akkietech’s diary

セキュリティ関連メインの自分用メモ書き。twitter: @akkietech

プログラミング

Webブルートフォースツール比較

Hack the Boxをやっていると、Webサーバに対してブルートフォースを実施して コンテンツの調査をする機会が多い。そしてツールには選択肢がある。 有名なもの、というかよく使われるものとしては以下があげられる。と思う。・dirbuster (コマンドラインで使…

2/28 SQLi用蔵書検索サイト

使っているのはflaskとsqlite3■SQLインジェクションが可能な環境を用意 とりあえずSQLiの脆弱性を持つWebページとして よく例に取り上げられるのが蔵書検索ページということでflaskで手作り蔵書検索ページを作成 名前や著者名で絞れば該当の書物名のみが表示…

2/26 脆弱BBSを使って、CSRFとXSSを実践

■動機 簡単に言えばXSSとCSRFを本格的に実践してみたくなった ■CSRFが分からなかった SOCをやっていながら、「CSRFを説明して」と聞かれたら 完璧どころかおおまかも説明できる自信がなかったまず実践するにあたり復習から始めた 下記がすごく参考になった h…

1/30 FlaskをSqlite3と連携させる

めっっっっちゃくちゃ苦戦とりあえずflaskでの自作ページのログイン機能として Register処理とLogin処理をSQLite3と連携させることを考えていたdbファイルへのアクセスとしては Registerが「書き込み」 Loginが「読み込み」 にあたるがApacheの本番環境で動…

1/29 FlaskでBlueprint使う

■Blueprintが使ってみたいFlask公式のチュートリアルではBlueprintが使われていたが 開発環境での例だったので、今回は自作の本番環境で Blueprintが使いたいと思ったDBと連携するための下準備でもある まさしくBluprint・__init__.pyは変わらず使う ・Bluep…

1/23 長いflaskの旅(約6時間)

今日はflask やりたかったこと ・flaskをapacheで本番環境に ・簡単なページの作成(できれば動的ページまで) やったこと ■前半 環境設定で試行錯誤 ・centos6の方でpythonページ動かせるようにした ・次にflaskを動かせるようにしようとした ・でもうまくい…

1/11 flaskやるにあたって

■python3の仮想環境構築 # mkdir Py3_project # python3 -m venv venv => Py3_projectにvenvフォルダが作成される あとはアクティベイトするだけ # . venv/bin/activate アクティベイト解除は # deactivate ■関数内関数(ファクトリ関数、クロージャ) よく分…