OWASP Night 19th
2015/10/19 19:00-20:30
久しぶりの更新。OWASP Night 19th に行ってきたのです。
ですので、個人的備忘録。
Capterは以下。
1.Webシステム/Webアプリケーションセキュリティ要件書2.0
2.OWASP Global AppSec USA 2015
3.IETFとOSS
4.OWASP プロジェクトを使ってみた
2015年10月19日月曜日
2015年7月30日木曜日
OWASP Night 18th
OWASP Night 18th に参加したので備忘録。
今回の内容:
1. Outreach Activities + α
2. Hardening Project
3. ざっくりわかるインシデントレスポンス
4. アプリケーションセキュリテイ検査・検証の標準化
今回の内容:
1. Outreach Activities + α
2. Hardening Project
3. ざっくりわかるインシデントレスポンス
4. アプリケーションセキュリテイ検査・検証の標準化
2015年7月28日火曜日
Android Stagefright
Android の Stagefright に関する脆弱性が騒ぎになっているので、
自分なりの備忘録。
1. 概要
・Google Hangouts、Google Messenger を使っている場合、SMS / MMS で
ビデオメッセージを受信することで任意のコードが実行される
・影響を受けるバージョン Android 2.2 Froyo 以降
・メディアエンジン Stagefright の脆弱性
・現時点(2015/07/28)でセキュリティパッチの提供はなし
2. SMS/MMS 受信時にコード実行を抑止する方法
・Google Hangouts を使ってる人。
Setting - SMS - Auto retrieve MMS のチェックを外す。
・Google Messenger を使ってる人。
Setting - Advanced - Auto-retrieve のチェックを外す。
・Galaxy S6 を使ってる人。
Go to Messages app - More - Settings - More settings - Multimedia messages - Auto retrieve
の項目をオフにする。
3. 研究者が報告したCVE(未公開
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
参考サイト:
・The 'Stagefright' exploit: What you need to know
・How to Protect Your Android Device From Stagefright Exploit
自分なりの備忘録。
1. 概要
・Google Hangouts、Google Messenger を使っている場合、SMS / MMS で
ビデオメッセージを受信することで任意のコードが実行される
・影響を受けるバージョン Android 2.2 Froyo 以降
・メディアエンジン Stagefright の脆弱性
・現時点(2015/07/28)でセキュリティパッチの提供はなし
2. SMS/MMS 受信時にコード実行を抑止する方法
・Google Hangouts を使ってる人。
Setting - SMS - Auto retrieve MMS のチェックを外す。
・Google Messenger を使ってる人。
Setting - Advanced - Auto-retrieve のチェックを外す。
・Galaxy S6 を使ってる人。
Go to Messages app - More - Settings - More settings - Multimedia messages - Auto retrieve
の項目をオフにする。
3. 研究者が報告したCVE(未公開
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
参考サイト:
・The 'Stagefright' exploit: What you need to know
・How to Protect Your Android Device From Stagefright Exploit
2015年7月14日火曜日
Android Custom ListView setOnItemClickListener
ListView をカスタマイズした際のデータの取得方法を備忘録。
完成図は以下。
B 列をクリックした際に「2」をトーストする処理。
完成図は以下。
2015年6月14日日曜日
2015年6月1日月曜日
Android FragmentTabHost
Android の FragmentTabHost についての備忘録。
個人的テンプレをば。
ファイルは以下
・MainActivity.java
・activity_main.xml
・fragment1.xml
・Tab1Fragment.java
個人的テンプレをば。
ファイルは以下
・MainActivity.java
・activity_main.xml
・fragment1.xml
・Tab1Fragment.java
2015年5月20日水曜日
OWASP ZAP モード選択
OWASP ZAP のモード選択についての備忘録。
モード選択の位置は、下図の赤枠部分。
日本語マニュアル(https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit)を読んでも意味がよくわからなかったので自分なりにまとめ。
モード選択の位置は、下図の赤枠部分。
日本語マニュアル(https://docs.google.com/file/d/0B1e1Cma1GUllazNUNVp6OWdGYzg/edit)を読んでも意味がよくわからなかったので自分なりにまとめ。
2015年5月17日日曜日
Burp Suite v1.6.01 Free Edition
2015年4月29日に Free 版がアップデートしていたので備忘録。
公式については以下。
今回の対応はあくまでバックポート。
v1.6.17 Professional で適用されたセキュリティ関連の修正。
サイトの末尾に書いてある通り、BugFix 以外は v1.6 Free から変更はないとのこと。
内容としては2つ。
・プロキシはデフォルト通信で、任意のProxy-* ヘッダーを受信してます。
で、ブラウザは時々プロキシサーバーに対する情報をリクエストヘッダーに付けて送信してます。
悪意あるWeb サイトは、このヘッダーに含まれる機密情報を送信するよう誘導できる攻撃手法が存在しているらしい。
・クロスドメインリダイレクト時の Bug を修正。
リダイレクト時に基のリクエストの Cookie を送信するようにしました。
でも、状況次第では信頼できないドメインにクッキー情報が送信されるリスクがあるよ。
1つ目の内容については、つまり Proxy-* ヘッダーは送信されないようになった?
ということだろうか??
2015年5月16日土曜日
Android DialogPreference TimePicker
Android で Preference に時間を設定するものがなかったので備忘録。
基本的に自作しなければならないらしい。
イケテナイけど形になったので log を残す。
環境:
Android Studio 1.2.1.1
OS X Yosemite 10.10.3
完成図:
基本的に自作しなければならないらしい。
イケテナイけど形になったので log を残す。
環境:
Android Studio 1.2.1.1
OS X Yosemite 10.10.3
完成図:
2015年5月11日月曜日
2015年5月8日金曜日
2015年5月7日木曜日
Burp Suite Suite Options: Macro Editor 翻訳
Burp Suite の Help の和訳。
Suite Options: Macro Editor 部分について
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
Suite Options: Macro Editor 部分について
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
2015年5月5日火曜日
Burp Suite Macros
Burp Suite の Macros の備忘録。
Macros 配下の英文をなんとなく訳すと
マクロは、一つ以上のリクエストを順番に処理することが可能です。
CSRFトークンを取得、アプリケーションへのログインなどのタスクを実行するために、Session Handling Rules内のマクロを使用することができます。
マクロは、一つ以上のリクエストを順番に処理することが可能です。
CSRFトークンを取得、アプリケーションへのログインなどのタスクを実行するために、Session Handling Rules内のマクロを使用することができます。
2015年5月3日日曜日
XAMPP Linux tomcat 連携
lampp に tomcat を連携したので備忘録。
war をデプロイしたかっただけともいう。
環境:
Apahe 2.4.10
Tomcat 8.0.21
war をデプロイしたかっただけともいう。
環境:
Apahe 2.4.10
Tomcat 8.0.21
2015年4月30日木曜日
Burp Suite Extender ParameterGetter
自分で作ったExtender の備忘録。
Request からパラメータの名前と値をclipboard にコピーするもの。
ソースコードは以下。
https://github.com/toukato/ParameterGetter
Request からパラメータの名前と値をclipboard にコピーするもの。
ソースコードは以下。
https://github.com/toukato/ParameterGetter
2015年4月27日月曜日
Burp Suite Macro Check Session is Valid
Burp Suite の Macro についての備忘録。
「Check Session is Valid」の設定について。
「Check Session is Valid」の設定について。
Burp Suite Macro Check Session is Valid 和訳
Burp Suite の Macro についての備忘録。
「Check Session is Valid」の和訳。
Burp Suite のHelp の和訳は以下。
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
「Check Session is Valid」の和訳。
Burp Suite のHelp の和訳は以下。
※ 英語力がない人間がGoogle翻訳を使用して訳しているので注意
2015年4月23日木曜日
Burp Suite Extender AutologgerPlus
自分で作ったExtender 用の備忘録。
log 取り忘れ防止その2。用途があるかもと思ったけど、実はないかも。
AutoLogger との違いは、Spider, Intruder, Scanner の通信を別で保存する。
ソースコードは以下。
https://github.com/toukato/AutoLoggerPlus
log 取り忘れ防止その2。用途があるかもと思ったけど、実はないかも。
AutoLogger との違いは、Spider, Intruder, Scanner の通信を別で保存する。
ソースコードは以下。
https://github.com/toukato/AutoLoggerPlus
Burp Suite Extender Autologger
自分で作ったExtender の備忘録
log の取得忘れのために作ったExtender。
使い方は、Extender に追加するだけ。
ソースコードは以下。
https://github.com/toukato/autologger
log の取得忘れのために作ったExtender。
使い方は、Extender に追加するだけ。
ソースコードは以下。
https://github.com/toukato/autologger
2015年4月21日火曜日
Burp Suite Extender IntruderSqlChecker
自分で作ったExtenderの備忘録。
Intruder の結果から、SQL Injection を見落とさないようにつくった静的解析ツール。
Intruder attack の Status, Lengthの結果からOK, NGを判定する。
ソースコードは以下。
https://github.com/toukato/IntruderSqlChecker
Intruder の結果から、SQL Injection を見落とさないようにつくった静的解析ツール。
Intruder attack の Status, Lengthの結果からOK, NGを判定する。
ソースコードは以下。
https://github.com/toukato/IntruderSqlChecker
2015年4月15日水曜日
Ubuntu クライアント HTTP アクセス
個人的にはまったのでメモ。
UbuntuにクライアントからHTTPでアクセスする方法。
1時間くらい調べた結果、あっさり解決。
ブリッジモードで1発でした。
でも、これだけだとアレですので。ブリッジ以外の方法を備忘録。
1時間くらい調べた結果、あっさり解決。
ブリッジモードで1発でした。
でも、これだけだとアレですので。ブリッジ以外の方法を備忘録。
2015年4月13日月曜日
2015年4月10日金曜日
登録:
投稿 (Atom)