CELTF解説開発モードでビルドされたシステムを公開するリスク【CTF】
開発中と本番環境にリリースした際に求められる機能の違いを穴埋めするために、開発モードと本番モードによるビルドを対応しているフレームワークが多数存在します。 今回はその中でもvue.jsを開発モードでビルドして公開してしまった際のリスクの一例をCELTFを利用して実際に体験します。
fealone
CELTF解説
CELTF解説推測可能なURLのセキュリティリスク【CTF】
フレームワークの利用が一般的になっている中、管理画面などのセンシティブな機能にアクセスするURLがデフォルト値で公開されている場合があります。 ID/パスワードが十分にセキュアであればセキュリティリスクはそこまで高くはないですが、ID/パスワードが脆弱であったり、コード上の不具合などでセキュリティリスクを抱える場合があります。 推測可能なURLの危険性についてCELTFを利用して実際に体験します。
CELTF解説ブラウザのストレージの値を変更する【CTF】
Webサイトで一時的なデータを管理する際に利用されるストレージとして、SessionStorageやLocalStorageがありますが、今回はその値を変更してみます。 クライアントが保持するデータは如何に簡単に操作する事ができるのか、どのような危険が潜んでいるのか、実際にCELTFで攻撃して体験します。
CELTF解説XOR暗号化されたデータから暗号鍵を取得する【CTF】
手軽に使えるXOR暗号化ですが、鍵が分からなければ比較的安全ではあるものの、暗号化された元のデータが入手可能な場合に脆弱になります。 そのような条件の解読手法として既知平文攻撃(KPA)がありますが、XOR暗号化はKPAに対して非常に脆弱です。 今回はXOR暗号化されたデータを元に実際に既知平文攻撃を試してみます。
Linuxrpi-imagerをUbuntu18.04で動かす方法
Raspberry pi の初期設定を楽にしたく、rpi-imagerを動かそうとしたところ動かすまでに色々ハマったので回避策をまとめました。 Workaroundでも良いから動かしたいという人は参考にしてみてください。
CELTF解説ZIPファイルのパスワードを総当りで解析する【CTF】
最近では、ZIPファイルの暗号化を利用したファイル共有がセキュリティ的に課題があるという話が話題になっています。 暗号化方式の問題等いくつかの課題はありますが、今回は短いパスワードを設定した際にどのような問題があるのかを、実際にパスワードを解析しながら見ていきます。
CELTF解説APIとの通信内容を実際に見て内容を理解する【CTF】
Webサービスを攻撃する上で、まず手始めにブラウザがAPIとどのような通信を行っているのか理解する必要があります。 そのために、ブラウザとAPIとの通信内容を確認する方法と、その観点を記載していきます。
システムAWS SAMを利用したAWS Lambdaのインフラ環境構築
今回、AWS LambdaとEventBridgeを利用した定期実行、AWS LambdaとSQSを利用した分散処理の仕組みを作成したので、どのようにインフラ環境を構築したかについて触れていきたいと思います。 これまで apex(メンテナンス終了)やserverlessを利用してきましたが、今回はAWSが公式に公開しているAWS SAMを利用する事にしました。
システムマイクラサーバを軽量化して快適動作させる方法 1.17版
最近マイクラサーバを立てる機会があり、低スペック環境で動かすためにいくつか軽量化を行ったのでそのナレッジを公開します。 軽量化前から軽量化後で1/4程度に処理軽減を図ることができました。
システム複数のサービスをリソース増強せずに運用する方法
CELTFの競技サイトを運営していく上で、できる限り低リソースかつ複数のサイトを運用する必要があったので、採用した方法を紹介します。 安定して本番運用するというよりは、立ち上げ当初の小さいサービスを幅広く運営するケースを想定しています。