試運転ブログ

技術的なあれこれ

cosign実行時のやりとりを覗いてみた

cosign のコマンドを実行した時に、sigstore関連のサーバにどういったリクエストが飛ぶのかが気になり調べてみました。 $ cat test-result.json {"passed": true} $ COSIGN_EXPERIMENTAL=1 cosign attest --type 'https://example.com/TestResult/v1' --pred…

Golangのjson.Unmarshalとjson.Decoder.Decodeの違い

Golang標準のjsonパッケージでは、jsonをstructに展開する方法として、 json.Unmarshal という関数と、 json.NewDecoder でデコーダを生成し、 Decode 関数を呼ぶ方法がある。 インターフェイスは、 func Unmarshal(data []byte, v any) error func NewDecod…

in-toto attestation の仕様とcosignでの使われ方

はじめに anchoreのsyftが最近対応したattestationの出力 に使われている in-toto attestation format の仕様を調査をしたので、備忘録としてまとめておきます。 調べながらの記述となっており、不正確な情報も含まれているかもしれないです。何か気づいたこ…

ローカルでhttpsサーバの立て方

コールバックなどの関係で今使っているドメインをそのまま使って、手元の変更をすぐに確認したい場合などに、ローカルでhttpsサーバをたてて静的なサイトを用意したいことがありました。Mac OSでGoogle Chromeでの確認の仕方を備忘録として必要なコマンドを…

AWSIoTPythonSDK のshadowGetで subscribeTimeoutException がおきた話

Greengrass上で実行されるアプリケーションの開発中に目にした、Device Shadowを取得の挙動について備忘録として記録に残しておきます。 AWS IoT CoreのMQTT topicsやDevice Shadowのことをある程度知っていると理解しやすいかと思います。 何かしら間違った…

AWS ConsoleのMFAにYubikeyを使えるようになったので雑に調べた

朝Twitterを眺めていたら以下の記事を見かけました。 Sign in to your AWS Management Console with YubiKey Security Key for Multi-factor Authentication (MFA) AWSのコンソールのログインにYubikeyをMFAとして使用できるようになったようです。 サクッと…

CyberRebeatCTFに参加した

2018/9/8 ~ 9/9 で開催されていたCyberRebetCTFにソロで参加していて完走できました。 ennach.sakura.ne.jp 結果は全問とけたので1/147位でした。他にも10数チーム全完していて、解けた順番的には結構後ろの方だった気がします。 よくわからないチーム名で登…

Gitの脆弱性(CVE-2018-11235)を雑に調べた

先日、Gitの脆弱性(CVE-2018-11235)が発表されました。 NVDのDescriptionには以下のように説明されています。 NVD - CVE-2018-11235 In Git before 2.13.7, 2.14.x before 2.14.4, 2.15.x before 2.15.2, 2.16.x before 2.16.4, and 2.17.x before 2.17.1,…

GoでAndroidのコマンドラインツールをビルドする方法

AndroidのRoot化端末などでコマンドラインツールを作りたい時にGoを使いたくて少しはまったので、その時のメモです。 ビルドするマシンは、macOS 10.13.4で、動作確認するAndroidは、HUAWE MediaPad M5のAndroid 8.0.0です。 package main import "fmt" func…

AWS KMSをさわってみた

AESなどの対称鍵暗号でデータを暗号化すると、データを読み取ることができる対象を鍵を知ってるものだけにすることができる。 そのため、何かのデータを暗号化したとき、暗号化に使用した鍵がどのように管理されているかはとても重要となります。 鍵管理は、…

AndroidのプレインストールされたCAにCAを追加する

Android 7以降からCAの扱いが代わり、デフォルトではユーザが追加したカスタムのCAはアプリ毎に設定を書かないと信頼されなった。 システムにプレインストールされたCAは制限することも可能だが、基本的には信頼されている。 以下は、Root化された端末にプレ…

YubikeyのPIVを使ってsshしてみる

YubikeyのPIVが気になったのでsshでの使い方を試してみたメモ。 PIV自体については何もわからない。 Yubikeyとはこんな感じのもの。 Yubikey PIV Manager をここから落とす。 https://developers.yubico.com/yubikey-piv-manager/Releases/ webサイトでは、…

劇的にコマンドライン環境が快適になるpetのfishサポートをした話

前に使ったコマンドを実行したいとき、どうしてますか? 普段はfishを使ってるのですが、前に実行したコマンドを再度実行したい場合は、 peco_select_history を ctrl+r で呼び出すようにしています。 そもそも、fishの補完が優秀なので使うまでもないことは…

二要素認証に使われてるYubico OTP の仕組み

2要素認証に利用できるデバイスに、Yubico社が提供するYubikeyというものがあります。 Yubikeyでは様々な機能を使えますが、初期状態で利用できるものにYubico OTP(One-Time password)があります。 Yubico OTPは、非常に安全な仕組みだと思いますが、公式ド…

SECON 2016 Online CTF

SECON 2016 Online CTFにでた。 チームは、shioshiotaで参加した。2000ptで39位だった。 24時間の健康的なCTFだった。pwn担当が一人のチームだと48時間欲しいなぁー、と思った。 僕が解いたのは、以下の4問。 [Exploit] cheer msg (100pt) [Exploit] jmper (…

Bugfix Backend を攻撃してみた(XSS編)

全体の概要と注意事項は以下の記事で説明しているので、必ず目を通して欲しい。Bug Fix Backend を攻撃してみた - 試運転ブログotameshi61.hatenablog.com XSS HTML生成の部分で問題があると、Cross-site scripting(XSS)という脆弱性が起こる。XSSを利用した…

Bug Fix Backend を攻撃してみた

ADF2015のBug Fix Backendで利用したアプリケーションのバグを修正するのではなく、攻撃するという私が勝手にやりたかったコンテンツである。ADF2015などについては、ADF 2015 Bugfix Backend - 試運転ブログotameshi61.hatenablog.comこの記事では、2日目…

ADF 2015 Bugfix Backend

リクルートホールディングス主催のADF 2015というイベントにスタッフとして参加してきた。その中で2日目のバグフィックス チャレンジというコンテンツを任された。 ADF 2015とは ADF2015とはリクルートホールディングスが、3/28~3/30で行った就活中の学生エ…

CSAW 2013 Exploit100,200

ctf

去年の大会のものです。 備忘録としてwriteup書きます。やったものとしてはExploit100,200,300,400です。今回は100と200の説明をします。 問題はこちらにあります。CTFを知らない方向けに説明するとExploitの問題とは、 あるサーバーで動いてるプログラムが…

macでphpmyadminの設定に詰まった話

マックでローカル開発環境を構築のため、phpmyadminをいれたところ、 config.ini.phpを作成してログインするための設定はしたが、 #2002 MySQLサーバにログインできません と出て詰まってしまった。調べたところ、phpmyadminではなく、phpの拡張モジュールの…

はじめまして

はじめまして。