並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 70件

新着順 人気順

CTFの検索結果1 - 40 件 / 70件

CTFに関するエントリは70件あります。 securityセキュリティ技術 などが関連タグです。 人気エントリには 『macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ』などがあります。
  • macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ

    はじめに こんにちは。事業推進部でOffensive Teamを担当する永井です。 先日のApple発表会では新型のiPhoneやApple Watchなど心躍る製品が色々と発表されましたね。筆者は特に新型iPad miniが心に刺さっています。 さて、今回はApple関連の話として「macOSの暗号化zipファイルはパスワード無しで解凍できる」というネタについて書いていきます。 解凍できる条件 何を言っているんだと思われるかもしれませんが、macOSで作られた暗号化zipファイルは以下の2つの条件を満たす場合にパスワード無しで容易に解凍が可能です。 zipの暗号化方式がzipcryptoである (通常の暗号化zipファイルは基本的にzipcryptoが利用されています) zip内のいずれかのディレクトリの中身が.DS_Storeファイルおよび何らかのファイル1つである このうち1.は基本

      macOSの暗号化zipファイルはパスワード無しで解凍できる - NFLabs. エンジニアブログ
    • セキュリティエンジニアを3年続けて分かったおすすめ勉強法

      セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回記載する内容は脆弱性診断やペネトレーションテストに寄った内容となっています。インシデント対応やアナリスト業務などは専門ではないので、あくまで診断系の人が書いているということをご認識おきください。 そもそもセキュリティエンジニアにどのような職種が含まれるかはラックさんが分かりやすい資料を出しているのでそちらをご覧ください(サイバーセキュリティ仕事ファイル 1、サイバーセキュリティ仕事ファイル 2)。 IT初心者時代 セキュリティを学ぶ以前に基礎となるITを学ぶ時代を考えます。 学校教育 学生の場

      • ガチ三流エンジニアが米国マイクロソフトのドリームチームのメンバーになれた話とそのためにやった事 - メソッド屋のブログ

        私は卑下しているわけではなく、ガチでプログラミングの才能が無い。他に才能があるといわれる分野は持っているが、プログラマとしてはガチで三流だ。 そんな私が、今でも夢のようなのだけど、長年あこがれた米国マイクロソフトのドリームチームのポジションを得ることができた。今回はどうやってそのポジションをゲットすることができたかについてシェアしてみたい。 ガチの三流プログラマ 私はガチでプログラミングの才能が無い。プログラミングを始めたのは確か、10歳ぐらいだろうか?だからキャリアはスーパー長い。三流というのは謙遜ではなくて、自分と過去に仕事したことがある人なら知っていることだと思う。私には人より出来ることもある。それはコンサルティングだったり、アジャイルや、DevOps のコーチ、そしてエヴァンジェリストだ。日本のマイクロソフトではプレゼンは必ず上位だった。私は過去を振り返ると、何回もプログラマになろ

          ガチ三流エンジニアが米国マイクロソフトのドリームチームのメンバーになれた話とそのためにやった事 - メソッド屋のブログ
        • TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ

          7/14/20232023年7月14日よりTBS金曜ドラマ『トリリオンゲーム』の放送が始まりました。弊社エンジニアチームは、1話のハッキングシーン作成にIT・セキュリティ技術協力として携っています。本記事では、その背景と詳細を解説します。 『トリリオンゲーム』は起業家とエンジニアの成長物語で、原作からドラマに至るまで、Flatt Security様による的確な技術監修がなされています。このたび弊社は、原作と台本のシナリオに基づいて、 現実的に可能なハッキングシナリオの具体化 詳細が設定されていなかったプログラムの作成 実際のプログラム・コマンドに合わせたセリフ・演技指導 セキュリティチャンピオンシップのルール設定、画面作成支援 を行いました。 金曜ドラマ『トリリオンゲーム』|TBSテレビ 以降、作成した資料や作成の舞台裏をピックアップして紹介します。 ■ 免責事項 本記事は、ドラマ中の技術

            TBS金曜ドラマ『トリリオンゲーム』のハッキングシーン舞台裏 - 株式会社リチェルカセキュリティ
          • SadServers - Linux & DevOps Troubleshooting Interviews

            "Like LeetCode for Linux" Capture The Flag challenges. Train and prove your debugging skills. Practice for your next SRE/DevOps interview. Get a full remote Linux server with a problem and fix it.

            • 【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい

              CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス

                【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
              • メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め

                注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア

                  メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
                • 【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい

                  はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ

                    【2020年】CTF Web問題の攻撃手法まとめ - こんとろーるしーこんとろーるぶい
                  • 22 Hacking Sites To Practice Your Hacking Skills

                    22 Hacking Sites To Practice Your Hacking Skills �8�U Taken from: https://hackerlists.com/hacking-sites/ 22 Hacking Sites, CTFs and Wargames To Practice Your Hacking Skills InfoSec skills are in such high demand right now. As the world continues to turn everything into an app and connect even the most basic devices to the internet, the demand is only going to grow, so it’s no surprise everyone wan

                      22 Hacking Sites To Practice Your Hacking Skills
                    • IME変換中のエンターキーで送信される!への対処法[追記あり] - Classi開発者ブログ

                      [2024年4月25日 追記] Safariの動作について考慮漏れがありましたので、一部追記・編集しました。 新宿にオフィスのあるClassiは、岡山在住の私のような地方在住者だけでなく、いわゆる通勤圏内に在住していてもリモートワークで働いている人が多い会社です。必然的にミーティングはいわゆるオンラインミーティングとなり、主にGoogle Meetが利用されています。 そのGoogle Meetのチャット機能、ここ1週間ぐらい「IMEで日本語に変換のために押すエンターキーで送信されてしまう」という現象が発生しています。このエントリーを読まれている時点では対応しているかも知れませんが、2024年4月22日17時時点ではその現象は続いています(Windowsでは再現しないという情報もあります)。 入力開始 変換して確定のエンターキーを押すと 送信される エンターキーに頼らない日本語入力を頑張り

                        IME変換中のエンターキーで送信される!への対処法[追記あり] - Classi開発者ブログ
                      • 【CTF】OSINT問題で個人的に使用するツール・サイト・テクニックまとめ - Qiita

                        私が OSINT 問題を解いたり作問したりするときに使ったツールを備忘録としてまとめました.随時更新していきます. (本記事は Qiita 記事「普段の調査で利用する OSINT まとめ」をリスペクトして作成されました.) 検索エンジン テキスト検索 サービス名 コメント

                          【CTF】OSINT問題で個人的に使用するツール・サイト・テクニックまとめ - Qiita
                        • ダンジョンを攻略しつつSQLインジェクションの脆弱性について学べるサイト「Lord of SQLInjection」

                          アプリケーションが想定しない文字列を実行することにより、データベースを不正に操作する攻撃はSQLインジェクションと呼ばれ、攻撃によってクレジットカード情報や住所などの重要な個人情報が流出した事例も存在します。「Lord of SQLInjection」は、そんなSQLインジェクションを駆使してダンジョンを攻略していくウェブサイトです。 Lord of SQLInjection https://los.rubiya.kr/ まずはLord of SQLInjectionにアクセスして「[enter to the dungeon]」をクリック。 Lord of SQLInjectionを利用するのは初めてなので「Join」をクリック。 Lord of SQLInjectionで使用するID、メールアドレス、パスワードを入力して「Join」をクリックします。 先ほど登録したIDとパスワードを入力

                            ダンジョンを攻略しつつSQLインジェクションの脆弱性について学べるサイト「Lord of SQLInjection」
                          • 仕事納めだったのでワインのラベルを解読した - ただのにっき(2019-12-27)

                            ■ 仕事納めだったのでワインのラベルを解読した あれは11月の9日だったか、相模大野の酒屋をウロウロしていたら「HACKER」なる見慣れないワインが入荷しているのをかみさんが発見。買って会社に持っていけという。そりゃまぁ、いちおううちの職場はハッカーの巣窟ではあるが。 それにしてもこのワイン、名前といいわざとらしい0と1の羅列といい、ぜったいに何か隠れてるに違いないじゃん。それにしても、ググっても日本語の情報ほとんどないし、なんでこんなの仕入れたんだろう。 というわけで購入して、納会の日にでも持っていこうかということになった。 で、本日仕事納めにつき、簡単な掃除のあとで納会会場(会議室)に持ち込んでみました。なお、味は素直で癖がなく、飲みやすい普通のワインでした。 1. まずはラベルを撮影、OCRにかける 丸いラベルを正面から撮ると周辺の歪みがひどいので、中央から左右に半分ずつ使うつもりで

                              仕事納めだったのでワインのラベルを解読した - ただのにっき(2019-12-27)
                            • パスワードを紛失して開けなくなったZIPファイルを30年越しにクラックした方法とは?

                              CloudflareでCTOを務めるジョン・グラハム=カミング氏が、30年前のZIPファイルをクラックして解読に成功し、その方法についてブログに記しました。 John Graham-Cumming's blog: Cracking an old ZIP file to help open source the ANC's "Operation Vula" secret crypto code https://blog.jgc.org/2024/09/cracking-old-zip-file-to-help-open.html 南アフリカで反アパルトヘイト活動をしていたティム・ジェンキン氏は、かつてアフリカ民族会議(ANC)の暗号化通信システムを構築しました。その通信システムのソースコードはパスワード付きのZIP形式で保存されていたものの、ジェンキン氏はパスワードを忘れてしまったとのこと。

                                パスワードを紛失して開けなくなったZIPファイルを30年越しにクラックした方法とは?
                              • 年始に勉強したい AWS セキュリティのコンテンツまとめ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS

                                こんにちは、臼田です。 みなさん、AWSセキュリティの勉強してますか ? (挨拶 今回はタイトルの通り、時間のあるときにしっかり確認していきたい AWS セキュリティのコンテンツをまとめて紹介します。 この記事では AWS セキュリティを学習するための参考になるコンテンツをまとめますが、AWS という膨大なプラットフォームとセキュリティという広大な領域について、すべての人の需要を満たすことが難しいのは自明の理であります。コンテンツの種類もたくさんあるので以下の 5 編にまとめ、レベル感は初級者から上級者までごちゃまぜでその都度解説していくので、まずは全部眺めてから自身にあったものを選択してください。 AWS とセキュリティの基礎編 詳細を理解しようユーザーガイド編 じっくり読む課題ホワイトペーパー編 積読しないで参考書編 オフェンシブに挑戦編 コンテンツだけをババっと紹介してもいいのですが

                                  年始に勉強したい AWS セキュリティのコンテンツまとめ - builders.flash☆ - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
                                • 学生ホワイトハッカー 競技会で企業技術者圧倒 - 日本経済新聞

                                  サイバー攻撃から情報システムを守る「ホワイトハッカー」の国内競技会で、学生ら若手が企業の技術者を圧倒する場面が増えている。日本最大規模のコンテストでは社会人チームを押しのけ学生チームが優勝。海外で最先端のセキュリティー技術などを積極的に学び力を伸ばす若者が増えているためだ。不足する技術者を渇望する企業も食指を動かし始めた。プロでも難しい課題に挑む「応募者ゼロかもと覚悟していたが……」。201

                                    学生ホワイトハッカー 競技会で企業技術者圧倒 - 日本経済新聞
                                  • CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog

                                    週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF

                                      CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
                                    • Beginners CTF 2020で学ぶWebセキュリティ(入門編)

                                      2020/10/18 @ SECCON Beginners Live

                                        Beginners CTF 2020で学ぶWebセキュリティ(入門編)
                                      • セキュリティ完全初心者がCTF入門して半月が経ちました - ぴーよメモ

                                        記事を開いてくださったみなさんようこそ。 ぴーよです(*- -)(*_ _)ペコリ 年末年始にかけて異様になぜかモチベーションが高くて勢いで前から気になっていたCTFを始めてしまいました。 初心者だった時の気持ちは脱初心者すると忘れてしまうとよく聞くので、覚えているうちにわかったこととか参考にしたものとかを時系列順でまとめておこうと思います。 CTFとは おそらくこの記事を目にしている方の大半は知っていると思いますが一応。 CTFは"Capture The Flag"の略で、『与えられた問題からFlag(旗)をゲットすることを目的とした競技です』みたいなことがググると出てきます。 旗ってなに.....??? 旗っていうのはほんとに旗があるわけじゃなくて、決まった形の答えの文字列*1がいろんな方法で隠されててそれを旗と呼ぶっぽいです。 例えば"FLAG{~}"みたいな形式の文字列がどこかに隠

                                          セキュリティ完全初心者がCTF入門して半月が経ちました - ぴーよメモ
                                        • SECCON Beginners CTF 2020の監視・オペレーションを支える技術 - ポン酢ブログ(β)

                                          LifeMemoryTeamの@atponsです。今回のSECCON Beginners CTF 2020はお楽しみいただけたでしょうか。自分は運営やインフラ整備をしておりました。 今回は、自分が担当していた監視、オペレーション部分の構築回りについて書いておきます。 死活監視 バッジ 今回参加者のみなさんには、このようなバッジを問題に付与して提供しておりました。これによって、問い合わせのオペレーションを削減することを目標に、昨年も取り組んでおりました。バッジでは、そのタスク(問題からフラグを取れたかどうか、サービスに疎通できるかどうか)の成功可否を表示していました。 また、最後にタスクを実行した時間を表示できるようにしていました。このバッジ生成は完全に自作したものです。詳細は死活監視の部分で書きます。 タスクランナー 定期的に実行してその状態を知りたい、という要望にはCI/CDツールを応用

                                            SECCON Beginners CTF 2020の監視・オペレーションを支える技術 - ポン酢ブログ(β)
                                          • CTFで出題されたWebの難問良問解説

                                            @hakatashi (博多市) 2012年ごろ チームEpsilonDeltaで CTFに初参加 現在の所属はTSG 現在もCTFに参加するかたわら CTFの主催・作問を行う TSG CTF GoogleCTF SECCON 得意ジャンル: Crypto, Web, Stego

                                              CTFで出題されたWebの難問良問解説
                                            • 優勝してきたぜ! ハッカーイベント「DEF CON」OSINT CTF体験記 (1/3)

                                              2023年8月に米ラスベガスで開催された、世界的なハッカーの祭典「DEF CON 31」。このDEF CONで催されたOSINT CTF「Recon Village CTF」において、日本のCTFチーム「pinja(ピンジャ)」が優勝を果たした。おめでとう、pinja!! ……と、まるで他人事のように書き始めてみたが、実は筆者もpinjaチームの一員なのである。そこで今回は、実際に難問に挑んだCTFチームのメンバーという視点から、優勝に至るまでの裏側を体験記としてお届けしたい。まだ「CTF」や「OSINT」といったものをよくご存じない方にも、“総合知的格闘技”としての楽しさが伝われば幸いだ。 CTFとは? Recon Village CTFとは?:知的なかけひきを楽しもう まずは「CTF」とはどんな競技なのか、簡単に説明しておこう。 「Capture The Flag(旗取りゲーム)」の頭

                                                優勝してきたぜ! ハッカーイベント「DEF CON」OSINT CTF体験記 (1/3)
                                              • CTF OSINTカテゴリ 入門

                                                2022/08/29(月)に 第30回ゼロから始めるCTF入門勉強会 で発表した資料です。 https://zeroctf.connpass.com/event/257534/ ■ 演習問題について □ 演習問題の画像は下記URLで配布していますのでダウンロードをお願いします https://drive.google.com/drive/folders/1a7QrkI3Twso2Hrv9g7qVmE0k4c65yU5h?usp=sharing □ 演習問題を取り組むにあたっては下記をご準備ください ・ブラウザ: Chrome のインストール ・Chromeの拡張機能『Search by Image』のインストール https://chrome.google.com/webstore/detail/search-by-image/cnojnbdhbhnkbcieeekonklommdnndc

                                                  CTF OSINTカテゴリ 入門
                                                • 情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】 - #FlattSecurityMagazine

                                                  Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします! セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか? 回答者:shopper 回答者:Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか? 回答者:pizzacat83 Q.情シスからセキュリティエンジニアになるには? 回答者:akiym 回答者:moosan63 Q.Flatt Secu

                                                    情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】 - #FlattSecurityMagazine
                                                  • NTT Com グループ セキュリティコンテスト 「ComCTF 2019」 を開催しました | NTT Communications Developer Portal

                                                    はじめまして、技術開発部セキュリティユニットの志村です。 10月・11月に、NTT Comグループの社員を対象としたCTF形式のセキュリティコンテスト「ComCTF 2019」を開催しました。前年度に引き続き2回目の開催となります。私は運営側としてCTFの作問に携わりました。 今回はその模様をお伝えします。 CTFとは CTFとは “Capture The FLAG” の略であり、セキュリティ分野では、セキュリティなどの技術を競い合う競技のことを指します。国内で開催されるCTFとしてはSECCONなどが有名です。 CTFの競技形式にはいくつか種類があります。クイズ形式で様々なジャンルの問題を解いていくJeopardy方式、 自チームの脆弱なサーバを守りつつ他チームのサーバに侵入するAttack&Defenseなどの形式が有名です。ComCTFは大人数が参加しやすいJeorpady方式で行わ

                                                    • GitHub - stuxnet999/MemLabs: Educational, CTF-styled labs for individuals interested in Memory Forensics

                                                      You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                        GitHub - stuxnet999/MemLabs: Educational, CTF-styled labs for individuals interested in Memory Forensics
                                                      • CryptoHack – Home

                                                        A free, fun platform for learning modern cryptography Learn By Doing Learn about modern cryptography by solving a series of interactive puzzles and challenges. Get to know the ciphers and protocols that secure the digital world by breaking them. Level Up Earn points by solving challenges. Finish categories to earn trophies and gain levels to track your progress. Can you reach the top of the scoreb

                                                          CryptoHack – Home
                                                        • オススメの初級者向けCTF - 好奇心の足跡

                                                          今回は CTF Advent Calendar 2020 - Adventar の2日めの記事として、オススメの初心者・入門者向けCTFを紹介します。※Jeopardy形式のみ 私自身、そんなにたくさんCTFに参加できているわけではないですが、参加してみて成長のきっかけになったCTFを紹介できればと思います。最近では常設の wargame と題したCTFと同じコンセプトのgameにも取り組んでいて、これもまた面白いものがあったので紹介。 CTF始めたいけど何から手を付けていいかわからない、紹介されたCTFが難しすぎて全然解けない、ちゃんと基礎からやりたい、みたいな人の目に少しでも留まれば嬉しいです。 CTFとは? CTF TIME オールジャンル picoCTF (競技->常設) CpawCTF (常設) RiceTeaCatPanda (競技->半常設) Web The Lord of

                                                            オススメの初級者向けCTF - 好奇心の足跡
                                                          • ラックグループ内CTF「LACCON 2022」で作問した話 - ラック・セキュリティごった煮ブログ

                                                            こんにちは、デジタルペンテスト部のst98です。 私がこのブログでこれまで投稿してきた記事は、いずれもCTFに参加する側の視点から書いたwriteupでした。本記事では、CTFの問題を作る側の視点に立ってお話をしたいと思います。 弊社では、毎年「LACCON」というラックグループ内CTFが開催されています。このCTFにいくつか問題を提供したので、どのように問題を作ったか、具体的にどんな問題を出題したかといったことをご紹介します。 LACCONとは どんな問題を作ったか [Web 234] Hadena Star (7 solves) 問題の概要 解法 裏話 おわりに LACCONとは 冒頭でも述べましたが、LACCONはラックグループ内で毎年開催されているCTFです。LACCONのもうちょっと詳しい話については、LAC WATCHで公開されている記事がありますので、そちらをご覧ください。

                                                              ラックグループ内CTF「LACCON 2022」で作問した話 - ラック・セキュリティごった煮ブログ
                                                            • Cutter

                                                              We built a powerful multi-platform reverse engineering tool. Cutter's goal is to be an advanced FREE and open-source reverse-engineering platform while keeping the user experience at mind. Cutter is created by reverse engineers for reverse engineers. Powered by Rizin Cutter is using Rizin as its core engine. Thus, allows access to thousands of features via the GUI or by using the integrated termin

                                                              • 「チャレンジングな環境に身を置きたかった」大手IT企業からFlatt Securityへ転職した理由/セキュリティエンジニア 志賀遼太 - Flatt Security Blog

                                                                Flatt Securityではどのようなエンジニアが働いているのか、会社の雰囲気をお伝えするために社員インタビューを実施。今回は世界屈指のCTF強豪チーム「TokyoWesterns」に所属し、0day huntingとしてLinuxやQEMUなどに対して脆弱性を報告するなど、さまざま実績を持つ志賀遼太さんに当社を知ったっきっかけや入社の決め手について聞きました。 志賀遼太(@Ga_ryo_): 早稲田大学基幹理工学部情報理工学科卒業後、早稲田大学大学院へ進学。2016年、修士へ進学する際に大手IT企業でインターンを開始。大学院を中退し、正社員としてジョインする。セキュリティ診断や設計レビューなどを担当。 2020年4月にFlatt Securityへ入社。Flatt Securityでは0day hunting、ペネトレーションテスト、スマートフォンアプリ診断、IoT診断などを担当して

                                                                  「チャレンジングな環境に身を置きたかった」大手IT企業からFlatt Securityへ転職した理由/セキュリティエンジニア 志賀遼太 - Flatt Security Blog
                                                                • 2021年の技術部新卒研修で社内CTFの運営・作問をしました - KAYAC Engineers' Blog

                                                                  こんにちは!2021年技術部新卒研修を担当しました、秦です。社内ではがはくちゃん(5さい)と名乗っています。 2020年に引き続きオンラインベースで行われた技術部新卒研修ですが、今年は後半の部のキックオフとして社内CTFを実施しました。 昨年入社の身で大変僭越ながら、その作問・運営をさせていただいたのでその振り返りを書かせていただきます。 これからCTFの作問をするぞ〜‼でもなにをすればいいかわからないよ〜‼という2ヶ月前のわたしのような元気なエンジニアの方に届けば良いなと思っています(もしくは、エッ……カヤックって新卒研修でCTFなんかやるんだ……と思ってもらえたら良いですね)。 経緯 「今年の新卒研修担当には画伯を拉致します」 わたし「えっ?」 「画伯にはCTFを作ってもらおうとおもいます!」 わたし「えっ??」 「社内にCTF経験者特にいないから画伯だけが頼りです!」 わたし「えっ?

                                                                    2021年の技術部新卒研修で社内CTFの運営・作問をしました - KAYAC Engineers' Blog
                                                                  • CTFはじめました

                                                                    Photo by Shahadat Rahman on Unsplashこんにちは、Finatextグループのナウキャスト(最近HPリニューアルしたのでみてね)でデータエンジニアをしているけびんです。 前回はプログラミングコンテストの中でもアルゴリズムの力を競う競プロのTipsを紹介しました。最近CTFと呼ばれるタイプのコンテストにも興味を持ち始めたので、今回はこちらの紹介をしたいと思います! CTFとはご存知ない方もいると思いますが、CTFは ”Capture The Flag” の略で、コンピュータセキュリティの技術や知識を競うコンテストです。どこかに隠されたFlag( ctf{test} 的な文字列 )を探し出し、それを提出することで得点がもらえます。最終的に獲得した総得点を競います。 ジャンル別紹介いくつかのジャンルについて簡単な紹介と、僕が読んだ参考書を紹介していきます。参考書は

                                                                      CTFはじめました
                                                                    • 隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催

                                                                      隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催:「世界トップレベルのCTFを無償で体験」 NRIセキュアテクノロジーズは、ハッキングトーナメント「NRI Secure NetWars」をオンライン形式で開催する。サイバーセキュリティの知識や経験を活用し、隠されている答えを見つけ出し、時間内に獲得した合計点数を競う。

                                                                        隠されたFlag(答え)を探せ NRIセキュアテクノロジーズがハッキングトーナメントを開催
                                                                      • Kernel Exploitで使える構造体集 - CTFするぞ

                                                                        はじめに Kernel Exploitを勉強し初めて2ヶ月ほどが経ちました。 やっていて思うのは、カーネルランドのUAFやヒープオーバーフローなどは非常に強力だということです。 しかし、脆弱なドライバが提供する機能以外に、カーネルや他のドライバが提供する機能を利用することが多いので、多くの知識が無いと上手く攻撃できなかったり、成功確率が下がったりします。 例えばkUAFはとても便利なのですが、UAF対象のオブジェクトのサイズが固定の場合は、kmallocでサイズが一致してかつ「使える」オブジェクトを探す必要があります。 この記事では、そのような「使える」オブジェクトをまとめようと思います。 といっても私はKernel Exploitに関しては素人なので間違いが多いかもしれませんし、定石みたいなものを見逃しているかもしれません。 間違っている部分の指摘や、他に知っているオブジェクトがあれば是

                                                                          Kernel Exploitで使える構造体集 - CTFするぞ
                                                                        • DenCode | エンコード&デコード オンラインツール

                                                                          アクセス解析 当サイトでは、アクセス解析サービス(Google Analytics)を利用して、アクセス解析を行っています。 このようなアクセス解析ツールは、トラフィックデータを収集するために、Cookieを使用しています。 詳しくは Google のサービスを使用するサイトやアプリから収集した情報の Google による使用 – ポリシーと規約 – Google をご確認ください。 広告 当サイトでは、第三者配信の広告サービス(Google AdSense)を利用して、第三者配信事業者や広告ネットワークの配信する広告をサイトに掲載しています。 このような広告サービスは、ユーザーの興味に応じた商品やサービスの広告を表示するために、Cookieを使用しています。 詳しくは 広告 – ポリシーと規約 – Google をご確認ください。

                                                                            DenCode | エンコード&デコード オンラインツール
                                                                          • CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは

                                                                            CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは:CTF問題から学ぶセキュリティ基礎知識(1) 情報セキュリティの技術を競うコンテスト「CTF」の問題から情報システムの仕組みやセキュリティを理解する連載。初回は、「攻撃者は機密情報ファイルのURLをどうやって特定したのか?」という問題について解説します。 CTFから何を学ぶか 近年、テレワークの普及やデジタルトランスフォーメーションの促進により、あらゆる業務が情報システムに移行しつつあります。それらの情報システムを扱う全ての人にとって、セキュリティ知識はなくてはならないものです。一従業員にも容赦なくマルウェアが添付されたメールが届きますし、ささいな操作ミスでも重要な情報が全世界に漏えいする可能性があります。個人のSNS利用が重大なセキュリティ違反を起こす場合もあります。 ところで読者の皆さんは「CTF(

                                                                              CTF問題「攻撃者は機密情報ファイルのURLをどうやって特定した?」から学べる知識とは
                                                                            • 世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは?【Masato Kinugawa × 志賀遼太】 - #FlattSecurityMagazine

                                                                              トレンドマイクロが運営する脆弱性発見コミュニティ「Zero Day Initiative」(ZDI)が主催しているバグバウンティコンテスト「Pwn2Own」。対象となるプロダクトの0-day脆弱性を発見し、エクスプロイトに成功すると高額賞金を手に入れることができるという世界最大規模のコンテストで、2007年から毎年開催されています。 今回は、日本からPwn2Ownに出場し実績を残したMasato KinugawaさんとFlatt Security 執行役員 プロフェッショナルサービス事業CTOの志賀遼太の2人に、Pwn2Ownの魅力やコンテストの舞台裏について語り合っていただきました。 プロフィール Masato Kinugawaさん XSSが好き。Pwn2Own winner (Vancouver 2022)。 2016年よりCure53で脆弱性診断。 X: @kinugawamasat

                                                                                世界最大規模のバグバウンティコンテスト・Pwn2Ownの魅力とは?【Masato Kinugawa × 志賀遼太】 - #FlattSecurityMagazine
                                                                              • JVNVU#91973538: OpenSSL における暗号通信を解読可能な脆弱性 (Raccoon Attack)

                                                                                OpenSSL 1.0.2w より前の OpenSSL 1.0.2 系のバージョン なお、開発者によると、OpenSSL 1.1.1 は本脆弱性の影響を受けないとのことです。 OpenSSL Project より、OpenSSL Security Advisory [09 September 2020] が公開されました。 深刻度 - 低 (Severity: Low) Raccoon Attack の問題 - CVE-2020-1968 Diffie-Hellman 鍵交換を行うプログラムを使用した場合、中間者攻撃が可能な環境で TLS ハンドシェイク時に使用する pre-master secret が解かれ、サーバとクライアント間でやり取りされる通信内容を解読される (Raccoon Attack) 可能性があります。 アップデートする OpenSSL 1.0.2 はサポートが終了して

                                                                                • Kubernetes のセキュリティを学べる kubectf を作った

                                                                                  この記事は GMO ペパボエンジニア Advent Calendar 2020 の12日目の記事です。 昨日は @takutaka さんの 「Kubernetes Custom Controller を手抜きで作る技術」でした。 CRD や Custom Controller を作る際に役立つ情報が載っていて良い記事ですね。 さて、最近私は Open Policy Agent を触ることが多いので、それについて書こうと思っていたのですが、せっかく会社の Advent Calendar なので少し業務でやったことを書こうと思います。 私は GMO ペパボのセキュリティ対策室という部署で、サービスを横断してセキュリティ対策の基盤作りをしています。 セキュリティ対策と一口に言っても、その内容は多岐にわたりますが、エンジニアのセキュリティレベルの向上支援も業務のひとつです。 例えば年に一度はセキュ

                                                                                    Kubernetes のセキュリティを学べる kubectf を作った

                                                                                  新着記事