掲題の通り Vagrantのprivate_keyを使って外部からssh接続しようとしたらパーミッションが違うよと怒られた。 $ssh -i private_key -l vagrant 192.168.1.8 @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: UNPROTECTED PRIVATE KE…

掲題の通り、自分のメモ書きとして残す。 やったこと firebaseに対して以下の様なアプリを立てた const functions = require('firebase-functions'); const express = require('express'); const app = express(); app.get('/redirect', (req, res) => { res…

経緯 なぜ今このContent-TypeヘッダのCharsetでのXSSに言及しているかというと IPAで公開されている安全なウェブサイトの作り方による資料でこの項目が今だにフォローされているからだ。 この項目が令和となった現在もフォローが必要なのか検証していきたい…

自分の地域ではネットワーク障害があったため2時間だけ開催されたが、1問だけ解くことができました。 力技のWriteupが多かったので解説を自分も書くことに。 bREInWAck (Misc) Brainfuck問題 以下は問題とヒント 元号が変わる。記号も変わる。 参考: https:/…

今頃の更新ですが、先日OWASP Connect#2に参加して登壇してきました。 その際に作った資料と環境のまとめです。 OWASP Connectとは >OWASP Connectは、OWASPという名前は聞いたことあるけれどもどのようなものか全くわからない、どのように活用すべきかわか…

今回のテーマ「CSRF完全に理解した」 https://security-testing.doorkeeper.jp/events/85711 なんともタイトル詐欺っぽい笑 CSRF、、、これ診断員でも攻撃ができるできないでよく話に上がるんですよねぇ。 結局ここに 書いてある事が全てだったりそうでなか…