「スクリプトキディ」を含む日記 RSS

はてなキーワード: スクリプトキディとは

2017-03-22

JINSマジでやばい

https://twitter.com/piyokango/status/844361226767380481

という話があり、その現物なのだが、

http://www.freezepage.com/1490165400GAZZVSXBDT

であるキャッシュの freezepage ですまんが、まあいいだろ。

これ自体はハセカラ界隈のスクリプトキディが show tables かなんかを実行する jsp 一枚仕込んだというだけの話なのだと思うが、問題JINS対応だ。

t_jins_gmo_brandtoken_cancel_if_rireki

t_jins_gmo_brandtoken_change_if_rireki

t_jins_gmo_brandtoken_entry_if_rireki

t_jins_gmo_brandtoken_exec_if_rireki

などといったテーブルから、おそらく GMO ペイメントトークン決済を利用しているものと思われる。これはクレジットカード番号を一切 JINS 側のサーバーに通過させなくていいような構成になっており、今回のこの事例から JINS 側が保存していたクレジットカード情報流出した可能性は、恐らくない。

しかしながら今回攻撃されたドメイン https://www.jins.com/ にはクレジットカード入力ページが存在している( http://s.ssig33.com/gyazo/d09c0f5915f84eab8c8712eb0d23150d )。

この為、こうしたページも不正に改造されていた場合攻撃を受けていた期間に入力されていたクレジットカード番号が不正流出している可能性がある。

ところで JINS 側はこうした問題認識して今朝未明メンテナンスを行なっていたようである( https://www.jins.com/jp/news/2017/03/322.html )。

推測するに、調査をしたところクレジットカード番号入力ページの jsp なりなんなりが改竄されていた事実はとりあえず確認できなかったので、特になんの発表もしていないのであろう。ところで JINS は 4 年前にもサイトクラックされクレジットカード番号を流出させた経験がある( https://www.jins.com/jp/illegal-access/info.pdf )。にも関わらずこの対応ちょっとおざなりすぎではないだろうか。

現実可能性は低いと思うが、例えば以下のような可能性が考えられる。

1. ハセカラ関係者っぽく見せかけた低レベルクラック ↑ を行なう

2. その裏でクレジットカード番号入力ページに本気のクラックを仕掛ける

3. 1. でしかけたハセカラクラックが露見する前に 2. のクラックについては撤収して 1. の証拠だけを残しつつ 2. の証拠を消す

このようにすることで、クレジットカード情報収集していたという事実関係各位に認識させる時間可能な限り遅らせ、不正な買い物などをする時間の余裕を稼ぐことができる、かもしれない。もちろんこんなことが行なわれた可能性はほとんどなくて、事実バカスクリプトキディ適当に遊んでいただけなのだと思う。しかしこの可能性を無視していいとは思えない。

こうした可能性について調査するには 7 時間では全く足りないし、あるいは一度外部に大々的に告知をしてサービスを停止するなどの対処必要ではないか

JINS は 4 年前のクラック被害から何も学んでおらずユーザーデータ資産を防護する基本的姿勢が欠けているとしか思えない。

2016-02-24

http://anond.hatelabo.jp/20160223235707

ワナビーIT界隈の中二病とどこかで聞いた。その彼はいわゆるスクリプトキディになりたかったんだろう。

2015-12-10

近未来SF作品さらにもう少し先の世界犯罪事情が気になる

近未来世界においてすでに当たり前になっている何らかの技術があり、それを一般人よりもずっと高いレベルで使いこなす人が主人公だったり敵キャラになったりする作品がよくある。

例えば攻殻機動隊で言えば、電脳化によって脳とネットワークが直結されている人間が大半の世の中で、義体と呼ばれるサイボーグ技術も普及していて一般人部分的義体を使う人は多いし、脳以外全身義体の人もたまにいる。軍人やなんかは特別に強化された義体を使ってスーパーマンのようなパフォーマンスを発揮したりもする。

そんな世界主人公やその周辺の人々は、高度な電脳スキル(ハッキング能力)で他人電脳に侵入し記憶を覗き見たり体を操作したりするわ、義体特別製だからバイク事故っても死なないしビルから飛び降りたりもできちゃうわでもう大活躍なわけですよ。

でもこれってさ、最先端設備(軍や警察特殊部署悪の組織など)がベースにあって、かつ世界最高クラススキルを持った人たちだけが大暴れしているかギリギリOKなわけであって、一般人までみんなそういうことをやりだしたら社会は大変なことになると思うわけですよ。

そんなことになる前に法整備はされてビル屋上からジャンプしちゃダメってことになるだろうし、侵入されにくい電脳も開発されると思うけどそれでも一部の犯罪者やヤンチャな人々は止められないと思うので、そうなるといったいどうなるのかなーと。

今で言うところのスクリプトキディや、DDoSサービスに金を払って依頼しちゃう人、違法ファイル交換なんかがもっとパワフルになるようなイメージだろうか。

そういう、一般人制御することができなくなった社会みたいなものを扱った作品ってなんかないのかなー?

それとも制御できなくなるというおれの妄想はあまり実現性が高くない(リアリティが無い)のだろうか。

いろいろ意見を聞きたい

現実世界でも個人が爆弾を作れるようになったりドローン飛ばして何かしら悪用したりできるようになってきているわけで、特別立場スキルのない一般人暴走社会に与えられるダメージってのは技術の発展によってだんだん大きくなっていると思うのです。今以上に技術の進んだ近未来世界ではきっともっと大変になっているのではないかなあという気がする。

2014-11-08

中学生ハッカーゴーストライターになった話

兄弟からプログラミングやりはじめたんだけれど、この問題の答えになるようなのJavaで書いて欲しいんだ」みたいなリクエストがあった。

以前からパソコンハッカーとかに興味があった従兄弟で、

俺は一応エンジニアで飯を食っているのでよく懐いてくれた。

よくある初心者用の問題だったので、初心者が躓くポイントコメントをつけてメールで返す。

何度かやり取りが続いた。

たまにコードダメ出しをして欲しいとかいってくるが、ほとんど俺が書いていた。

俺の勘としては勉強のためというかは宿題の代行をしているみたいな気がしてきた。

なんかどこかに公開してんじゃないか?と思って、

コードのある部分をグーグル検索してみた結果一つのブログが出てきた。

ブログというよりは、SNSに近いあのサービスなのだが、完全に俺のコードがそのまま公開されていた。

そこの主のIDも従兄弟メールIDとかなり近い。

レーベンシュタイン距離が3で済むくらいIDが似ている。

もう完全に本人。

ハッカーバトル

なんかそのブログはいわゆるワナビーたちがいっぱいコメント書いていて

何だが微笑ましいんだけれども

なんかワナビーたちのグループが幾つかあって、そのグループ間でバトルになっていた。(総勢7人もいなかったが)

情弱とかスクリプトキディとかそんな煽り言葉が飛び交い、知識のひけらかしと揚げ足取りの激しい応酬が繰り広げられていた。

IP抜く、IP抜いてそこにトロイを送る、IPで住所を調べる、IPでどこ中かしらべる。

などなど…いやいや、IP信仰すげーよ。

太古の日本本名を知られたら魂を操られるという信仰くらいIP信仰すごいよ。

Wikipediaとかで知識を仕入れるんだろうね。

SQLインジェクションでお前のパソコンパスワード抜く」とか、「クロスサイトスクリプティングクッキー攻撃だ」とか…

攻撃名前ってかっこいいもんね。

分かる俺も中学生だったら使いたくなっちゃう。

そんな中で、従兄弟自分の成果として俺のコードを出していた。

ヘッダの署名や、冗談MITライセンスを記載していたがそれまでそのままコピペ

ここに集まってくる子たちはどんな子なのかと、それぞれのIDをぐぐってみたら

出るわ出るわ。ツブヤキサービスや別のブログサービスアカウントが…そして学校名も…

不正アクセスなんかしなくても個人情報すぐわかるのに、彼らはバトル中にそれらググれば分かる情報をつかって煽ることは無かった…

まあ、そんなもんか

とりあえずおもしろいので、しばらくゴーストライター続ける。

リアルタイム生産される黒歴史が見れて兄ちゃんちょっと懐かしい気持ちになったよ。

しばらくすれば飽きてくるだろう。

その時は従兄弟スキルがつくかも知れないから、一緒にソフトウェア開発をしたいと思っている。

スマホアプリとかWEBサイトとかね。

2014-05-23

遠隔操作事件デスノート共通点と相違点

相違点も多すぎる程にあるのだが、共通点が多い事件だと思った。 以下、反論大歓迎。 

共通点

 ・犯人単独犯の独身男性ということ(ミサミサとか魅上照はというツッコミはさておき)

 ・正義検察側)が最終的に勝つという所

 ・正義側がいくらなんでもやりすぎじゃない?ってことをやったこと。(遠隔操作→取り調べ方法問題点等)

 ・警察プライドにかけて超本気出す所(デスノート警察関係者家族ビデオ撮影など  遠隔操作雲取山の掘り起こし、数ヶ月に渡る尾行等)

 ・主人公夜神月orゆうちゃん)の子供じみた性格挑発に乗りやすいとことか。

 ・主人公は箱入り息子のおぼっちゃま(参考:ゆうちゃんは学習院の中高出身

 ・第一部(遠隔操作冤罪逮捕)は主人公側が完勝だったこと

 ・第二部も途中までかなり主人公有利な展開であったこと

 ・主人公、そんなアクティブに行動しないほうが良かったのでは・・・・ という無茶な行動の数々。

    デスノート→有名な犯罪者だけ事故死とか病死とか死因をばらけさせればよかった(犯罪への抑止力を持たせるために敢えてキラ存在を世に知らせたかったので全部心臓麻痺にした)  ゆうちゃん→2秒で250字を書き込ませる。

 ・最後最後主人公ミスによって勝負完膚なきまでに決してしまうこと

 ・自分以外の真犯人存在を仄めかす言動。

    →デスノートだと第一部でキラ監禁中のヨツバキラ。 遠隔操作だと公判中の予告送信   …ここホントしかったよなあ・・・・・・・・・ 詰めが甘かった。  誰か協力者を保釈後の短時間で作れればまだまだ面白い展開が続いたのに。 

 ・第一部で完全犯罪に出来たはずなのに、残した証拠等が第二部に繫がって自らの破滅に繫がったこと

    (これはやはり主人公自己顕示欲 もしくは 承認欲求関係している?)

 ・検察側を挑発する多くの言動。 (デスノート死刑囚を操って書かせた手紙など)

 ・主人公が疑われる立場として最大級の怪しいポジションにいたこと

  (夜神月警察関係者、 ゆうちゃん→のまネコAvex殺害予告事件前科などなど)

 ・崇拝者が多い所(デスノートキラの行動に対して、遠隔操作事件はゆうちゃんのキャラクターに対して)

 ・事件を犯した凶器?が普通一般人レベルを超えた力であること デスノート→人を殺せるノート ゆうちゃん→スーパーハカーが作るウィルス (だからこそ裁判では自分はただのスクリプトキディ無能だと証明しようとしていた)

 ・ひたすら論理を積み重ねて追求していくスタイル事件

     デスノートは対決における推理部分、遠隔操作裁判部分 と おそらく警察内部での犯人特定する際の調査部分。   んんwwwwロジカルですぞwwww

◆相違点

 ・夜神月イケメンだが、ゆうちゃんは(省略されました、続きを読むにはパペピアパペピアと書き込んでください)

2013-10-01

http://anond.hatelabo.jp/20131001205555

あぁ、そこに書いてあるのは元のツイート?何かとはレベルの違う本当にIPのハックに関する話。

どっちも低いレベルではあるけど、それでもレベルが違う会話だ。

片一方は素人

片一方はスクリプトキディ*1かなにかだろ。

*1他人が書いたツールをつかてハッキングしたり、他人が書いたスクリプトを使ってハッキングするいわゆるツール使いの意味

2011-04-29

本当の情報強者と向き合えますか? 意識の高い情弱チェッカー

電卓片手に数字を足していってください。

OS

種類
Windows5
Mac OS10
Linux10
自作OS20
バージョン
ベータ20
現行版10
一つ前5
二つ前0

ブラウザ

種類
IE8以下IE9FirefoxChrome/RockmeltOperaSafariw3mlynxwget/curl/lwpUA無し
05666510102030

UA無しの人はもしかするとtelnetを使ってるかもしれないので

補足
バージョン
開発版、dev版、Minefieldアルファ20
ベータ15
RC10
リリース版(通常)5
リリース版-13
リリース版-22
2つ以上古い0
Flash
アルファ20
ベータ15
リリース版(通常)5
半年上前バージョン3
それ以上前0

プロバイダ

Dynamic? or Static?
固定IPアドレス15
動的IPアドレス0
IP version
Direct IPv620
6to4/6rd IPv610
IPv40
RTT to www.google.co.jp
$ ping www.google.co.jp
151msec以上0
101-150msec5
51-100msec10
31-50msec20
11-30msec25
0-10msec30

結果

ポイント称号ハッカーレベル
121以上意識技術も高いハイレベルエンジニアグル
110-120100M人に1人のホンモノエンジニアウィザード
90-109凄腕ハッカー
70-89意識の高い情報強者ギーク
60-69それなりに意識の高い情報強者
60-59意識の中程な情報強者
40-59自称情強スクリプトキディ
30-39自称意識の高い人
30未満意識の低い情弱

2010-04-04

http://anond.hatelabo.jp/20100404015135

最先端の知識ねぇ・・・。

基礎ができてないのに、先端知識を使って残念な思いをしているプロジェクトなら今 大量に火をふいていて、俺が今終わらせようとしている。

コードを読めば読むほど、基礎が無いのに 最先端ライブラリを使って、使い方誤りでバグってるって話になっていて・・・。

なんつーかなぁ。

 

ほら、バスケ映画で練習しないで試合で活躍したいみたいな、笑われシーンあるじゃん?あれと同じだと思うんだよね。

基礎ができてないのに、最先端なんか、できるわけねーじゃねーかと。

逆に、金稼ぎのために、最先端ツールだけを使って、スクリプトキディ的にうまいとこだけ喰っていくなら、

あんたが、嫌いだと言っている、『MGだかPMだかコンサルになっていく』と何が違うんだと。

 

コードで何かを表現したいなら、山のように読んで、山のように作る。

それしかねーよ。

 

え?いつまで基礎かって? 死ぬまでだよ。基礎は一生だよ。一生進化し続けるのが基礎だ。

 

ドリルは地面を掘る物。

2008-10-11

http://anond.hatelabo.jp/20081011203455

たぶんapacheアクセスログか何かをmoreでちゃっちゃと表示するだけで

草なぎ君がBINDパッチ当てて直す奴だっけ。あれが思いうかんだ。

そういえば、昔のクラックって、YouTubeワリオランドシェイク見たいな事やってるよね。さすがだよね。

それにひきかえ、マトリックスときたら、sshdをクラックしてるんだからスクリプトキディもいいところだよな。

2008-02-02

今昔さっき物語

さっきXSS Challenges をやっててふと思った。もしこれがリドルゲームの一種として脱出ゲーム大百科とか Gotmail SNS とかその辺りにリンクされたらどうなるんだろうって。

スクリプトキディがたくさん、モラルがどーたらで怒り出す人がそこそこ、これがきっかけでセキュリティに目覚めて将来のネット界隈に貢献する人がちょびっと出てくるんじゃないかって思ったけど、ジャンル外でまず登録されないのがまっとうな線だろうなあ。

そこからさらに連想した昔の話。ある時数日間、自分の作品が置かれてるサーバでやたら 404 エラーが出てた。何だろうと思って調べてみたら、一人の人が存在しない(ごく稀に存在する)ファイル名をあれこれ打ち込んでいた。

なんじゃこりゃあと驚きつつ、入力された単語を一つ一つ見てみると、どうやら昔そこに関係した掲示板で自分が発言した言葉から連想したものを片っ端から打ち込んでるらしい。リドルゲームのノリでファイルを探してるんだと気付いて、自分にはそういう応用をする発想はなかったなあと、よそさまの行動と思考に二度驚いた。

そこからさらに連想した今の話。トライアンドエラーってほんとはトライアルアンドエラーらしいから、今度から間を取ってトライアンルエラーって言おうと思った。主に心の中で。

2007-07-29

http://anond.hatelabo.jp/20070729103253

だから……オタは一枚岩じゃないし、他のオタの行動が理解出来るわけではない。オタなんてものは趣向から判別されただけの多種多様な集団の一つに過ぎないのだから、オタならオタを擁護出来るというわけでもないし、他の人と共に、或いは、それに直接影響を被る人間として、他の人以上に非難したくなる場面というものが存在する。

……といってもわかりにくいかもなので、別の喩えで書いてみよう。あなたは物凄いコンピュータ技術を持った人間、所謂ハッカーで、GNUに代表されるようなフリーソフトビール券のような無料フリー>ではなく、自由<フリー>スピーチのフリー、つまりオープンソース)の理念に賛同し、日々Mozillaの改良に励む(貢献できる部分がないか探しながら Mozillaコードに目を通す時には、思い出して欲しい:ここで負けてしまったら、この戦争全体に負けてしまうんだ。――Dave Whitinger の理念に則って、Microsoftに汚染されたWeb解放する=Rediscover the webために)、そんな偉大な志を持ったハッカーです。それなのに、世間ではハッカークラッカーと混同され、クラッカーたちの破壊的行為は悪し様に言われ嫌悪される。ハッカークラッカーは(スクリプトキディなんかは除けば)同様に高等なコンピュータ技術を持つことにおいて同一の存在だけれど、その内実は大きく違う。あなたはきっと、世間以上に強くクラッカーを非難し、そして嫌悪するだろう。これは逃げか?いいや違う、あなたはもしかすると(同様に、DVD業界や一般からはクラッカーと呼ばれうる)DVDのヨン(DVDCSSiTMSのFairPlayをクラッキングしたハッカーで、LinuxDVDiTMSが利用出来るのは彼のおかげ)に賛辞を送るかもしれないけれども、データベースに侵入して顧客情報を盗んだクラッカーを賞賛はしないだろう。オタはここまで崇高ではないけれども、同じように、似た趣味を持っているからこそその行動をより嫌悪してしまうこともあるし、それは、他の事例でも変わらないと思うんだ。宗教なんかではもっと激烈にこれを見ることが出来るし、ゴスロリ界隈でも真性と似非とでやはり確執があるみたいだし。それを単に「オタ内部の」云々言えるのは、単にそれに関する理解もないし、興味もないからに過ぎないと思うんだ。

 
ログイン ユーザー登録
ようこそ ゲスト さん