MyJVNバージョンチェッカ（サーバ版）は使えるか？

Security

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，これ使ったからすべてが最新であると思わないほうがいい．対応製品は，Windows版とLinux版で何気に同じだが，要は「Webサーバ」「Tomcat 1.5」「BIND」「Java」「OpenSSL」というように，…

2013-07-04

MyJVNバージョンチェッカは使えるか？

Security

結論から言うと，「使わないよりは使ったほうがいい」となる．ただ，「絶対に使わなければならない」ほどのものか？と言われると，ちょっと疑問だ．以下にその理由を． 2013年1月のJVNからのリリースの中で，「ウェブブラウザ上で Java を実行する必要がな…

2013-07-04

Webアプリも最新化を

Security

上の事例で明らかに抜けているのは，Webアプリケーションの脆弱性を突いたとおもわれるもの．それも個別に作ったものではなく，古いパッケージ製品や，脆弱性がすでに判明している（そして攻撃手段も準備されている）オープンソースなCMSの脆弱性を突いたと…

2013-07-04

IPAからの2013年7月の呼びかけを読み解いてみた

Security

なんともな感じだが，IPAから「止まらないウェブ改ざん！」〜ウェブサイトの管理の再検討を！〜という周知が出ている．この周知は，先月までに多く確認されたWebサイト改ざんを受けてなされたものだが，内容は大変限定的なものになっている．読んでる人…

2013-06-22

セキュリティ・キャンプ2013の応募で残念な結果だった方々へ（５）〜まとめ

Security

いろいろ書いたが，まとめると以下のところに集約される．キャンプはあくまで手段であり，通過点であるやる気をわかる形で見せてほしいキャンプの期間中にやることについていけると思わせてほしい主張するポイントや手がかりは，きちんと提示されている …

2013-06-22

セキュリティ・キャンプ2013の応募で残念な結果だった方々へ（４）〜自分の目的のために手を動かすということ

Security

まだ「これ」という分野に行き着いていない，もしくは自分でそういう分野があると自覚していない人は，そういう分野を見つけてほしい．あくまで個人的な感覚ではあるが，そういう分野を見つけた人が，さらなる知見や見方を身に着ける手伝いをするのが講師陣…

2013-06-22

セキュリティ・キャンプ2013の応募で残念な結果だった方々へ（３）〜1年あるとどこまでできるか

Security

ある年でダメでも，次の年，そしてまた次の年に応募してきて，参加できた人もいる．そういう人は，1年間本当にがんばってきたんだな，というような内容を応募用紙に書いてきてくれている．それこそ，1年ということは，次回の応募開始までは300日程度を取れ…

2013-06-22

セキュリティ・キャンプ2013の応募で残念な結果だった方々へ（２）〜「やる気を重視する」のオレ的解釈

Security

応募用紙に書いてある「やる気を最も重視する」ってのは，今も昔も変わらない．「これ以上ないくらいにやる気を込めた！」という応募者（落ちたけど）という人も相応数いるのではないか？と感じている．それではいったい，「どこで差が出るのか？」を書い…

2013-06-22

セキュリティ・キャンプ2013の応募で残念な結果だった方々へ（１）

Security

年齢的にギリな方々もいらっしゃるので，あまり参考にならない人もいるかもしれない．それでも，今後のステップアップもしくは爆発的成長の糧になればということで，エントリを書いてみる．大きくは，以下の2つについて触れる．「やる気を重視する」のオレ…

2013-06-18

login.phpは完全にひっかけｗ

Security CTF

おまけでlogin.phpの内容をざっと見る．…POSTメソッドでリクエスト飛んできたら失敗させるというスクリプトであり，他の処理が一切書かれてないｗワロタｗ

2013-06-18

3dub 4 rememberme write up(3) - 暗号鍵を推測してkey.txtをもらおう

Security CTF

スクリプトを見ると，以下のようにkey.txtの時だけは，特別な処理を入れていることがわかる． When reading key.txt, getfile.php adds process after reading key.txt as below: if ($filename == "key.txt") { $key = rand(); $cyphertext = mcrypt_encryp…

2013-06-18

3dub 4 rememberme write up(2) - getfile.phpを使って，getfile.phpのソースコードを取得しよう

Security CTF

次は，getfile.phpを実行してgetfile.phpを取得する．余談だが，ファイルへのアクセスを行わせるCGIやWebアプリケーションの脆弱性の中に，任意のファイルへのアクセスを許してしまうこともある．任意のファイルということは，CGIやWebアプリケーションを構…

2013-06-18

3dub 4 rememberme write up（１） - 何をやるかを知ろう

Security CTF

まずは以下のURLにアクセスしてみよう． http://rememberme.shallweplayaga.me すると，usernames.txtに対するもの，passwords.txtに対するもの，loginフォームに対するものと3つのリンクがあることに気づくはず．usernames.txtとpasswords.txtは，以下のよ…

2013-06-18

3dub 4 rememberme write up(3) - decode the key.txt by guessing the key for encryption

Security CTF

When reading key.txt, getfile.php adds process after reading key.txt as below: if ($filename == "key.txt") { $key = rand(); $cyphertext = mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $data, MCRYPT_MODE_CBC); echo base64_encode($cyphertext);ke…

2013-06-18

3dub 4 rememberme write up(2) - obtaining getfile.php source code by using getfile.php.

Security CTF

Next step: you can get getfile.php by using itself.Acecss to URL like below: http://rememberme.shallweplayaga.me/getfile.php?filename=getfile.php&accesscode=[result of `echo -n getfile.php | md5sum`]You can obtain the result like below: Ac…

2013-06-18

3dub 4 rememberme write up - to know to do

Security CTF

You access to the URL below: http://rememberme.shallweplayaga.me Then you see 3 links to other pages in the server below: usernames.txt, passwords.txt, login formlinks to username.txt and passwords.txt has same structure like below: http:/…

2013-06-14

上記のようなサイトを放置しとくのか？

Security

いや，もちろん放置する趣味はまったくない．ただ，whoisなどで調べた結果，「まるでとりあってもらえそうにない」とか「指摘したこちらが嫌な気分になる」というシナリオしか見えなかったという感じなのであるよ…．

2013-06-14

参考：旧バージョンの Parallels Plesk Panel の利用に関する注意喚起

Security

Parallels Plesk Panel ライフサイクルポリシーにもあるが、現在サポート対象なのは以下の2つ。Parallels Plesk Panel 9は2013年6月9日に、Parallels Plesk Panel 8は2012年9月1日に延長サポート終了日を迎えている。 Parallels Plesk Panel 10（サポート終…