セキュリティコンテストで何をしていたのか
前回の記事が微妙に未完成のままアップしていたのでその続きから。
後半は話題になった友利奈緒ちゃんが文部科学大臣賞を受賞したセキュリティコンテストについて。
開発したいもの
偽トロキャプチャの自作。偽トロキャプチャとはみんな大好き任天堂のDSをキャプチャするハードのこと。DSはそもそもテレビ非対応なんだけど、一般の人が制作したキャプチャ用のハードを買えば大画面でできるわけだ。一般の人が作ったならできないことはなさそう。以前偽トロキャプチャを自作してみたなる動画を発見したことがあるのでそれみたりしながら。
セキュリティコンテスト SECCON2015
われらが友利奈緒ちゃん受賞おめでとうございました。あの絵面は草はえる。ああいうネット最強マンとかがコスプレをするからこそキチガイ感でて面白いんじゃんね。誰もが認める友利奈緒レイヤー4人組だと思います。彼ら彼女はあの格好で何をしていたのだろうか。
Webアプリに存在する、「クロスサイトスクリプティング」、「SQLインジェクション」、「ディレクトリトラバーサル」、「OSコマンドインジェクション」の脆弱性を探しだして、どのパラメータにそれが存在しているかを回答してもらう、という内容
うおwww
脆弱なWebサイトを踏み台に悪意あるプログラムを訪問者に送り付けること。
データベースと連動したWebサイトのデータベースを不正に改ざんすること。
ファイル名を扱うソフトに特殊なm文字列を送ることで本来見ることができないはずの内容を見ること。
WebサイトでOSへの命令文を紛れさせ遠隔からサーバを乗っ取って不正に操作すること。
以上だ。内容はわかったがどうしたらそれが探し出せるかはさっぱりであるなあ
参照:セキュリティコンテストでCharlotteの友利奈緒が文部科学大臣賞受賞www どうなってんのwww : はちま起稿
SECCON 2015 決勝大会が開催されました! | ラック公式ブログ | 株式会社ラック