キュアセブン考えます

考えたこと,学んだことを書きます

セキュリティコンテストで何をしていたのか

前回の記事が微妙に未完成のままアップしていたのでその続きから。

後半は話題になった友利奈緒ちゃんが文部科学大臣賞を受賞したセキュリティコンテストについて。

開発したいもの

 

偽トロキャプチャの自作。偽トロキャプチャとはみんな大好き任天堂のDSをキャプチャするハードのこと。DSはそもそもテレビ非対応なんだけど、一般の人が制作したキャプチャ用のハードを買えば大画面でできるわけだ。一般の人が作ったならできないことはなさそう。以前偽トロキャプチャを自作してみたなる動画を発見したことがあるのでそれみたりしながら。

 
 iPhoneのアプリとしては、音量調節機能がほしい。LINEやSkypeでイヤホンを装着した状態で通話をしながら音楽が流せるのはご存知の方も多いだろう。その音楽は相手方には聞こえない。同時再生しかし通話の音量と音楽の音量のバランスを調整できないのだ。相手のマイクの性能によっては音楽で何言ってるのか聞き取れず、やむをえず音楽を聴くのを諦めることになる。逆に相手のノイズがすごい時に音量を小さくすると音楽が全く聞こえなくなったりする。
 まだ試したことはないが、通話しながら、音楽をききながら、ガルパンアプリをする、そんなことをする機会があるかもしれない(通話する気ない)。そんな時も各々のサウンドの調節をすることで快適に人の話をスルーすることができる聖徳太子になることができる。
 
 

セキュリティコンテスト SECCON2015

 われらが友利奈緒ちゃん受賞おめでとうございました。あの絵面は草はえる。ああいうネット最強マンとかがコスプレをするからこそキチガイ感でて面白いんじゃんね。誰もが認める友利奈緒レイヤー4人組だと思います。彼ら彼女はあの格好で何をしていたのだろうか。

Webアプリに存在する、「クロスサイトスクリプティング」、「SQLインジェクション」、「ディレクトリトラバーサル」、「OSコマンドインジェクション」の脆弱性を探しだして、どのパラメータにそれが存在しているかを回答してもらう、という内容

うおwww

クロスサイトスクリプティング(XSS)

 脆弱なWebサイトを踏み台に悪意あるプログラムを訪問者に送り付けること。

SQLインジェクション

 データベースと連動したWebサイトのデータベースを不正に改ざんすること。

ディレクトリトラバーサル

 ファイル名を扱うソフトに特殊なm文字列を送ることで本来見ることができないはずの内容を見ること。

OSコマンドインジェクション

 WebサイトでOSへの命令文を紛れさせ遠隔からサーバを乗っ取って不正に操作すること。

 以上だ。内容はわかったがどうしたらそれが探し出せるかはさっぱりであるなあ

 

参照:セキュリティコンテストでCharlotteの友利奈緒が文部科学大臣賞受賞www どうなってんのwww : はちま起稿

SECCON 2015 決勝大会が開催されました! | ラック公式ブログ | 株式会社ラック

 
あとがき
今は見たまま編集で書いてるけど、htmlにしてソースを見せてくれてるのが熱い。記事を書いてソースを見直すことでうまくhtmlの勉強になればと思う。