バイナリ

• file, strings コマンド
• IDA Pro
• x86 アセンブリ

書籍など

• たのしいバイナリの歩き方
• アセンブリ言語の教科書
• 解析魔法少女美咲ちゃん
• IDA Pro book
• リバースエンジニアリング
• IPA セキュアプログラミング講座

ネットワーク

• 問題の種類：キャプチャしたものを渡される場合と，自分でキャプチャする場合があるfilter, follow tcp streams, export object, statistics？のかな？
• Wireshark
• filter, follow tcp streams, export object, export selected packet bytes, statistics

書籍

• マスタリング TCP/IP 入門編
• 実践パケット解析

Webサイト

• 3 Minutes Networking

Web

調査

• 開発者ツール Ctrl+Shift+I：パーセントエンコードはコンソールで decodeURIComponent すると便利
• 脆弱性チートシート
• 脆弱性診断用プロキシツール：BurpSuite, OWASP ZAP, Fiddler

攻撃

• SQL インジェクション
  • ' と --
  • UNION 句で他のテーブルを見る
  • 目は見えない SQL 文を想像する必要ありエスパー
  • 他キーワード：GROUP_CONCAT, LOAD_FILE, Blind SQL Injection, Error Based SQL Injection
• ディレクトリトラバーサル
  • index.php?id=about -> index.php?id=/etc/passwd
• Cookie の書き換え

サイト

• XSS game
• alert(1) to win
• prompt(1) to win

書籍

• 体系的に学ぶ安全な Web アプリケーションの作り方
• めんどうくさい Web セキュリティ
• Web Security Testing Cookbook