いやー唐突ですが仮面ライダーゼロワン面白いですね。僕は毎週楽しみにしています。 登場人物では或人君や不破さんも好きなんですが、1000パーセント1000パーセント連呼するZAIAの天津垓社長も好きです。毎回大活躍で見てるだけで楽しいです。特に必殺技JACK…

先日、Goole Chromeの新機能としてTrusted Typesという機能がアナウンスされました。これは、DOM Based XSSを防ぐために実装された機能です。 https://developers.google.com/web/updates/2019/02/trusted-types 本エントリでは、Trusted Types実際に試して…

これまで、CMSってWordPressくらいしか触ったことない＆脆弱性スキャナもWPScanくらいしか知らなかったので、情報収集がてら検証してみた。 昨年末に検証したログを記録として残しておく。1 対象のCMSと脆弱性スキャナ 選定基準は以下のとおり。 CMS製品はシ…

最近やった検証で、VirtualBoxのゲストOS同士で通信させる必要があったので調べて設定したのでそのメモ。 なんか調べたら内部ネットワークに設定するとか色々出てきて、どれが目的に合うか分からなかったので、今回やった方法を残しておく。ゲストOSは2台で…

3DESに関して最近確認したことなどを記述します。 システムを運用する方、脆弱性を調査する方などに参考にしていただければ。 背景 2016年8月に、3DESおよび64ビットのブロック暗号に対するSWEET32攻撃が報告されました。 このOpenSSLのブログでは、3DESの強…

この前HDDを片付けていたら、昔作ったBurp SuiteのExtensionを発掘したのでアップしました。github.com 概要 Proxy HistoryのComment列にタイトルを表示する拡張です。 Burp SuiteのUIはLatin1(ISO 8859-1)で作られているようで、日本語などは文字化けします…

タイトルの通りのものを作ったので公開しておきます。 すでにGithubに上げているので、ここでは簡単な説明だけ。 概要 タイトルの通り、Burp suiteからsqlmapコマンドを生成する拡張です。少ない手順でsqlmapを実行できます。 Burp suiteにはSQLiPyなど優秀…

2015年2月にHTTP2がRFC化された。これから普及が進むことが期待される。既にいくつかのクライアントやサーバはHTTP2に対応しており、対応アプリケーションは、以下のGitHubでまとめられている。*1 http2/http2-specgithub.com HTTP2では、バイナリプロトコル…

IPv6のサーバに対して検証をする機会があって、コマンドとかIPv4とは勝手が違う部分があって苦労している。 あまりまとまっているページが見当たらなかったので、調べた内容を把握する範囲でメモしておこう。 基本的には、クライアントはLinux環境を想定して…

Burp suiteのリクエスト/レスポンスからコピペするとマルチバイト文字が文字化けしてしまう問題について、Burp Extenderで試作してみた。 ニッチなところに需要があるかもしれないので、まずは、ひっそりと置いておきます。 なお、お約束として、動作を保証…

セキュリティ界隈でOpenSSLのHeartbleed(CVE-2014-0160)が話題になっている。 サーバからの情報漏洩がクローズアップされており、対策が進んでいるようだけど、一方でクライアントを攻撃できる「リバースHeartbleed」脆弱性がある。 Android 4.1.1のリバース…

ずっと投稿してなかったけど、ふと書きたい内容ができたので、これを機にはてなブログに移行しました。 ネタを思いついたら書こうと思います。

先日、Android用にBluetoothキーボードを買った。 用途は、外で打ち合わせ時にメモしたいときに使う予定。*1 買う前に動作情報を調べたが、僕が買ったキーボードについてはあまり情報がなかったので検証結果をまとめておく。 これから買う方の参考になればあ…

ちょっと前にioPad5を購入。うちのioPad5。壁紙はドラクエ25周年展示会に置いてあったメタルスライム。購入した経緯は……なんだっけ、いじくり回せるAndroid端末が欲しかったので探していたら、リーズナブルな値段(≒壊れてもあまり惜しくない)で置いてあった…

トセブロと申します。なんとか生きてます。 さて、気が向いたときにブログでも書いてみようと思う。 こういうのってあまり続いた試しがないんだけど、書いてるときは楽しいので、やってみますか。