【2019年】CTF Web問題の攻撃手法まとめ (Web問題のwriteupぜんぶ読む) - こんとろーるしーこんとろーるぶい
CTF Advent Calendar 2019 - Adventarの25日目の記事です。 1つ前は@ptr-yudai氏の2019年のpwn問を全部解くチャレンジ【後半戦】 - CTFするぞでした。 はじめに 対象イベント 問題数 読み方、使い方 Cross-Site Scripting(XSS) SVGファイルを利用したCSPバイパス GoogleドメインのJSONPを利用したCSPバイパス サブリソース完全性(SRI)機能を利用した入力チェックバイパス Chrome拡張機能のパスワードマネージャーKeePassの悪用 HTML likeコメントを使用したコメントアウト jQuery.getJSONのJSONP機能を使用したスクリプト実行 DOM Clobberingによるコードハイジャック Service Workerを利用したスクリプト実行 XSS Auditor機能のバイパス
CTFで学ぶ脆弱性(スタックバッファオーバーフロー編・その1) | NTTデータ先端技術株式会社
Tweet 注意事項 本コラムに記載されている内容を、自身の管理外もしくはこのような行為を許可されていないコンピューターに送ると攻撃とみなされ、場合によっては犯罪行為となる可能性があります。そのため、記事の内容を試す際には自らの管理下、または許可されたコンピューターに対してのみ実施するようにしてください。 はじめに 日々、さまざまなソフトウェアの脆弱性が発見されています。攻撃者は発見された脆弱性を悪用して攻撃するためのexploitと呼ばれるコードを開発しています。 本コラムでは、脆弱性を悪用する流れや、それを元に攻撃の成功を妨害するための防御機能などについて解説します。今回は下記内容を取り上げて解説します。 【脆弱性】スタックバッファオーバーフロー 【防御機能】ASLR 【攻撃手法】ret2esp 本コラムの目的は、脆弱性を過剰に怖がるのではなく、攻撃を正しく理解して適した対処を考えるた
DEFCON CTF 本戦 - 生きたい
shinhさんがこんな記事を書いてたので、それに習って僕も書いてみる。 shinh.hatenablog.com ルールとかが変わったみたいな話は流石にもう有名だと思うので、詳しく解説はしないけど、まあ雰囲気とかは練習にCGC形式の問題解いた動画あるので、それ見るといいかもしれない。 www.youtube.com slackのログとかを元に出来るだけ時系列で書きつつ、僕は何をしていたかということを書いていきたい 準備 6/26 legitbsのブログで2016年のDEFCON本戦はCGCの形式を用いることが発表される。「パッチ適用してバイナリ提出したら次のラウンドでそのバイナリ他のチームに完全公開されるのやばない?」「難読化しないと差分ですぐpatchバレそうだね」「バックドアが必要かもしれない」という話をする(伏線)。後スコアリング意味不明すぎるなという感想。legitbsとDARPA
DEFCON CTF 本戦 - 兼雑記
binjaの現地枠がギリギリ空いてそうだったので、入れてもらいました。思ったことは、みんなすごいなあ、ということと、これしんどいなあということ、ルールはともかくみんなでわちゃわちゃやるの楽しいなということ、あとまあなんと言っても俺ふがいないな、ってことでした。 今回はCTFの前日に優勝賞金2億円のDARPA主催のCyber Grand Challenge(以下CGC)というのが行なわれ、それで優勝したAIを含めて15チームで同じフォーマットで競う、という趣旨でした。CGCはELFベースにABIを簡略化してあり、いつものようにシェルコードを実行するまではやる必要がなく、 type 1: EIPを指定されたところに飛ばす type 2: 特定のアドレスにある、フラグページから4byte取り出す のいずれかを達成すればOK、というルールでした。 準備 準備の段階では、 bjmit という名前でバ
社会人のための趣味CTFまとめ
DEFCONにセキュキャン… 夏の日差しのように若きセキュリティ人材の活躍が眩しい今日この頃、職場や家族の冷ややかな視線を背中に受けながら、冷房いらずでフラグを探している社会人趣味CTF初心者の皆様、いかがお過ごしでしょうか。 通勤時間を使いスマホの小さな画面でwriteupを読み、なんとなく理解したようでも、いざ実戦となると歯も立たず…。 鬼の居ぬ間に過去問を解いてみても、それが直接得点になるわけではないのでモチベーションが続かない…。 だからといって、易々と教えを乞うのはプライドが許さない…。 社会人趣味CTF初心者が、小さな小さな人権と、問題を解いた大きな喜びを得るには、当然ながら「自分で問題を解く」しかありません。 そこで、社会人でもスキマ時間を使って参加でき、さらにランキングがあってモチベーションが維持しやすい常時開催されているタイプのCTFを、私の主観を交えてまとめてみました。
SECCON 2015
6月8日(水)Interop Tokyo 2016内で事業開始式を執り行い、2016年度の概要やスケジュール、スポンサーを発表いたしました。同時に「SECCON 2016」のWebサイトを公開いたしました。 まだまだ"工事中"が多いのですが、徐々にアップデートを実施し、更新してまいりますので、しばらくお待ちください。 SECCON2016サイトおよび2016年スケジュール、スポンサー一覧はこちら http://2016.seccon.jp/ SECCONメールマガジン登録はこちらから↓ ※2015年以前に登録いただいた方も再登録が必要となります https://frm.f2ff.jp/form/seccon_ml/ CTF for GIRLSは6月24日(金)、CTFの中でもフォレンジック分野に焦点を当てた 女性向けCTFワークショップを開催いたします。 ■開催内容 日 程:2016年6
業界をリードするサイバーセキュリティプラットフォーム
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
SECCON CTF 2014決勝戦・全国大会カンファレンス
■ SECCON CTF 2014決勝戦・全国大会カンファレンス 2015年2月7日と8日に開催される「SECCON CTF 2014決勝戦」では58ヶ国、累計4186人の中から、各予選を優秀な成績で勝ち進んだ全24チームが一堂に集まり、その実力を競い合います。決勝戦には日本から13チーム、米国・韓国・中国・台湾・ロシア・ポーランドから11チームが参加します。世界のCTFランキングで1位のポーランドのチーム『Dragon Sector』や、DEF CON CTFで2年連続優勝の米国のチーム『PPP』も来日します。東京で世界レベルのハッキング対決が繰り広げられる予定です。 なお、CTF決勝戦の会場と併設された大ホールでは、一般の方も広くご来場いただける情報セキュリティに関するカンファレンスを併催いたします。会場内では、独立行政法人 情報通信研究機構(NICT)の協力によりCTF決勝戦の競技の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自動化された攻防戦 「CGC」 が 2 億円の賞金以上に与えたインパクト | ScanNetSecurity