まったり技術ブログ

Technology is power.

Java製HTTPプロキシライブラリ『LittleProxy』入門編

f:id:motikan2010:20170725011556j:plain

今回はJava製のHTTPライブラリ『LittleProxy』を使ってみます。
Java製のHTTPライブラリは種類豊富だと思っていたのだが、想像していたよりも圧倒的に少なかった。
そんなこともあり、デファクトスタンダードというものもなさそうなので、ほどほどにメンテナンスされている『LittleProxy』を選定。

github.com

続きを読む

SQLインジェクション体験ツール『SQLI-LABS』で遊ぶ

f:id:motikan2010:20170611163739j:plain
今回使ってみた「SQLI-LABS」には65種類(問題一覧からは75問あるように見えたが404だった...)のSQLiを学べるらしいので早速遊んでみました。
動作DBはMySQLです。

github.com

環境構築

インストール

インストールは非常に簡単で、リポジトリをWebサーバ上のドキュメントルート上に配置するだけ。

$ cd /var/www/html/
$ git clone https://github.com/Audi-1/sqli-labs.git
$ cd sqli-labs
続きを読む

Sambaの脆弱性〜CVE-2017-7494をやってみる〜

f:id:motikan2010:20170531012815p:plain

5月24日に公開された、ファイル共有によく利用されるSambaの脆弱性「CVE-2017-7494」を実際に構築・PoCでの検証を行ってみます。
f:id:motikan2010:20170531215510j:plain

概要・対策に関しては、下記の記事が参考になる。

CVE-2017-7494 - Red Hat Customer Portal

oss.sios.com

続きを読む

【セキュリティ】jwt-goを使ってみる - その2

f:id:motikan2010:20170514015521p:plain
前回に引き続き「jwt-go」でいろいろ試してみます。

motikan2010.hatenadiary.com

主に署名アルゴリズムの改ざんでの動作確認を行っていきます。

動作確認

署名アルゴリズムを改ざん

なぜこんなことを試すのかというと、下記の記事を読んでみると、トークン内の署名アルゴリズムを改ざんしてリクエストを送信すると、改ざん後の署名アルゴリズムで署名の検証が行われる実装があるようです。

oauth.jp

それを"jwt-go"の場合だとどのような動作をするのかを確認してみます。
f:id:motikan2010:20170514014545j:plain

続きを読む

【セキュリティ】jwt-goを使ってみる - その1

f:id:motikan2010:20170512014516p:plain

前回、RailsのJWTライブラリである"knock"を使って署名アルゴリズムにNoneを使えるのかを試してみた(使えなかった)ので、今回はGo言語のJWTライブラリである"jwt-go"を使って、署名アルゴリズムに「SHA256」と「none」を試した(使えた)ことを書く。 motikan2010.hatenadiary.com

github.com

続きを読む