CTF for ビギナーズ 2015

社長から資料を貸してもらったのでメモだけ取って返す.

バイナリ

書籍など

ネットワーク

  • 問題の種類:キャプチャしたものを渡される場合と,自分でキャプチャする場合があるfilter, follow tcp streams, export object, statistics?のかな?
  • Wireshark
  • filter, follow tcp streams, export object, export selected packet bytes, statistics

書籍

  • マスタリング TCP/IP 入門編
  • 実践パケット解析

Webサイト

Web

調査

攻撃

  • SQL インジェクション
    • ' と --
    • UNION 句で他のテーブルを見る
    • 目は見えない SQL 文を想像する必要ありエスパー
    • 他キーワード:GROUP_CONCAT, LOAD_FILE, Blind SQL Injection, Error Based SQL Injection
  • ディレクトリトラバーサル
    • index.php?id=about -> index.php?id=/etc/passwd
  • Cookie の書き換え

サイト

  • XSS game
  • alert(1) to win
  • prompt(1) to win

書籍

  • 体系的に学ぶ安全な Web アプリケーションの作り方
  • めんどうくさい Web セキュリティ
  • Web Security Testing Cookbook