趣味自宅サーバー環境 2024年版
今回は自宅の環境を少し修正したので、備忘録として2024年時点の自宅環境を残しておきたいと思います。 もし自宅環境を検討している方が居たら、何かの参考になればと思います。
fealone
趣味
CELTF解説開発モードでビルドされたシステムを公開するリスク【CTF】
開発中と本番環境にリリースした際に求められる機能の違いを穴埋めするために、開発モードと本番モードによるビルドを対応しているフレームワークが多数存在します。 今回はその中でもvue.jsを開発モードでビルドして公開してしまった際のリスクの一例をCELTFを利用して実際に体験します。
CELTF解説推測可能なURLのセキュリティリスク【CTF】
フレームワークの利用が一般的になっている中、管理画面などのセンシティブな機能にアクセスするURLがデフォルト値で公開されている場合があります。 ID/パスワードが十分にセキュアであればセキュリティリスクはそこまで高くはないですが、ID/パスワードが脆弱であったり、コード上の不具合などでセキュリティリスクを抱える場合があります。 推測可能なURLの危険性についてCELTFを利用して実際に体験します。
CELTF解説ブラウザのストレージの値を変更する【CTF】
Webサイトで一時的なデータを管理する際に利用されるストレージとして、SessionStorageやLocalStorageがありますが、今回はその値を変更してみます。 クライアントが保持するデータは如何に簡単に操作する事ができるのか、どのような危険が潜んでいるのか、実際にCELTFで攻撃して体験します。
CELTF解説XOR暗号化されたデータから暗号鍵を取得する【CTF】
手軽に使えるXOR暗号化ですが、鍵が分からなければ比較的安全ではあるものの、暗号化された元のデータが入手可能な場合に脆弱になります。 そのような条件の解読手法として既知平文攻撃(KPA)がありますが、XOR暗号化はKPAに対して非常に脆弱です。 今回はXOR暗号化されたデータを元に実際に既知平文攻撃を試してみます。
Linuxrpi-imagerをUbuntu18.04で動かす方法
Raspberry pi の初期設定を楽にしたく、rpi-imagerを動かそうとしたところ動かすまでに色々ハマったので回避策をまとめました。 Workaroundでも良いから動かしたいという人は参考にしてみてください。
CELTF解説ZIPファイルのパスワードを総当りで解析する【CTF】
最近では、ZIPファイルの暗号化を利用したファイル共有がセキュリティ的に課題があるという話が話題になっています。 暗号化方式の問題等いくつかの課題はありますが、今回は短いパスワードを設定した際にどのような問題があるのかを、実際にパスワードを解析しながら見ていきます。
CELTF解説APIとの通信内容を実際に見て内容を理解する【CTF】
Webサービスを攻撃する上で、まず手始めにブラウザがAPIとどのような通信を行っているのか理解する必要があります。 そのために、ブラウザとAPIとの通信内容を確認する方法と、その観点を記載していきます。
システムAWS SAMを利用したAWS Lambdaのインフラ環境構築
今回、AWS LambdaとEventBridgeを利用した定期実行、AWS LambdaとSQSを利用した分散処理の仕組みを作成したので、どのようにインフラ環境を構築したかについて触れていきたいと思います。 これまで apex(メンテナンス終了)やserverlessを利用してきましたが、今回はAWSが公式に公開しているAWS SAMを利用する事にしました。
システムマイクラサーバを軽量化して快適動作させる方法 1.17版
最近マイクラサーバを立てる機会があり、低スペック環境で動かすためにいくつか軽量化を行ったのでそのナレッジを公開します。 軽量化前から軽量化後で1/4程度に処理軽減を図ることができました。