安い食品で高カロリーを摂取してお金を節約するライフハック   no comments

Posted at 12:36 pm in ネタ,日記

こんにちは。

住民税の支払い通知が来たことをきっかけに、見ないようにしていたいろんな現実を思い知らされることとなり、いろいろと頭を抱えている6月です。

cats_2013-05-29_2

睡眠で現実から目を背けるライフハック

 

とりあえず、誰か僕のために住民税と、きたるべく国民健康保険を支払ってください。払ってくれるならケツだって舐める所存でございます。

ということで、最近はより一層近所の100円ローソンへの依存度が高くなっております。近いので消費カロリーも少ないですし、夕方に行くと100円のお総菜やら麺類やら(冷やし中華やソバが100円の時点でびっくりですが)が50円引きで売られているんですよ。4品食って200円ですよ。

そんな夕方限定のちょっとしたお得情報はまあいいとして、正直なところ、いかに安価に高カロリーを摂取するかということが、貧乏に苦しむ現代社会においての重要な命題として我が家に立ちはだかってきている現実があります。

皆さんはあまりご存じないかもしれませんが、呼吸しているだけでカロリーだけは消費してしまうんですよ。

Read the rest of this entry »

Written by bogus on 6月 15th, 2013

XSSというかクロスサイトで嫌なものを読み込ませる攻撃について   1 comment

Posted at 8:12 pm in Security

こんにちは。

もうすぐネット選挙ですね。

cats_2013-06-06_9

お前には負けん!

で、選挙活動のためこれからいろんな政党や候補者のサイトがネットに立ち上がっていくのでしょう。

そして普通に考えると対立候補や支持者や愉快犯によって、脆弱性があると攻撃されてしまうのです。よわっちいパスワードが設定されていたりSQLインジェクション脆弱性があるのは論外ですが、XSS脆弱性がある場合も政治が絡んだサイトの場合、他のサイトに比べてリスクが高くなるんじゃないかなあって思っております。

そこで、他とは違うリスクについて書かせていただきます。画像を見て笑ってる場合じゃないですよ。

Read the rest of this entry »

Written by bogus on 6月 6th, 2013

Tagged with

ノマドワーカーになるかアパートを借りるか考える夢を見た   1 comment

Posted at 2:37 pm in ネタ,日記

こんにちは。暑いですね。

cats_2013-05-28_3

今日もぐったり

 

さて、機密情報を扱う仕事が終了し、ようやく外でお仕事できるようになったのですが、仕事が終わったのでやるべき仕事がありません。ほぼニートです。ごめんなさい。

No Work,No Money,No Future,No Lifeですよ。

で、現状を打破しようと、ネットで見つけた宛名書きや封筒貼りや造花作成などの在宅ワークをオサレカフェで颯爽とこなすノマドワーカーを目指して、カフェに向かってみましたが、コーヒー一杯400円くらいと意外とお値段がお高いです。これで1日8時間粘るのは申し訳ないなあという気持ちになって、ついおかわりしてしまったり、つい昼になってお腹が空いてしまったので、これまたちとお高いサンドイッチ的なものを買ってしまいました。

全部で1日1000円超えてしまったじゃないですか。

しかも造花を置いたり部品を並べると、店員さんや周囲の人に怪訝そうな顔をされてしまいます。これはちょっと気の弱い私にはストレスになってしまい、テープを巻く手も震えがちで、いつもより作れた造花の数も少なめです。もっと鈍感力を鍛えなければいけません。

そして1日目が終了しましたが、目標にしていたことのうちできたことは周囲にMBA(この日のために友人に借りたよ)を見せつけることくらいで、これでは夢のノマドワーカーにはなれそうにないなあ、通信教育の「ノマドワーカー養成講座」受講するかなあと打ちひしがれながら、帰途につきますが、そこで不動産屋の貼り紙を見つけます。

4畳半アパート、風呂なし、2万6000円!?

これってもしかするとオサレカフェより安上がりじゃない? と思って計算してみることにしました。
Read the rest of this entry »

Written by bogus on 6月 4th, 2013

EC-CubeのXSSとセッション固定の脆弱性について   11 comments

Posted at 2:31 pm in Security,XSS

こんにちは。暑いですね。相変わらずゴロゴロしておりますが、ゴロゴロしててもお腹も空くし、お金も減っていくんですよ。不思議ですね。

暑くてぐったりですね

暑くてぐったりですね

 

さて、昨日のことですが、EC-Cubeがアップデートされ、5つの脆弱性に関する修正がありました。

その中で「カート画面でのXSS脆弱性、及びセッション固定の脆弱性」という脆弱性について、報告者の立場から追加となる情報をいくつか書いておこうと思います。報告したのは今年の1月ですから4ヶ月でかけての修正となります。

なお、他の「パスワードリマインド機能における不適切な入力確認の脆弱性」、「一部環境における、管理画面の不適切な認証に関する脆弱性」、「お届け先複数指定画面でのXSS脆弱性」という脆弱性についての情報はありませんのであしからずご了承ください。つか誰か詳細を教えてください。
Read the rest of this entry »

Written by bogus on 5月 24th, 2013

googleの脆弱性を見つけて500ドルもらえるかもしれないライフハック   4 comments

Posted at 11:41 am in internet,Security,日記

こんにちは。お久しぶりですね。だんだん暑くなってきました。ぼくはScanに猫の連載をさせていただいたりしながら慎ましやかに暮らしておりますよ。

暑いので仕事はあんまり募集していませんが遊んでくれる人は大歓迎ですよ。

cats_2013-05-13_21

おはようございます。

さて、今日は去年の年末にGoogle mapsのXSSを見つけて報告してとっくに修正されていたにもかかわらず、なかなかgoogleのReword Recipientに掲載してもらえてなかったのですが、ようやく掲載されたのを記念して(もう2度とないと思いますからね)見つけたXSSと報告のあれこれについて書こうと思います。

とはいえ脆弱性としては別に大したもんではないのですが、まあ、そこは記念というか自慢というか、いいじゃないですか。

Read the rest of this entry »

Written by bogus on 5月 15th, 2013

Tagged with

ぼくがてきとうにかんがえたさいきょうのパスワード   2 comments

Posted at 6:17 pm in diary,internet,Security
cats_2013-04-07_2

春ですね

こんにちは。
ゴロゴロしてるうちにもう春だね。
ぼくはアラフォー無職街道を絶賛驀進中だよ。経済的な問題でいつか死ぬね。
そうならないようにハッカージャパンでちょっとだけ原稿書いてみたよ。読んでみてね。

このところgooとかyahoo!とかNTT東日本とかLINEとかが不正アクセスを受けてるみたいだね。
どうやらわるい人(スーパーハッカー!?)が、設定したパスワードを見つけ出したんだって。

運良くぼくのアカウントはクラックされてなかったけど、Webサービスのパスワードをどうすればいいのか悩んじゃうよね。

そこでぼくは、どんなパスワードを設定すればいいのか考えてみたよ。

●ユーザー名と同じ

ぼくがいちばんだと思ったのは、最強にわかりやすくて覚えやすい、これ、

ユーザー名=パスワード

だよね。

ぼくはbogusってユーザー名だからパスワードもbogus。
たぶんこれ、最強かも…超わかりやすいし。

・いいところ
おぼえやすい(ユーザー名と同じだしね!)
忘れても思い出しやすい(ユーザー名と同じだしね!)

・わるいところ
他人にも簡単に見つかっちゃうっぽい(ユーザー名と同じだしね!)

スーパーハッカーはこういうユーザーを狙ってたらしいよ。
世の中って大変だね。

●1234

アホなぼくでも簡単に思い出せる最強なパスワードだと思った

ユーザー名=パスワード

だけど、どうやら危険みたい。困ったね。

次に思いついたのが

1234

だよ。シンプルでわかりやすいよね。
好みに応じて0123とか1111とかもありだよね。
これなら銀行の暗証番号と使い回しがきくし便利だね。
・いいところ
おぼえやすい(短いしね!)
忘れても思い出しやすい(とりあえずわかんないと1234とか入れてみるよね)

・わるいところ
スーパーハッカーに結構簡単に見つけられそう(とりあえずわかんないと1234とか入れてみるよね)
何も考えず0から増やしていくと1235回で見つかっちゃう(コンピューターだと一瞬だよね)

知り合いのホワイトハッカー(かっこいい!)に聞いたんだけど、スーパーハッカーはこういうパスワードのユーザーを狙ってるらしいよ。

世の中って大変だね。

銀行みたいに3回失敗すると警察がくるようになればこれでもいいと思うけど、インターネットじゃそうもいかないみたいだね。

●password

うーん、さすがに4桁は見つかりやすいみたいだなあ… だんだん面倒になってきたね。
次に思いついたのが、パスワードだから

password

これは他の人には思いつけないスペシャルなパスワードだよね。

・いいところ
おぼえやすい
忘れても思い出しやすい(とりあえずわかんないとpasswordとか入れてみるよね)
8文字あるのでスーパーハッカーの無慈悲な連続攻撃には耐えられるかも(さすがにサービス側が止めるよね)

・わるいところ
スーパーハッカーに結構簡単に見つけられそう(とりあえずわかんないとpasswordとか入れてみるよね)

知り合いのホワイトハッカー(かっこいい!)に聞いたんだけど、スーパーハッカーはこういうパスワードのユーザーも狙ってるらしいよ。

ええーっ

困ったなあ。

じゃあ、この3つパスワード足せばいいんじゃね?

bogus1234password

 

お、そういう手もありますね。

ということで身近なパスワード3つくらい足せばいいんじゃないか思いました。

(飽きたので終わり)

Written by bogus on 4月 8th, 2013

「ハッカーの手口」でちっともハッカーの手口が紹介されていない件   5 comments

Posted at 8:34 pm in book,computer,diary,internet,Security

お久しぶりです。こんばんは。
ラックの株価がどんどん上がっていくのを指をくわえてみているこの数日です。株持ってる人ごちそうしてください。

cats_2013-03-06_6

遠くからチラ見の引きこもり

最近、Amazonギフト券をたくさん手に入れたので調子に乗ってます。で、電子書籍でも買うべ、と思って、初心者向けに説明するのによさげだと某サイトで紹介されていた「ハッカーの手口」という本を買ってみたのですが、これがいろいろ残念だったので、どこが残念に思ったのか、メモを公開します。

買おうとお思っている人は参考にでもしてみてください。

全体として
・「ハッカーの手口」について全く書かれていないので0点。
・タイトルだけ「ハッカー」にして、まえがきに『便宜上「ハッカー」という言葉を使用していますが、ハッカーの原義は「技術に詳しい人で」犯罪者を含意するものではありません。犯罪を行う人は「クラッカ」と呼ぶべきです、』という説明の後、すべて「クラッカ」の手口の説明ってのは「ハッカー」の手口を知りたいと思って買った読者をバカにしてないか?
・これを読んだだけの人にセキュリティの話とかされると困る

以下個々の項目について
Read the rest of this entry »

Written by bogus on 3月 6th, 2013

imgboard におけるクロスサイトスクリプティングの脆弱性について   no comments

Posted at 2:57 pm in internet,Security,XSS

こんにちは。もはや2月ですね。

相変わらずわたくしの方はゴロゴロと家の中を転がったりネコを愛でたりしています。たまには外に出てお友達に遊んでもらったりもしていますが、たまに原稿を書くほかは貯金を食いつぶす毎日でございます。

cats_2013-02-13_6

最近一番仲のいいお友達

で、それはいいとして14日にJVNから「imgboard におけるクロスサイトスクリプティングの脆弱性」という情報が公開されました。なんか見覚えあるなあと思ったら自分の名前も載っていました。東内です。ああそういえば結構前に報告してとっくに修正されてたあれだー。

Read the rest of this entry »

Written by bogus on 2月 15th, 2013

いくつかの地方自治体のWebサイトのXSS脆弱性について   2 comments

Posted at 8:43 pm in Security,XSS

こんにちは。さまよえる無職の山本です。もう花粉症が始まったのかひどい病気なのかわかりませんが右目がかゆくてたまりません。

それはともかく、年末にゴロゴロしながらテレビを見ていましたら、ある町のことが話題になりまして、そうなるととりあえずググってみるじゃないですか。そしたらその町のサイトなんかが出てくるからちょっと見てみるじゃないですか。
でちょっと見たら怪しい香りがするんですよねー。で、ちょっと調べてみたら、ありました。XSS。

私はログインできるわけじゃないんですが、まあ、変なタグや画像は埋め込めちゃうわけじゃないですか。anonymousにかぶれてるような中学生なんかが見つけてしまったら「Hacked By Silence200」みたいなのを埋め込まれて(昨日やってるのをtwitterで見かけました)拡散されてしまうわけじゃないですか。ああ、恥ずかしい。

それに、後述するようにCMSなので、管理する人はきっとログインするはずなので、ログインしてから変なURL踏んでしまったら、セッションハイジャックされるじゃないですか。いやーん。

cats_2012-12-16_1

年末ゴロゴロしているときのお話です

 

Read the rest of this entry »

Written by bogus on 1月 23rd, 2013

江ノ島に行ってゆたかくんに会ってきたよのこぼれ写真   2 comments

Posted at 12:32 pm in diary,Security,ねこ

江ノ島のゆたかくんに会いに行って会えず、すごすご退散した話は、前のエントリで書かせていただきましたが、

そのエントリを見たScanの方にお声がけいただき、2度目のチャレンジをして、ついに会ってきました。そのことは

【フォトレポート】江ノ島の階段を上って、遠隔操作ウイルス事件のゆたかくんに会ってきました

に書かせていただきましたので、ぜひご覧ください。

そしてそこでは掲載しきれなかったゆたかくん写真とゆたかくん以外の写真を掲載しておきます。

ゆたかくん

ごはんを垂らすゆたかくん

Read the rest of this entry »

Written by bogus on 1月 22nd, 2013