1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

QRコードからファジングする(sQRCodeFugging.exe{sWebTool})

Last updated at Posted at 2020-01-27

ver5.2.5.0 から sQRCodeFugging.exe(sWebTool) を同梱した。

はじめに

私はWebアプリケーションのセキュリティ診断業務を生業にしていますが、、、稀に

  • 入力インターフェイスがQRコードがなんですけど・・・

などという相談を受ける時があったりなかったり・・・

まぁ、大抵は、QRコードリーダーを迂回して、サーバ側のWebAPIに直接アクセスすることで、Webアプリケーションのセキュリティ診断テクニックを応用できるので、そうすることで作業(診断サービスの提供)はできるのだけど・・・

  • QRコードリーダーを迂回する経路がない
  • QRコードリーダーとサーバ間は http ではない(CorbaとかRMIとかDCOMとかRPCとかgRPCとか)ので、サーバに直接って無理(もう、Webアプリケーション診断のサービス対象ではないのだが・・・(>_<))

・・・という際に、このツールを使って、QRコードの画像から、ベースの文字列を抽出し、それに応じたファジングしたQRコードを複数生成できます。

画面説明

sQRCodeFugging1a.png

  1. ベースとなるQRコードの画像を読み取り(または元となる文字列を直接入力する)
  2. 置換パータンを設定する
  3. QRコード画像の出力先ディレクトリを設定して
  4. 各種設定して・・・
  5. 「Create」ボタンで、QRコードの画像が指定されたディレクトリに出力される
  6. あとは、印刷などして、QRコードリーダーにひとつずつ読み込ませればいいでしょう

以下、いくつか注意点

  • 右上の「ソースとなる文字列」のテキストボックスはURLデコードしてからQRコード作成をするので、「%」とか「+」とかはURLエンコードしておいてくれ
  • この URL エンコード/デコードの関係で、文字コードを指定する必要があって、上記のサンプル画像では「shift_jis」になっているけど、大抵は ASCII 系のみだろうから、文字コード系でトラブルことはないと思う
  • リストボックスと、その上での置換パターンについては「%s%」が「ソースとなる文字列」を示すマクロ文字になっている(上記のサンプル画像だと「%s%」が「Test」に置換される)

Android アプリ

手動で、少しずつ試したい場合は、こちら(↓)

画面説明2(QRコード認証のクライアントのQRコードリーダーとして・・・)

ver5.3.0.0 から「sAuthenticator.exe」の同梱に伴い、QRコードリーダー的側面が強くなってきた。

QRコードを読み取り、otpauthスキームのURIの場合、「sAuthenticatior.exe」を呼び出すことができるようになった。
デスクトップ/画像ファイル/カメラ(ver6.0.0.6まで未実装)から、QRコード認証のQRコードを読み取り、「sAuthenticator.exe」へ渡すとパスコードを取得できるようになった。

ver6.0.3.8からカメラからも取得できるようになった(USBカメラを使ってみようUsbCamera.csを使用しています)。

sQRCode.png

インデックスへ戻る

sWebTool Manual index

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?