セキュリティ・キャンプ 全国大会 2017 に通った

タイトルの通りキャンプに通りました。通知メールはサークルの部室にいた時に見ました。通ったのが分かった時は、ガッツポーズしながら「ヨッシャーッッ!!」と叫びました。キャンプに参加できるのも周囲のおかげだと思うので感謝したいです。 さて、恒例になっている応募用紙を公開する記事を書いてみます。私の場合は、募集開始がされてすぐに応募用紙を書き始めて提出したのは締め切り前日でした。でも、文字数は全体で20000字弱くらいなので少ないと思います。今後、キャンプに応募する方の参考になればと思います。 誤字脱字や技術的に間違えている部分もあると思うのであしからず..。 この記事では、長い部分を減らしたり要約したりしてあります。 共-1(1) あなたが今まで作ってきたものにはどのようなものがありますか?いくつでもいいので、ありったけ自慢してください。 .... Read More

第10回 MBSD セキュリティ勉強会に参加した

三井物産セキュアディレクションが主催の勉強会に参加したのでメモ。 余裕を持って出かけたはずが、会場を間違えたり溜池山王に着いてからも道に迷ったりした結果、遅刻してしまった。(ごめんなさい) BurpSuiteの使い方 簡易的な脆弱性なWebアプリケーションをBurpSuiteでテストしてみることをした。 脆弱なアプリにはform1とform2がありそれぞれhttpのGETメソッドとPOSTメソッドを使っている。 擬似的に同様のアプリを作ってみた。 form1 form1は好きな動物を選択して送信すると、送信した結果と対応したvalueが出力される。これをBurpSuiteで書き換えて送信することで任意の文字列を出力することができる。また、GETメソッドであるため送信されたページのパラメータを直接書き換えることでも可能。 <html> <head> <title>form1</title> </head> <body> <?php if(isset($_GET)){ ... Read More

ARPスプーフィングとDNSスプーフィングを自分なりに検証した

書籍「実践パケット解析」を読んでいて気になっていたARPスプーフィングによるパケットキャプチャと、DNSキャッシュポイゾニングをcain &... Read More

logstalgiaでログを可視化する

apacheのログ可視化をする。 構築はUbuntuで行ったのでDebian系であればおそらく動くと思う。 RedHat系でやるなら適度にyumなどに置き換えてもらえれば。 パケット送信 適当にパケットを生成して投げるコマンド。 2種類のパケットを送信(32件) 適当にhttpリクエストを投げてapacheのログを生成させる。 for... Read More