のサポートページ。サンプルPDF ●﹁推薦の言葉﹂﹁監訳者まえがき﹂﹁序文﹂﹁まえがき﹂﹁目次﹂︵1.4MB︶ ●﹁1章ペネトレーションテストの基本﹂︵1.3MB︶ ●﹁2章M
kodam 2012/08/28
セキュリティ

security

使い方

本

欲しいもの
リンク
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん！
こんにちはこんにちは！！今日はCSRF脆弱性のちょっとした話です！このCSRFってなにかっていうと、サーバーへのリクエストを﹃誰かに勝手に送らせる﹄っていうセキュリティがらみの攻撃手法のひとつ。わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを﹁見た人﹂が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → ﹇はまちちゃんのセキュリティ講座﹈ここがキミの脆弱なところ…！ ‥ 第2回しーさーふって何ですか？ CSRFってこんな風に、﹁ログイン済みの人に何か操作させる﹂ってイメージが強くて、対策する側もまた、﹁既にログイン済みの人を守る﹂ような考えが強いんだよね。例えば、勝手に日記に投稿させないように対
kodam 2012/05/22
はまちちゃん

web

セキュリティ

security

CSRF
リンク
主人がFacebookアカウントを剥奪されて3週間が過ぎました - 最速転職研究会
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来るこれによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来るこの手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。例えば強制的にはてなブックマークさせたりはてなスターを
kodam 2012/05/01
facebook

セキュリティ

ボタン

security

SNS

アカウント
リンク
パスワードの強度によっておねえさんがエロくなるjQueryのプラグイン Naked Password | TRIVIAL TECHNOLOGIES on CLOUD
みんなのIoT/みんなのPythonの著者。二子玉近く160平米の庭付き一戸建てに嫁/息子/娘/わんこと暮らしてます。月間1000万PV/150万UUのWebサービス運営中。みんなのブロックチェーンは，ブロックチェーンの入門書。暗号やハッシュなどを含め，基礎からブロックチェーンの仕組みを学べる書籍です。いろんな方に﹁新しい技術を学ぶことの楽しさ﹂を感じ取ってくれたら著者として嬉しいです:-)。お金は技術的にどのように定義されるのか。みんなのIoTは，モノのインターネットと呼ばれるIoTの入門書です。IoTの基本について，読者に寄り添って優しく解説しました。裏テーマは一番とっつきやすいPython入門書。サポートページはこちらみんなのPython 第四版は，より分かりやすい入門書を目指し，機械学習やデータサイエンスの章も追加して第三版を大幅に書き換えました。Python 3.6にも華
kodam 2011/03/01
jquery

ネタ

javascript

セキュリティ

security
リンク
興味深いPHPインジェクション | NCSIRTアドバイザリ | 情報セキュリティのNRIセキュア
興味深いPHPインジェクション (SANS InternetStorm Center Diary 2010/8/31より) SANSインターネットストームセンターのハンドラであるBojan Zdrnjaが、興味深いPHPインジェクションについて伝えている。︵掲載日‥米国時間　2010年8月31日︶ここ最近、PHPインジェクションという攻撃が一気に知名度を上げている。Webサーバのログを確認すれば、PHPインジェクションに関する多数のリクエストを発見できるはずだ。それらは大抵、ボットが既知の︵そしてあまり知られていない︶脆弱性を悪用できるか試しているだけだ。様々なPHPインジェクションの脆弱性を悪用する興味深い試みを、読者の一人が自身のWebサイトでキャプチャする事に成功したそうだ。キャプチャにはmod_securityを使用した。リモートのPHPスクリプトが読み込まれるように、変数を
kodam 2011/02/24
セキュリティ

PHP

security

脆弱性

web
リンク
パスワード　クラック John the Ripper - IT備忘録
John the Ripperはパスワードを復元するツールです。パスワードは基本的に暗号化され保存されますが、このツールはパスワード文字列を解析して、元のパスワードを見つけることができます。ユーザーの設定されたパスワード強度が弱くないかのチェックができます。＊　くれぐれも悪用するのは禁止です --John the Ripper http://www.openwall.com/john/ 現状最新版は1.7となります。 ## クラック元となるパスワードファイルの準備 Linuxのパスワードクラックを例にすると /etc/passwd　及び　/etc/shadowファイルを・ftp、scp、samba経由でファイルコピー・telnet、sshにてcatで表示させ文字列をコピー ## 2つのファイルを結合するコマンドプロンプトより c:\> cd john-17\run c:\
kodam 2011/02/24
John the Ripper

crack

Hack

software

tool

security
リンク
パスクラック - HackingWiki
目次パスクラック︵パスワードクラック︶攻撃とは † パスワードによって認証が行われているサーバに侵入するためのもっとも単純な方法は、そのパスワードを知ることです。そのパスワードを知るために行われる手段をいわゆるパスクラックといいます。その手段としては大きく2つ、マシン内で行われるローカルパスクラックと、外部サーバに向かって行われるリモートパスクラックに分けられます。 ↑ UNIXのログインパスワードクラック † UNIX・Linux・BSD等Linux系のシステムではパスワードはDES、もしくはMD5という方式でハッシュされて格納されています。過去はハッシュは基本的にユーザなら誰でも閲覧可能な/etc/passwdファイル内に書き込まれて保存されていたのですが、現在ではパスワード部分だけがroot権限がないと閲覧できないファイル︵Linux系だと/etc/shadow、BSDだと/
kodam 2011/02/24
パスワード・アタック

linux

unix

サーバ

windows

まとめ

セキュリティ

security
リンク
1 2 次のページ