投稿

2013の投稿を表示しています

[備忘録][Vim] colorschemeが反映されないとき

イメージ
学校のマシンでちまちまVimの設定をいじってた時の話。

[CTF] SECCON Fukuoka に参加してきました。

イメージ
SECCON福岡大会に参加してきました。
そこまで解けなくて(n回目)、ぐぬぬでした。自分用のまとめなので、他の方のwriteupを見てください。

[CTF] CSAW CTF反省編

イメージ
初めてオンラインCTFに参加してみました。
結果はお察しでした。
Web100, 200, 400, Triviaちょっとくらいですかねー。実力不足を感じました。

忘れないうちにまとめ

[ArchLinux][備忘録] VirtualBoxにArchLinuxを入れてXを起動しようとしたら思いのほか手こずった話

イメージ
VirtualBoxでXを入れるの、意外と手こずった(2回目)。1回目はどうやって解決したか覚えてないけど絶対また同じこと繰り返しそうだったので自分用まとめ。

セキュリティキャンプ2013 Webセキュリティクラスに参加してきました

イメージ
新幹線からお届けしております。僕は少々関東から遠いところに住んでいまして、新幹線を使っても5時間ほどかかってしまいます。で、こういう時間は、こういう文章を書くには最適だと思いまして、タイプライタでカタカタやっておりました。いま名古屋のへんです。 さて、セキュリティキャンプが終わり、心境的にもそろそろ落ち着いてきたので、自分がキャンプでなにをしたか、そしてそこから得られたモノ・コト、キャンプを通しての感想をまとめたいと思います。 事前学習Webセキュリティクラスは、過去に自分が作ったものの脆弱性の洗い出し、配布された本である、めんどうくさいWebセキュリティを読む、XSS Challengeをやる、などのメニューでした。XSS Challengeをやってみて、実際に手を動かしてみても、なかなかできないXSS問題が多くてかなり手こずりましたが、なんとか進められました。また、自分が過去に作ったWebページの脆弱性を探してみると、意外とすぐにみつかったので、なにか良い策(Frameworkとか..?)がないかなぁと思った。XSSはなんでもできちゃうので怖い...
0日目さて...いよいよ出発。一人でこんなに移動したことがないのでとても心配だった。
早速電車に乗って忘れ物が2,3個あることに気づいたが特に問題なかったのでそのままに...

そして新幹線で上京。夕方ごろ到着。 前泊組の方々と名刺交換。ぼっちじゃなくてよかった。チューターの方々とすれちがったりはしたけど、緊張してなかなかうまく挨拶できず、ちょっと残念だった。 前泊組、初対面の人が集まっての初の夕食。緊張したけどいろいろ話ができた。(学校のこととか研究のこととか、好きなコトとか) 初の夕飯はご飯とハンバーグと半熟たまごとスープでした。 たまごの使い道とかたまごの使い道とかたまごの使い道とかに困った。 ちょっとぎこちなかったけど、楽しい夕飯になりました。 コンビニツアーも行ってきました。スポーツドリンクを1L買ってきてちびちび飲んでました。
1日目前泊組なのでみんなが駅で待ち合わせしてる中、Twitterでそれを眺める。かなしい。 Twitterで眺め続けて1時間半、みんなが到着。名刺交換会。いろいろな人と名刺交換してちょっとした話をしました。 名刺交換の後は、昼ごはん。最初だったので、クラスごとで適当に区切って同じテーブルに座ってご飯を食べる…

パスワードの強さをスコア化してくれる「Javascript Password Strength Meter」をつかおう

ロマンっていうかなんていうか

GoogleAnalyticsを使用するときはその旨を表示しなければならないらしい

GoogleAnalyticsを使用するときはその旨を表示しなければならないらしい

CSS関連のまとめ

イメージ
ページをつくるときに厄介なことがあったので自分用まとめ.

Twitterのあたらしいアカウント乗っ取りの件

[追記] このブログへのリンクを気軽にクリックしたそこのアナタ!!!!!
気をつけてください!!!!!!!!!!!!!

経緯http://togetter.com/li/463503
手法ダイレクトメッセージ経由で短文+短縮URLcallback指定された認証URLをiframeで開く2.のiframeのcallbackにはcallback.phpがあって(攻撃者のサーバ上)、アクセストークンを抜き取るウハウハ 特徴 パスワードを抜き取るような通常のフィッシングサイトではない、Twitterの一種の脆弱性を利用していること→twitter.comにログインした状態なら起こりえる既存の公式・サードパーティ製クライアントのコンシューマーキーを使用していること→なんで持ってるのって話旧twitter.comのcssとかjsとかそのまんま使ってる→ソースをちょっとみただけではなにが問題なのかわからないスタートは2chだそうで。→特定が困難 問題点パスワード抜きの可能性もある
送信フォームあったけど記録されてるかはわからないね。トークンとられてパスワードも抜かれたのならもうウハウハだろうけど。iframeで認証ページが6つほどあったのでトークンが何個かとられててもおかしくない。というか、フォームでパスワードゲットできたのなら、アプリ連携解除されても、また手動でもアプリ連携設定できるよね。

認証方法がまずくね? トークンをリクエストするときにコールバック先を指定できるなら意図しない動作を利用者にバレずに引き起こすことができる。今回のものは、認証後にそれぞれのクライアントが予定していないところへコールバックしていた。これはまずい。

あれっ、でも、トークンをリクエストするときって、コンシューマーキーとコンシューマーシークレットが必要なんじゃ・・・?


なんでコンシューマーキーとコンシューマーシークレットが使われてるの。
ウワサによればだけど、コンシューマーキーとかは暗号化されずに保存されていたものもあるそうだ。そんなのでは容易に抜き取ることができるだろう。というか、コンシューマーキーはそもそもクライアントサイドにあるものが多いので漏れるのは無理もないかもしれない。

[追記] そもそもコールバックはブラウザ用で使われるもの、モバイル端末の認証を容易にするものではない、という見方もできるかもしれない…

Office 2013の評価版を試してみた

イメージ
ひさしぶりのレビュー?
個 人 的 に気になったところだけまとめてみたよ。新機能とかそのへんは調べてない段階なのであまり役に立たないかもしれない(・ω・`)

NEC製のパソコンで発生する音量表示のアレを改善してみる

イメージ
NECの音量設定が消えてくれないのを強制的に消します

Windows7のフォントのレンダリングがアレだからいじれるソフト探してみた

イメージ

Twitterのキーボードショートカット

イメージ
TwitterのWeb版ってキーボードショートカットがあったんですネ。

2013年の幕開けです

イメージ
新年あけましておめでとうございます。
2013年がみんなにとって充実した1年になりますように。