今回使ってみた「SQLI-LABS」には65種類(問題一覧からは75問あるように見えたが404だった...)のSQLiを学べるらしいので早速遊んでみました。 動作DBはMySQLです。 github.com 環境構築 インストール インストールは非常に簡単で、リポジトリをWebサーバ上の…

SQLインジェクション体験ツール『SQLI-LABS』で遊ぶ

５月２４日に公開された、ファイル共有によく利用されるSambaの脆弱性「CVE-2017-7494」を実際に構築・PoCでの検証を行ってみます。 概要・対策に関しては、下記の記事が参考になる。 CVE-2017-7494 - Red Hat Customer Portal oss.sios.com

Sambaの脆弱性〜CVE-2017-7494をやってみる〜

前回に引き続き「jwt-go」でいろいろ試してみます。 motikan2010.hatenadiary.com 主に署名アルゴリズムの改ざんでの動作確認を行っていきます。 動作確認 署名アルゴリズムを改ざん なぜこんなことを試すのかというと、下記の記事を読んでみると、トークン…

【セキュリティ】jwt-goを使ってみる - その2

前回、RailsのJWTライブラリである"knock"を使って署名アルゴリズムにNoneを使えるのかを試してみた(使えなかった)ので、今回はGo言語のJWTライブラリである"jwt-go"を使って、署名アルゴリズムに「SHA256」と「none」を試した(使えた)ことを書く。 motikan2…

【セキュリティ】jwt-goを使ってみる - その１

前回の続きです。 【knock】JSON Web Token(JWT)を使ってみる【実装編】 - まったり技術ブログ 今回はJWTのセキュリティにふれてみます。

【knock】JSON Web Token(JWT)を使ってみる【セキュリティ編】

github.com JSON Web Tokenの説明は下記の記事を参照。 qiita.com

【Rails】JSON Web Token(JWT)を使ってみる - 実装編【knock】

Trap Site 2017年度に入りましたが、昔ながらのクリックジャッキングの話 『クリックジャッキング』ってなんぞやという方は下の記事が大変解りやすいかと。 blog.tokumaru.org

ボタンを重ねない『クリックジャッキング』の話

・bcrypt.GenerateFromPassword ・bcrypt.CompareHashAndPassword を使ってみる話です。 Go言語を使ったWeb開発で認証機能を実装したくて調べてみたら、「sessionauth」というパッケージが見つかった。 github.com 認証の有無のセッションを管理してくれるの…

【Go言語】パスワードをハッシュ化(bcrypt)

Go言語でWebアプリ開発をしていみたいと思っていましたので、調べてみたらいろいろあるらしい。 概観からGoのWebFrameworkを選ぶ（2016/02） - Qiita その中で速度が速く、人気もある『Gin』を手始めにさわってみることにします。 github.com 作成するものは…

Webフレームワーク『Gin』を使ってみる

結論から言いますとGDライブラリはyumでインストールすることができなかったので、 結局ソースからインストールしました。 "phpbrew install"が失敗した phpbrewでGDライブラリを入れようとしたら下記のようなエラーが表示された。 $ phpbrew install 5.6.26…

phpbrewでGDライブラリを入れようとしたらエラーになった

IoTというワードが流行りつつあり、Bluetoothの通信を見てみたいという欲求が出てきたので、Bluetooth通信のプロキシを探してみました。 このキャプチャ技術を応用したら ・Bluetoothデバイス開発のデバッグ ・Bluetoothデバイスに対してのセキュリティ診断 …

Bluetoothプロキシ『btproxy』を使う

"通信を発生させずにHTMLを解析"をしたい・・・ 今までPHPでHTML解析するときは「Simple HTML DOM Parser」を利用しており、数年ぶりの利用で使い方を確認しているとこのような記事が。 localdisk.hatenablog.com 「Simple HTML DOM Parser」はパフォーマン…

『Goutte』を使って文字列からHTML解析

LaravelでRailsの"link_to"のようにHTMLを生成できないのかと思い、探してみたら『Laravel Collective』というものがありました。 導入方法などは下記を参照。 Laravel Collective HTML出力のイメージができないところがありましたので、実際に出力させて、…

『Laravel Collective』でのHTML生成を簡単にまとめてみる

PHP製のWebフレームワークである『Laravel』を使って"認証あり"のアプリケーションを作成していきます。 今回はLaravelバージョン5.3系を使います。 プロジェクトの作成 $ laravel new auth_scaffold $ cd auth_scaffold $ php artisan --version Laravel Fr…

『Scaffold』と『Auth』を使ってアプリケーションを作る

Web界隈では「Apache Bench」「JMeter」などのベンチマークツールが有名ですが、ここではGo言語で開発されたベンチマークツール『hey』を紹介します。 github.com 百聞は一見に如かず「hey」!! 結果は下記ような形式で出力されます。abと比べて非常にシンプ…

golang製ベンチマークツール『hey』を使ってみた

Webサーバのベンチマークツールである"weighttp"のインストール・動作確認までを行っていきます。 私の環境ではPythonのバージョン３がデフォルトして動作しており、それが原因でつまずいた点がありましたので、記載しておきます。 github.com インストール …

Webサーバベンチマークツール『weighttp』をさわってみる

今回はBot等に自動認証を許さないために用いられる 「CAPTCHA」をRailsアプリケーションに実装してみます。 ImageMagickあたりでつまずいたので、備忘録感覚にメモ。

キャプチャ認証『SimpleCaptcha2』を使ってみる

『Pythonだけ』でHTTPSサーバ Secure属性を付与したCookieの取り扱いなど簡単な検証で重宝しています。 Webフレームワークであるbottleを使用すると、複雑な開発環境・動作環境を用意せずにHTTPS通信を実現するWebサーバを作成することが可能です。 HTTPS通…

『Pythonだけ』でHTTPSサーバ

関数inputで入力された値は文字列型として扱われる。 「16進数 → 10進数 → バイナリデータ」の順で変換しています。 import struct def main(): str = input() str_list = str.split(" ") f = open('test.dat', 'wb') for hex in str_list: f.write(struct.p…

【Python】キーボード入力文字列をバイナリデータへ変換