死に際チェッカー

久しぶりですっ
なんかうそこメーカーにあこがれてw
死に際チェッカーっての作って見ましたw


http://www17.atpages.jp/rskull/last/index.php

よかったらやってみてねw

d0210354_22141199.jpg



事後つぶやき激しく希望ww

http://www17.atpages.jp/rskull/last/index.php
[PR]

# by r-skull | 2011-02-13 22:14 | Web製作

GEEKZ

とりあえず一通り完成しました!

http://geekz.zzl.org/

PHPやらなんやら使わなかったから
意外とすんなり完成したぜっ

JavaScriptでメンバーページの
ページ送りとかつくってみた。

思ったよりうまくいったね!

d0210354_0474913.jpg



興味のある人はよろしくね!

http://geekz.zzl.org/ ←2回目
[PR]

# by r-skull | 2011-02-10 00:45 | Web製作

GeekzのHP TOPだけ完成ww

4日前くらいから作り始めたHPですが
TOPページだけ完成しましたw

火狐ブラウザ独自のCSSで角丸をつかってるんで
それ以外のブラウザでみるとカクカクです!w

普通に角丸つくるのがめんどくさかっただけですが。。。

まぁカクカクでも問題ないか・・・

d0210354_235437.jpg

[PR]

# by r-skull | 2011-02-07 23:57 | Web製作

Guru TeamのHP製作

今日2回めですが気にしないでww

プログラミングチーム?てきなやつのHPまかされてつくってる。。。
とりあえずHTML,CSS,JavaScriptだけでシンプルに!
PHPとかはめんどくさいからいいや(ω

d0210354_1840439.jpg


透明画像つかって頑張ってます←

英語だらけだから外国のサイトっぽいww
でもマウスがリンクに乗ったとき日本語になるようになってるからOKだっ

d0210354_18404148.jpg


まだあと1/3くらい残ってるけど、明日には完成させたいなw
TOPページだけだけどね(Д
[PR]

# by r-skull | 2011-02-05 18:31 | Web製作

セッションハイジャック


セッションハイジャック・・・PHPにおける脆弱性です。

攻撃目標
○典型的な脆弱コード
セッション鍵をクッキー以外からも取得する状況でのセッション開始。

セッション鍵とはセッションIDのことで、ログインしたときに発行され
いったんクッキーファイルとして保存されます。

セッションIDについてはコチラをお読みください。

攻撃方法
※http://example.com/ は攻撃目標サイトとします。

http://example.com/index.php?PHPSESSID=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa

このようなリンクを、サイト管理者に何らかの方法で踏ませます。

踏んだことをアクセスログなどで確認できたら、以下のセッションを目標サイトにセットしてアクセス!
PHPSESSID=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
これで目標サイトにログインできます。

PHPSESSIDは、ログインを保つためにそのつど発行されるもので、普通なら他人に漏れることは絶対にありません!
本物はもっと複雑な文字列になっていますが、わかりやすくするためにaのみにしました。

IDとパスワードを入れ、ログインした代わりにこのPHPSESSIDが発行されます。
ログアウトするとこのコードは破棄され使えなくなります。

つまりこのコードが盗まれると、相手がログイン中の間だけIDとパスのかわりになってしまいます。
よってその人のアカウントにログインできてしまいます。

今回の脆弱性は盗まれたのではなく、攻撃者が作った任意のPHPSESSIDを
上のリンクで管理者に踏ませたことにより、aaaaa...... のコードがセットされてしまい
必然的に知っていることになってしまいます。

この攻撃が成功したら
あとは個人情報を盗むなり、設定を変えるなどの攻撃が可能ということです。

大抵のさいとは自分でセットしたPHPSESSIDは受付ないようになっているので
その場合、この攻撃は成立しません!

しかし以下の脆弱性がある場合には可能です。

○XSS
○クライアント・サイド・スクリプティング
○HTTPレスポンス分割攻撃
○session関連の設定ミス

などです。
書き換えではなく、いずれも盗む形になります。

もぅ12時なので寝ます。。。

おやすみー(ω
[PR]

# by r-skull | 2011-01-20 23:59 | 攻撃・脆弱性