ver5.2.5.0 から sQRCodeFugging.exe(sWebTool) を同梱した。
はじめに
私はWebアプリケーションのセキュリティ診断業務を生業にしていますが、、、稀に
- 入力インターフェイスがQRコードがなんですけど・・・
などという相談を受ける時があったりなかったり・・・
まぁ、大抵は、QRコードリーダーを迂回して、サーバ側のWebAPIに直接アクセスすることで、Webアプリケーションのセキュリティ診断テクニックを応用できるので、そうすることで作業(診断サービスの提供)はできるのだけど・・・
- QRコードリーダーを迂回する経路がない
- QRコードリーダーとサーバ間は http ではない(CorbaとかRMIとかDCOMとかRPCとかgRPCとか)ので、サーバに直接って無理(もう、Webアプリケーション診断のサービス対象ではないのだが・・・(>_<))
・・・という際に、このツールを使って、QRコードの画像から、ベースの文字列を抽出し、それに応じたファジングしたQRコードを複数生成できます。
画面説明
- ベースとなるQRコードの画像を読み取り(または元となる文字列を直接入力する)
- 置換パータンを設定する
- QRコード画像の出力先ディレクトリを設定して
- 各種設定して・・・
- 「Create」ボタンで、QRコードの画像が指定されたディレクトリに出力される
- あとは、印刷などして、QRコードリーダーにひとつずつ読み込ませればいいでしょう
以下、いくつか注意点
- 右上の「ソースとなる文字列」のテキストボックスはURLデコードしてからQRコード作成をするので、「%」とか「+」とかはURLエンコードしておいてくれ
- この URL エンコード/デコードの関係で、文字コードを指定する必要があって、上記のサンプル画像では「shift_jis」になっているけど、大抵は ASCII 系のみだろうから、文字コード系でトラブルことはないと思う
- リストボックスと、その上での置換パターンについては「%s%」が「ソースとなる文字列」を示すマクロ文字になっている(上記のサンプル画像だと「%s%」が「Test」に置換される)
Android アプリ
手動で、少しずつ試したい場合は、こちら(↓)
画面説明2(QRコード認証のクライアントのQRコードリーダーとして・・・)
ver5.3.0.0 から「sAuthenticator.exe」の同梱に伴い、QRコードリーダー的側面が強くなってきた。
→
QRコードを読み取り、otpauthスキームのURIの場合、「sAuthenticatior.exe」を呼び出すことができるようになった。
デスクトップ/画像ファイル/カメラ(ver6.0.0.6まで未実装)から、QRコード認証のQRコードを読み取り、「sAuthenticator.exe」へ渡すとパスコードを取得できるようになった。
ver6.0.3.8からカメラからも取得できるようになった(USBカメラを使ってみようのUsbCamera.csを使用しています)。
