はまやんはまやんはまやん

hamayanhamayan's blog

CTFのWebセキュリティにおける細かな話題まとめ(Unicode, Reguler Expression, LDAP Injection, Dependency Confusion, DoS)

この記事はCTFのWebセキュリティ Advent Calendar 2021の25日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 脆弱性を…

CTFのWebセキュリティにおけるオープンリダイレクトまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の24日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 オープン…

CTFのWebセキュリティにおけるPassword Cracking, ハッシュ, 暗号化

この記事はCTFのWebセキュリティ Advent Calendar 2021の23日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 パスワー…

CTFのWebセキュリティにおけるCloud問題(AWS, GCP)

この記事はCTFのWebセキュリティ Advent Calendar 2021の22日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 大前提「…

CTFのWebセキュリティにおけるクライアント側まとめ(CSP, CORS, Web Assembly, PostMessage)

この記事はCTFのWebセキュリティ Advent Calendar 2021の21日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 CORS CORS…

CTFのWebセキュリティにおけるその他言語まとめ(C#, .NET, GO, Java, Perl, Ruby)

この記事はCTFのWebセキュリティ Advent Calendar 2021の20日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 ASP.NET …

CTFのWebセキュリティにおけるPythonまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の19日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 使えるコ…

CTFのWebセキュリティにおけるJavaScript,nodejsまとめ(Prototype pollution, 難読化)

この記事はCTFのWebセキュリティ Advent Calendar 2021の18日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 JavaScrip…

CTFのWebセキュリティにおけるPHPまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の17日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Webサーバ…

CTFのWebセキュリティにおけるRace Condition

この記事はCTFのWebセキュリティ Advent Calendar 2021の16日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 レースコ…

CTFのWebセキュリティにおけるSSTIまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の15日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Template …

CTFのWebセキュリティにおけるCommand Injectionまとめ(Linux, Windows, RCE)

この記事はCTFのWebセキュリティ Advent Calendar 2021の14日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 RCE/コマ…

CTFのWebセキュリティにおけるDNS/ドメインまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の13日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 DNS DNSの…

CTFのWebセキュリティにおけるサイドチャネル攻撃まとめ(Blind SQL Injection, XSLeak)

この記事はCTFのWebセキュリティ Advent Calendar 2021の12日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 サイドチ…

CTFのWebセキュリティにおけるCSRF/SSRF

この記事はCTFのWebセキュリティ Advent Calendar 2021の11日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 SSRF: Ser…

競プロのエコシステムについて

この記事は競技プログラミングを始めたばかりの人に伝えたいことのカレンダー | Advent Calendar 2021の10日目の記事です。 カレンダーを見るとネタ被りをしていたのでテーマを変更しました。 競技プログラミングには色々な要素があり、初めて競プロを始めた…

競技プログラミングをやってきた

この記事は競プロ Advent Calendar 2021の10日目の記事です。 長年、競技プログラミングをやってきた。 気が付けば、最初に競技プログラミングを初めてから既に6年が過ぎていた。 別にこの記事を何らかの区切りにしようとか、そういった意図はないのだが、振…

CTFのWebセキュリティにおけるWebサーバー/インフラまとめ(Apache, nginx, IIS, CDN/Cache, CGI, Docker/Kubernetes)

この記事はCTFのWebセキュリティ Advent Calendar 2021の10日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 インフラ…

CTFのWebセキュリティにおけるCRLF Injection/Header Injection

この記事はCTFのWebセキュリティ Advent Calendar 2021の9日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 CRLF Injec…

CTFのWebセキュリティにおけるPath Traversal, LFI/RFI (File Upload, ZipSlip)

この記事はCTFのWebセキュリティ Advent Calendar 2021の8日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Path Trave…

CTFのWebセキュリティにおけるXSSまとめ(PRSSI, XFS, CSS Injection)

この記事はCTFのWebセキュリティ Advent Calendar 2021の7日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 クロスサイ…

CTFのWebセキュリティにおけるNoSQLまとめ(Redis, MongoDB, GraphQL)

この記事はCTFのWebセキュリティ Advent Calendar 2021の6日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Redis redi…

CTFのWebセキュリティにおけるSQL Injectionまとめ(MySQL/MariaDB, PostgreSQL, SQL Server)

この記事はCTFのWebセキュリティ Advent Calendar 2021の5日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 SQL Inject…

CTFのWebセキュリティにおけるデータ形式まとめ(XML, Json, Insecure Deserialization, XXE)

この記事はCTFのWebセキュリティ Advent Calendar 2021の4日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 データ形式…

CTFのWebセキュリティにおける認証認可まわりまとめ(Cookie/Session、Authentication/Authorization、JWT、IDOR, TOTP, OAuth)

この記事はCTFのWebセキュリティ Advent Calendar 2021の3日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 Cookie サ…

CTFのWebセキュリティにおけるHTTP通信まとめ(HTTP, Request Smuggling, Response Splitting, HTTP2)

この記事はCTFのWebセキュリティ Advent Calendar 2021の2日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 HTTP どこ…

CTFにおけるWebセキュリティ入門とまとめ

この記事はCTFのWebセキュリティ Advent Calendar 2021の1日目の記事です。 はじめに CTFのWeb問題を細々と解いていたが、そろそろ解説で意味が分からないことも少なくなってきたので、 Web問題についての情報まとめをアドベントカレンダーで一斉放出するこ…

Happy Wedding! [第八回 アルゴリズム実技検定 K]

https://atcoder.jp/contests/past202109-open/tasks/past202109_k 前提知識 最小費用流 (もしくは重み付き二部グラフ上での最大マッチング) 解説 https://atcoder.jp/contests/past202109-open/submissions/26707534 慣れていると、この問題がかなりフロー…

Reverse Array [第八回 アルゴリズム実技検定 J]

https://atcoder.jp/contests/past202109-open/tasks/past202109_j 前提知識 遅延評価セグメントツリー 解説 https://atcoder.jp/contests/past202109-open/submissions/26703507 遅延評価セグメントツリー以外にも沢山実装方法があるように見える。 今回、…

/2 and *3 [第八回 アルゴリズム実技検定 I]

https://atcoder.jp/contests/past202109-open/tasks/past202109_i 解説 https://atcoder.jp/contests/past202109-open/submissions/26690153 難しい問題。色々方針が思い浮かぶかもしれないが、思いつかないと中々厄介だろうと思う。 本質を見抜く 実は、今…