Script Kiddie ある種のクラッカーに対する蔑称。 技術のない若者だけを指すようにいわれることもあるが、実際にクラッカーの年齢を特定する事は困難であるため、技術を有さずにツールに頼って興味本位の攻撃をする者をスクリプトキディと呼ぶのが一般的。 ハッカーなどネットワークシステムへの侵入を試みる人たちの階層分けにおいて、最下層に位置するものとして付けられた名前で、一般的にクラッカーと呼ばれる人種において、その人口の大半はスクリプトキディだと言われている。
3/30 - 3/31という日程で開催された。総合順位は3位で、International Cybersecurity Challenge(ICC)*1に派遣されるチームアジアのメンバーとして選ばれる条件を満たしている(eligibleな)参加者に限ると2位。国内ではいずれも1位。もっとも、総合1位ではあるもののスコアサーバではeligibleではないとされている5unkn0wnさんは、実はeligibleであるという説があるので、eligibleプレイヤーの順位は3位になるかもしれない。 (2024-04-03追記)5unkn0wnさんがeligibleになっていた。総合順位もeligibl…
2/25に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、17時45分ごろに最速で全完して2位。途中でヒントを開くために2ポイントを使ってしまい*1*2*3、ノーヒント勢に抜かれてしまわないか最後までヒヤヒヤしつつスコアボードを見守っていた。そして終了直前の20時45分ごろに抜かれてしまい、後悔の念に駆られる。 ただ、第1回は1位、第2回は3位、第3回は6位*4と来ていい加減にリベンジを果たしたかったので嬉しい。前回は飛行機の中からの参加であったためまったく余裕がなく、ろくにメモも取っていなかったのでwriteupを書けなかったけれども、今回はメモを取りつつやっていた…
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8…
後ほどの総括でも触れますが、年末に体調を崩してしまい、年末までに終わらせたい仕事が翌月(翌年)に持ち越しとなってしまうという影響が出てしまいました。総じて今年は厄年と思えるほどのバッドラックが続いたなぁ、というのが今の気持ちです。
次の動画(45:20~)で徳丸さんが行っていたハッカー入門をそのままやってみた。 WordPressの有名な脆弱性を題材として脆弱性について学ぶ 「スクリプトキディ」は低級ハッカーの意味で使われるが、誰もがはじめから高度な攻撃手法を編み出すことはできないので既知の攻撃手法から学ぶことは有益 コピペすれば動くというものでもなく、スクリプトキディはそれほど簡単ではない やってみれば色々身に付くよ というお話。 私はMacではなくWindows10で試しています。 youtu.be NVD - CVE-2017-1001000 JVNDB-2017-002318 - JVN iPedia - 脆弱性…
12/9 - 12/10という日程で開催された。st7962934781497995546*1*2のオグロプレーリードッグ*3として参加して3位。 Flatt Security Speedrun CTF #2に参加した際に、運営陣のひとりであるSatokiさんから、このCTFのWebでもRTAをして1時間以内に同カテゴリの問題をすべて解けという挑戦状を叩きつけられていたので、まずWebから見ていった。これは57分13秒という記録で達成できたし、Webの全3問でfirst bloodが取れたのでよし。だが、とり天うどんの写真から撮影された店を特定する問題が最後まで残っており、結局解けず。全完でき…
9/16 - 9/17という日程で開催された。keymoonさんとCyberMidori*1というチームで出て全体29位、国内5位。国内決勝に歩を進めることができたのは嬉しいものの、Webカテゴリではもっとも解かれていたBad JWTしか通すことができず、反省しきり。 ある程度材料は揃っていたものの詰めきれず落とした問題が2つということで、このような状況に陥るたびにいかに普段のCTFでほかのメンバーの別視点からの発想に手助けされているかを思い知る。SimpleCalcとeeeeejsは解けるべきだった。くやしい、くやしい~*2*3! 競技中の状況の振り返りも含めて解けなかった問題の復習をし、こ…
中国軍ハッカーが日本に侵入したことを米国から指摘されたことを受けての議論で、「日本もハッカーを雇うべき」みたいな主張があったが、これはだめ(´_ゝ`) ぶっちゃけ、犯罪者として捕まったハッカーやクラッカーをCIAやFBIが雇う、みたいな話について、かつての俺も賛成派だったし日本もそうすべきだと思ってた。 でも『情報セキュリティの敗北史』という本を読んでからはその意見は180度変わった。 情報セキュリティに関しては、攻撃と防御の難易度の差が激しすぎるからだ。 ぶっちゃけ攻撃は誰でもできる。一方、防御側はかなりの知識と技術が必要で、侵入されたからといって攻撃者が防御側よりも上の技術を持っているとは…
以前からハードオフに転がっているRaspberry Pi 400が気になっていました。 Raspberry Pi 4 BのRAM 4GB相当品ですが、小型キーボードの中に基盤が収まっているので省スペースな逸品です。 しかし、既にPi-holeサーバー(広告ブロックサーバー)・NAS向けに2台も確保しているので、買う意義はありません。また、2022年11月には抱き合わせ商法の超絶割高金額*1でRaspberry Pi Zero 2 Wを衝動買いしているため、これ以上Raspberry Piシリーズを手にする意味はありません。 sylve.hatenablog.jp Raspberry Pi Ze…
reinは韓国で生まれた性奴隷だった。 臭虫蝎甫reinは実に病身で、技術者気取りのスクリプトキディ儒教徒だった。その障害の重さは留まるところを知らず、毎日モルヒネを吸引したから、ブラックホールのような病状に膨れ上がった reinのキディしたコードをワッパステイ主席に渡し昇格していた。この工程はワンデーと変わりなく、自分をのなめのように思った病身チョッパリのガキ;reinは、遂に人民指導部になった。その立場を利用して、アイメイク主席にグラバーを踏ませたものの、アカウントは取り返され、手元には”政府発行ではない”身分証と裏面のない保険証だけだ。 薄熙来reinの無能さはまったく止まらない!サウロ…
Kali LinuxにVSCodeをインストールする事になった経緯 VSCodeを公式ページよりダウンロードする インストールコマンドを実行する ユーザ '_apt' からアクセスできないため、ダウンロードは root でサンドボックスを通さずに行われます 起動コマンドを実行する Kali LinuxにVSCodeをインストールする事になった経緯 Kali Linuxを使ってハッキングを学ぼうといった趣旨の教材をいくつか購入してみましたが、どれもKali Linuxにインストールされているツールの使い方の紹介でした。 既存ツールだけでもかなりのことが出来るという事はなんとなく理解したのですが、…
セキュリティ 480 1 30 脆弱性 脅威がつけ込むことができる弱点。セキュリティホールとも。0 情報資産 企業が組織が保有している情報全般0 脅威 情報資産に損害を与える恐れ。0 物理的脅威 火災や地震、侵入者による機器の破壊や盗難など、直接的に情報資産が脅かされる脅威0 技術的脅威 ウイルス、不正アクセス、サーバへの攻撃などにより情報が漏えいしたり失われたりする脅威0 人的脅威 ミスによるデータや機器の破壊、内部犯による確信的な犯行によって情報資産が漏えいしたり失われたりする脅威0 ヒヤリハット 結果として事件・事故には至らなかったが潜在的に事件・事故につながりかねない事象を指す1 セキ…
プロダクト基盤本部の藤原です。 本エントリではWAF(Web Application Firewall)を活用していく上で、最初に導入をお勧めするファイアウォールルールを解説します。 WAFとは WAF(Web Application Firewall)とはWebアプリケーションに特化したファイアウォールです。 HTTPリクエストのヘッダやボディの内容から不審なリクエストを判別し、アクセスをブロックすることを目的としています(図1)。 図1 WAFの役割 WAFの活用を通じて実現したいこと WAFの活用を通じて実現したいことはなんでしょうか。 悪意のあるリクエストや不審なリクエストからアプリケ…
スクリプトキディの典型的な行為に該当するものはどれか。 PCの利用者がWebサイトにアクセスし,利用者IDとパスワードを入力するところを後ろから盗み見して,メモをとる。 技術不足なので新しい攻撃手法を考え出すことはできないが,公開された方法に従って不正アクセスを行う。 顧客になりすまして電話でシステム管理者にパスワードの再発行を依頼し,新しいパスワードを聞き出すための台本を作成する。 スクリプト言語を利用してプログラムを作成し,広告や勧誘などの迷惑メールを不特定多数に送信する。 解答・解説 (adsbygoogle = window.adsbygoogle || []).push({}); 解…
メタバースの目指す未来の袋小路 レゾリューションはとてもシンプルで、2Dでも画質がよくなればよくなるほど、そこにいる感じがします。ゴールとして、「片目で4Kずつの解像度」が実現するとバーチャルとリアルの区別がつかなくなるといわれています。これはハードウェアのスペックが上がれば解決できる課題です。 二つ目に重要になるレスポンス、これはZoomで会話がかぶったり、お互いが無言になってしまう、というアレです。これはリアルなコミュニケーションではあまりないですよね? メタバースとWeb3作者:國光 宏尚エムディエヌコーポレーション(MdN)Amazon これまでのメタバースに関する議論を振り返ると、画…