jwt

Keycloak は SAML の Identity Provider (IdP) としてあるいは OpenID Connect (OIDC) の OpenID Provider (OP) として使用することができます。 2層アーキテクチャ (Two-tier Architecture) や 3層アーキテクチャ (Three-tier Architecture)、またはより多層 (Multi-tier) となるマイクロサービスアーキテクチャで構築されたアプリケーションに認証認可機能を提供する場合には持参人トークン (Bearer token) を使用する OIDC が適していますが、SAML …

こんにちは！ 本記事はVRChatのワールド向けパスワードギミックの紹介・配布記事になります。 まず結論から：要点とギミック配布 従来のパスワードギミックはリッピング（VRChatのデータを不正にダウンロードする行為）によってパスワードが簡単に抜かれてweb上に公開され、誰でも開錠可能になってしまうことが分かりました。 今回その対策としてJWT（公開鍵を利用した検証技術）による新しいパスワードギミックを作成しました。ワールドデータにパスワードを置かないためリッピング耐性があります。従来のパスワードギミックの置き換えとして使用でき、オプションでパスワードの漏洩対策もできます。 こちらで無料配布し…

こんにちは、MLBお兄さんこと松村です。オルターブース Advent Calendar 2022 3日目のブログです。 前日はきよぴーのターンでした。もう5ヶ月が経つなんて早いですね。 aadojo.alterbooth.com 先日のブログでも紹介したとおり、.NET Conf 2022 Recap Event 福岡で登壇しました。 イベントについてはこちらをご覧ください。そのうちアーカイブ動画が公開されると思います。 msdevjp.connpass.com このイベントでお話ししたのは ASP.NET Core Minimal API ですが、資料については公開していますので、こちらをご…

エキサイトの武藤です。 オンプレ環境のサーバをAWS EC2へ移行する際に、サーバ時刻の同期について注意点があります。 サーバ時刻を扱うアプリケーション アプリケーションによっては、サーバ時刻をアプリケーションの実装に利用するケースがあります。 例えば、JWTを使った認証処理です。 JWTでは、トークン内にclaimといわれる情報を含めることができ、その情報を使って認証を行います。時刻に関するclaimを下記に列挙します。 The "exp" (expiration time) claim identifies the expiration time on or after which the…

前提 NestJSプロジェクトの作成方法や、PassportとJWTを組み合わせて認証機構を実装する方法に関してはこちらを参照。 takagimeow.hatenablog.com Firebase プロジェクトの作成方法についてはこちらの記事を参照。 takagimeow.hatenablog.com Firebase FunctionsにVitestを導入する方法についてはこちらの記事を参照。 必要なパッケージをインストール JWTを作成するためにjsonwebtokenを入れる。 yarn add jsonwebtoken テスト時に作成したjwtをデコードしたいので、jw t-deco…

Firebase FunctionsをBFFとして実装し、Deno + Oakで作成したAPIサーバーからデータを取得してみる。 今回はJWTを使った認証を行いたいので、認証が成功したリクエストのみにデータを返したい。 内容 両方の環境に共通のSecretを持たせて、Firebase Functions側で署名したjwtをOak側で認証させる。 /weatherルートをお互いの環境に用意して、JWT経由で都市名を渡してその都市の天気が最終的にクライアント側に返ってくるようにする。 キーを生成する CryptoKey型の値を生成したあと、raw形式でエクスポートする。 その内容をArrayBuf…

Flask で書かれた API を使ったフロントの開発をしていました。 JWT が unauthorized になった時のエラーだけ他のエラーと形式が異なり、エラーコードも 401 で他のエラーと被ってしまっていて、フロントでエラーハンドリングが面倒なことになってしまっていたので、API 側に越境してエラー関連をカスタマイズしたメモ。 ※ Python はなんもわからんマンが書いています。ご了承ください。 Flask-JWT-Extended がよしなにエラーを返すようになっていた。 API 側の実装を見にいくと、Flask-JWT-Extended というライブラリが使われており、API に…

WildFlyの新しい機能を使う時などは、機能追加時のブログなどをよく見ていたのですが、Quickstartsを見た方が良さそうだなと 思ったのでメモ。 ドキュメントでは、ここで紹介されています。 ここで見ているのは、WildFly 29のドキュメントです。今まで、ここまで下の欄をあまり見ていませんでした…。 Quickstartsには多数のサンプルが含まれていて、GitHubリポジトリーはこちらです。 GitHub - wildfly/quickstart: Holds all versioned WildFly quickstarts WildFly 29.0.1.Finalの時点だと、こ…

気になった用語をまとめた Webサービスの基本 WebAPIとは、HTTPなどのインターネット関連技術を利用してプログラムが読み書きしやすい形でメッセージ送受信を行えるよう定義した規約、または規約を実装して展開されるサービスのこと リクエストの中でCRUDに相当するメソッド（POST、GET、PUT、DELETE）が重要 メソッド 意味 GET リソースの取得 POST リソースの新規登録(データ作成時にリソース名が決まっていない、決まっていればPUTになる) PUT リソースの更新 DELETE リソースの削除 冪等(べきとう)とは何度実行しても同じ状態が再現されること データ登録（POST…

ソース： amjadali110.medium.com 脆弱性：Broken Access Control 訳： この記事では、私が最近発見した、セッション ストレージを介した垂直権限昇格のストーリーを共有したいと思います。これは、プライベート プログラムで発見し、3($$$) 桁の報奨金を獲得しました。 それでは、早速、詳細を見ていきましょう。 これは CRM ポータルであり、通常ユーザーと管理者という 2 つの異なるユーザー ロールがあって。 テストの一環として、通常のユーザー アカウントを使用してログインし、Web アプリの機能を調べ。 通常のユーザーはリソースと機能へのアクセスが制限さ…

これは、なにをしたくて書いたもの？ 前に、WildFly Maven Pluginのdevゴールを試してみるエントリーを書きました。 WildFly Maven Pluginのdevゴールで、Jakarta EEアプリケーションの開発を始める - CLOVER🍀 今回は、provisionゴールとpackageゴールを試してみたいと思います。 WildFly Maven Plugin 前のエントリーの繰り返しになりますが、WildFly Maven Pluginの紹介も少し。 WildFly Maven Pluginは、Gallenを使ってWildFlyサーバーをプロビジョニングし、WildF…

先日@110146氏とごはんを食べていたのだが、そのときにBorerというライブラリがおもしろいという話を聞いたので、試しに使ってみることにした。他にもSmithyやDeep Java Libraryといったライブラリの話も聞いたので、順に書いているというわけ。 CBOR CBORとは何かというと、シリアライゼーションのためのバイナリフォーマットだ。シーボアと発音するらしい。 cbor.io もともとバイナリ・シリアライゼーションではMessagePackという技術が存在していたのだが、これの成果物を利用した派生的後継(後方非互換)としてCBORが作成され、MessagePackプロジェクトと…

以前作成したメモアプリに「ログインボタン」を実装し、グローバルなstateを扱う最もシンプルな方法として、React の機能であるContext（コンテクスト）を学びました。 knkkojt6.hatenablog.com 概説 useState()によって管理される値はローカルなstateと呼ばれ、その値は特定のコンポーネント内でしか利用できない。 しかし、複数のコンポーネントからその値を参照したい場合、propsを大量に渡す必要が出てくる。このような状況を避けるために、グローバルな状態管理が有用。 Contextとは コンポーネントツリー全体でデータを共有するための方法。 複数のコンポーネ…

CTFに挑んでいるなら高みを知っておきたくて参加しました。welcome以外見てみたけど難しく感じるｗ できるものをやりたいけど、warmupは頑張りたい！そんな感じで記録していきます。解法は書いてないのでwriteupとして探していたら違います。 web Bad JWT さきほどNECさんのctfに挑んでいましたけど、JWTトークンは脆弱性が多くあるようですね。 pwnable rop-2.35 The number of ROP gadgets is declining worldwide.という言葉とともに通信コマンドnc rop-2-35.seccon.games 9999とその先で動…

この記事は、過去に yude.jp/blog で公開されていた文章をはてなブログに移転したものです。 2022 年が終わります。なので、この年をまとめる記事をここに置いてみます。まずは、今年行ったことを羅列してみます。 なぐり書きすぎて・・・

9/16 - 9/17という日程で開催された。keymoonさんとCyberMidori*1というチームで出て全体29位、国内5位。国内決勝に歩を進めることができたのは嬉しいものの、Webカテゴリではもっとも解かれていたBad JWTしか通すことができず、反省しきり。 ある程度材料は揃っていたものの詰めきれず落とした問題が2つということで、このような状況に陥るたびにいかに普段のCTFでほかのメンバーの別視点からの発想に手助けされているかを思い知る。SimpleCalcとeeeeejsは解けるべきだった。くやしい、くやしい～*2*3! 競技中の状況の振り返りも含めて解けなかった問題の復習をし、こ…

こんにちは、エンジニアの id:kaoru-k_0106 です。 駅奪取のサブスク機能である「駅奪取er定期券」は、App Storeのサーバ通知の実装の際に App Store Server Notification V2 を用いました。 他の言語での Server Notification V2 の実装例は見つかりますが、Perl のものはありませんでした。 そこで、今回は Perl での検証部分の実装方法について触れようと思います。 App Store Server Notification V2 について V1 のときは、通常の App 内課金と同じように、サーバ通知で送られてきたレシ…

G-gen の杉村です。当記事では Google の生成 AI 技術を簡単に利用できる Vertex AI Search and Conversation (Preview 時代の旧称 : Generative AI App Builder または Gen App Builder) を解説します。 概要 Vertex AI Search and Conversation とは ユースケース 社内検索エンジン 顧客対応補助 料金 Generative AI agent Generative AI agent とは 対応言語 デプロイ Enterprise Search Enterprise Se…

writeupを読む。 人のwriteupを勝手に読んで得た知見を書いていきます。 公式writeupのほうが簡潔な解答であったら、それも同時に載せます。 他の人の解説で出てきた問題は飛ばしたりします。 DownUnderCTF 2023 Challenges + Solutions rikotekiさんのwriteupから OSINT系の問題 [WEB:Easy] static file server 公式の解答 ディレクトリトラバーサルへの対策 参考 @tohaさんのwriteupから よっちんさんのwriteupから Welcome to DUCTF! (beginner, misc) …