- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
378 :uy ◆e6.oHu1j.o []:2016/06/28(火) 20:25:49.13 ID:rJfg8/KE - ハッキングの話しようぜ!!
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
380 :uy ◆e6.oHu1j.o []:2016/06/28(火) 20:34:35.67 ID:rJfg8/KE - 完全に足跡消す手立てについて考えてたけど
ハッキングしてその後に「何をしたいか?」を考えると
労力に見合うようなメリットなんてソレなわけじゃん
そうなるとハッキング技術でソレを得ようとしてる奴はそもそも社会でまともに生きる事を放棄してると思うから
そもそも完全に足跡を消す努力をしてないんじゃないかと思えてきた
完全に足跡消す事を前提にやってると、ハッキング難易度っていうか
テストケースかな? それが多すぎるな
もし大企業・政府雇われのハッカーであれば
足跡消す事は、必ずしもしなきゃいけない事ではないと思うんだよね
足跡を消す技術は既に完成してるところじゃ環境レベルで完成してるだろうから、個人がそこまで考えたって無駄になる
それよりも、もっと尖らせた技術が必要なのではないか?
ぼくはそう思いました
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
381 :uy ◆e6.oHu1j.o []:2016/06/28(火) 20:41:13.41 ID:rJfg8/KE - 入出力は、その時点でセキュリティホールだ
特に入力に関しては、
与えられるデータ要領に対する制限をどこのフィールドでかけるか?
例えばWebフォームで考えてほしいけど
JavaScriptで文字数を制限したところで
HTMLを改変したらいいだけで、そこに大きなデータを詰め込めば
それはサーバー側で処理しなければならないデータとなる
これはアプリ間でも同じ
つまり、スタック領域で入力を受け取っちゃいけないんだよ
必ず可変長のヒープで受け取らなければならない
しかし全ての入力に対してタイムアウト処理を入れてるか?
そんなコードは見た事ない
環境やアプリで文字数を制限したところで
その奥のソースコードレベルではノーガード
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
382 :uy ◆e6.oHu1j.o []:2016/06/28(火) 20:53:08.87 ID:rJfg8/KE - 何らかのデータを多くのクライアントPCから集めているとします
例えば検索結果のログが溜まっていくとしよう
「uy 凄い」 「uy ubygems 関係」 などだ
しかし悪意のある第三者が、そのsubmitを解析し、実際に検索していないデータを送信し続け
「123456787654....」 「ywgfbcuwyegfuywfka...」 ..... こういうゴミデータを送られ続けたらどうなってしまうのか
普通は解析されないと思ってる部分をガードしてるわけがない
データは壊されたり、または掲示板の「荒らし」のように
正常なデータ(bbsでいうレス)を読むのが困難なデータになってしまう
ソースコードレベルでも「荒らし対策」は必要
一か所に集計すると、このように攻撃されるリスクが高まってくる
ではP2Pはどうか、
P2Pも潰す側に本気出されたらダメ
1万ノードしかない世界に、悪意のある5万のノードを投入されたら滅びるよね
ではどうしたら良いか、PCカタカタの限界
外の世界で、物理的に戦うのだ
高い技術力ではなく低い技術力で勝負できる環境作りをする
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
385 :uy ◆e6.oHu1j.o []:2016/06/28(火) 21:09:19.76 ID:rJfg8/KE - 効率を考えたら、PCカタカタはやってられない ああああ本末転倒
よって、ここは効率を度外視でハッキングに勤しむべき
ハッキングとはそもそも外の世界でやればすぐ終わることを、PCカタカタのみでやってる効率の悪い行為なんだ
それを前提でやっていこう
高尚なプライドなんて捨てて、誰にでも可能で簡単ですぐにでも始められる攻撃方法が重要なはず
ただでさえ効率の悪い行為を、それ以上に効率を悪くしたら、本当にバカげたコストパフォーマンスになってしまうぞ
人生もハッキングも、ようはコスパである
目的を設定し、手段をコスパで選ぶ
目的 いま我々に必要なのは完全匿名インターネットのはず
それが主体では無くても良いが、選択肢はあるべきだ
インターネットリソースの半分は、名前(IP)付き
もう半分は完全匿名、(IP無し)
そこが自分の求めるインターネットの形
匿名ユーザーが足りてない 皆もアノニマスになろう!!!!!
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
387 :uy ◆e6.oHu1j.o []:2016/06/28(火) 21:27:49.10 ID:rJfg8/KE - >>384
文字数を数えるには、どこかの段階でメモリに展開しなければならない
そこにダイレクトにデータ突っ込まれたら
スタック → オーバーフロー
ヒープ → メモリ取得エラー
この二つの結末しかない だから
新規スレッド {
<ヒープ> static var = <データ>.read
}
↑ タイムアウト N 秒
これしかない
ネットワークプログラムではデータに対しては本来タイムアウト処理をしないと
大きいデータ突っ込まれたらサーバーは死ぬ
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
391 :uy ◆e6.oHu1j.o []:2016/06/28(火) 21:41:20.55 ID:rJfg8/KE - >>388
全ての場所でそれをやっているかネットワーク関係のソースコードを見てこい
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
393 :uy ◆e6.oHu1j.o []:2016/06/28(火) 21:49:23.78 ID:rJfg8/KE - >>390
例えば・・・
<input type="hidden" name="key" value="1464139565">
↑これ。
value=""
ノミには理解できないかもしれないが
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
394 :uy ◆e6.oHu1j.o []:2016/06/28(火) 22:00:49.17 ID:rJfg8/KE - >>393
http://wiz.came.ac/blog/2013/06/htmlform.html
検証してる人がいる
このヤバさはノミでも理解出来ると思うが
|
- スレ立てるまでもない質問はここで 143匹目 [無断転載禁止]©2ch.net
395 :uy ◆e6.oHu1j.o []:2016/06/28(火) 23:51:28.64 ID:rJfg8/KE - >>390
逃げてばかりでいいんですか?
|