弊社で開催しているセキュリティハッカソンでは毎年、webアプリなどに対して脆弱性検査を行い発見した個数と影響度を競う大会を開催しています。 今年はIot機器への脆弱性検査も予定していましてIot機器へのアタックするためいろいろ私なりに調べています。 …

先日開催されたセキュリティミニキャンプ in 東北に行ってきました！自分は去年に続き2回目の参加でした。 事前課題 今回のミニキャンプの事前課題として、pcapファイルが渡されました(3問)。これがなかなか難しくて、普段からやっているCTFでは、パケットの…

皆さんこんにちは！ 今回はCODE BLUE 2015 というカンファレンスに学生ボランティアとして参加させていただくことになりましたので、その様子を書かせていただきます。その前にCODE BLUE とは何か、についてなのですが、サイトには、 CODE BLUEとは、世界ト…

iPhoneユーザの半分はiosをアップデートしていないということがセキュリティ企業のDuo Securityが発表しました。

こんにちは。今回はCTF競技というものとIoTの関係性についてまとめてみました。

こんにちは、佐藤です。SECCON 2015 × CEDEC CHALLENGEは8月10日まで募集されていたゲームのクラッキングとチートのチャレンジです。対象アプリは今回はAndroidアプリでした。私がしたチートを書きたいと思います。 [注意]今から書くことを一般のアプリに対…

こんにちは。今回はFormat String AttackでGOTを上書きすることによって、プログラムの通常動作では行われないsystem関数を呼び出してみたいと思います。今回の環境 Ubuntu 14.04 TLS 32bit コンパイル方法 gcc -z execstack foramt_vuln.c -o format_vuln今…

こんにちは。本日は先日ネットで話題になっていたMac OS X Yosemiteにおける深刻な脆弱性について解説をしたいと思います。 みなさんMacを使われている方が多いと思いますので参考にしていただけたらと思います。 概要 これはドイツのセキュリティ企業"Sekti…

今回はksnctfの問題をとこうと思います。 まずq8.pcapというファイルが渡されます。このファイルを開くには、何らかのパケットを解析するツールが必要になります。私は今回はwiresharkという解析ツールを使いました。 ファイルを開いてみると、 Authorizatio…

今回はセキュアプログラミングについての話しです 突然ですが”あなたのソースコードは安全ですか？” という質問に”はい"答えられますか。

こんにちは。最近は、Write upをかけるようなCTFに取り組めていないので、気付いたことについて書いてきたと思います。 私の実家では某社製一般向け家庭用の無線LANルーターを使っています。先日ファームウェアの更新を買って以来(一年近く）怠っていたので…

最近は暑くなり、気温30度を超えたとか聞きます。それにセキュリティ・キャンプ全国大会2015の応募も始まっていますね。 今年に入ってから自分は様々なiPhoneアプリを書いてきたのですが、iOSのWi-Fi自動接続を突いた脆弱性やAFNetworkingの脆弱性とか話題に…

今回は、wechallのhtmlspecialcharsも問題について解説していきたいと思います。

こんにちは、最近バイナリの勉強を始めました。 今回「Teaser CONFidence CTF 2015」に参加したのでそのwrite upを書こうと思っていました。 しかし、reverse問題の”So-easy-100”があったのですが、それを解くことができませんでした。

佐藤です。今回はwechallの問題をやりましたがなかなか面倒で最後まで答えが出せてません。しかし、脆弱性は理解したので書きます。

今日は、今までのCTF人生(それほど長くない)を振り返ってみたいと思います。

こんにちは。今週担当の坂口です。 今回は技術云々というよりは、最近になってやっと気づいてきた事などを書きたいと思います。

こんにちは。 この春休み、自分はSSS(Shacho Sandbag System)のIoT化やミラーボールのIoT化をやってきましたが、ふと脆弱性はないのか不安になりIoT端末の脆弱性について調べてみました。

サイトに飛んでみると入力ホームが現れる。 問題はアラート（XSS）を出すという問題。 そこに入力すると自分が入力したものと同じものがbodyのid=1に追加されていく仕様になっている。 いつも通り最初にこれを試す <script> alert(1) </script> これを入力すると空白がかえっ…

つい先日、SSL/TLSの実装の部分の脆弱性として、「FREAK」というものがでました。 この「FREAK」というのは「Factoring RSA Export Keys」の略で、通信する際のRSA暗号の強度を強いものから弱いものに変更することで、簡単にRSAの暗号を解読し、通信を傍受す…

pythonでコーディングする際、気をつけなければならない関数があります。すべては紹介できませんが一部見ていきましょう。

今日はADCTF2014のlistenという問題について書いていきたいと思います。

こんにちは。 今回はフォレンジックツール「dart」を軽く触ってみましたので、それについて書きたいと思います！

こんにちは。今回は少し問題から離れて、身近に起こっているセキュリティの脅威について少しお話したいと思います。

今回は、wechallにのっている基本的なSQLinjectionの問題を解こうと思います。

今回は、wechallの問題を解こうと思います。 今回は、programmingの問題でTraining: Programming 1 というものをときます。

こんにちは、今回更新が遅れてしまい申し訳ございません。 今回は 第11回東北情報セキュリティ勉強会 - 東北情報セキュリティ勉強会に参加してきました。その内容を問題ない程度に書いていこうと思います。Togetterもありますのでぜひ 第11回東北情報セキュ…

こんにちは、関根です。 今回は日がたってしまいましたが、12/6、7で行われたSECCON Online についてのWriteUpを書いていきます。

あけましておめでとうございます。佐藤です。HellBound Hackerの問題はかなり現実を模した問題が多く気に入っています。今回は実際にありそうなwebサイトを解析し攻撃していく問題です。

今週担当の杉山です。今回はつい最近まで行われていた、Advent Calendar CTF 2014のRotateというCrypt問題についてのwrite upを書いていきたいと思います。