Меню

Подарок через qr код

Квест с qr-кодами на день рождения. Инструкция по созданию подарка

— Хорошо когда тебе 4 года: ты можешь взять пульт от телевизора и позвонить Бэтмену.

— Да я и щас могу!
из чудесного блога hloflo

Добрый день! Давно не виделись, верно?)) Соскучились? Я — очень!


И на этот раз я порадую вас описанием свежего (недельной давности) подарка-квеста, который мы провели для нашего хорошего друга Квана

Приятного чтения, наслаждения и вдохновения))

Что такое квест? В сущности это игра, суть которой можно выразить несколькими словами:

За подарком нужно побегать!

Квест можно делать по квартире, комнате или району города (но мы лично работаем над увеличением масштабов).

В данном случае мы решили пойти новым неизведанным для нас путем и в ключевых точках использовать QR-коды.

Подарков было два. Квест по идее должен был приводить к первому из них))

Мы с друзьями собрались за неделю до мероприятия и пробежались по району, где обитает наш именинник.

Чтобы сохранить интригу смысл кодов раскрою чуть позже))

Традиционно поведу рассказ уже с момента поздравления.

Кван получил от нас вот такой мануал))

Первое задание имело такой вид:

Забавно то, что кода мы увидели автомобиль с наклейкой «щастье», то конечно же решили вписать его в квест!

Ответом в данном случае была Ива и qr-код — был первой находкой нашего именинника.

Квану срочно пришлось устанавливать программку для распознавания кодов.


7darov (c)

Несмотря на пару допущенных нами багов, потихоньку дело пошло на лад

По дороге был запланирован «Портал» для заказа желаемого

И место для «перезагрузки» — ведь в такой день нужно обязательно избавиться от ненужного.

Пару страниц при скреплении мы все-таки перепутали, не без этого

Говорят, за такие подсказки на настоящем квесте нас бы немножко убили))

Но облака как раз-таки совпадали

«Башня принцессы» — так это место было названо. Хорошо, что ке-кто все же неплохо ориентировался в своем районе.

А в целом нас тянуло на романтичные названия

Хотя в реальности было как-то вот так:

И ближе к концу маршрута не обошлось без спуска по водостоку:

И! та-дам! раскрываю интригу!

После того как мы пробежались по маршруту стало ясно, что так как подарок у нас был очень объемный и прятать его все равно придется дома у именинника.

Посему было решено, что qr-коды будут просто образовывать фразу «счастье — не место, а способ путешествовать
(что в точности отображало сложившуюся ситуацию)

А ответ на вопрос: «а где же мой подарок?» был хитро зашифрован в одном из qr-кодов, который мы приберегли и клеить не стали.

И только когда именинник открыл последнюю страничку мануала — код был отправлен на электронную почту (со смартфона)

И как приятно вернуться домой и найти дома свой подарок! А то!

С Днем рождения, наш любимый Кван.


Подарки-квесты — потихоньку становятся хорошим хобби и кто знает, возможно мы будем воплощать их и для других хороших людей (если что обращайтесь )

смотрите что у нас уже сделано:

и пару подарков с загадочным и длинным сценарием — про торсионные поля и про 3D-пазл

Хочется подарить что-то необычное и подольше провести время с друзьями? Welcome!
Это очень хорошая идея.
Что требуется? Легкое веселое настроение и свободное время.
НЕТ времени? Не может быть!

Вспомните слова Тимура Гагина «если у нас нет времени на друзей, все остальное — потеря времени.»
Жизнь на то и дана чтобы мы общались и делали другие прекрасные вещи, верно?))

Нам очень хочется чтобы эта идея вдохновила вас на создание своих интересные поздравления!

Кстати! И это еще не все! В одной из следующих статей я расскажу про гениальную игру которую придумала Оля (про которую я писала вот тут) ко дню рождения Квана

Источник статьи: http://7darov.com/unusual-gifts/surprise/484-quest-gift-ideas.html

Квест с qr-кодами на день рождения. Инструкция по созданию подарка

— Хорошо когда тебе 4 года: ты можешь взять пульт от телевизора и позвонить Бэтмену.

— Да я и щас могу!
из чудесного блога hloflo

Добрый день! Давно не виделись, верно?)) Соскучились? Я — очень!


И на этот раз я порадую вас описанием свежего (недельной давности) подарка-квеста, который мы провели для нашего хорошего друга Квана

Читайте также:  Для новогодних подарков приобрели 192 конфеты 144 мандарина 168 яблок решение

Приятного чтения, наслаждения и вдохновения))

Что такое квест? В сущности это игра, суть которой можно выразить несколькими словами:

За подарком нужно побегать!

Квест можно делать по квартире, комнате или району города (но мы лично работаем над увеличением масштабов).

В данном случае мы решили пойти новым неизведанным для нас путем и в ключевых точках использовать QR-коды.

Подарков было два. Квест по идее должен был приводить к первому из них))

Мы с друзьями собрались за неделю до мероприятия и пробежались по району, где обитает наш именинник.

Чтобы сохранить интригу смысл кодов раскрою чуть позже))

Традиционно поведу рассказ уже с момента поздравления.

Кван получил от нас вот такой мануал))

Первое задание имело такой вид:

Забавно то, что кода мы увидели автомобиль с наклейкой «щастье», то конечно же решили вписать его в квест!

Ответом в данном случае была Ива и qr-код — был первой находкой нашего именинника.

Квану срочно пришлось устанавливать программку для распознавания кодов.


7darov (c)

Несмотря на пару допущенных нами багов, потихоньку дело пошло на лад

По дороге был запланирован «Портал» для заказа желаемого

И место для «перезагрузки» — ведь в такой день нужно обязательно избавиться от ненужного.

Пару страниц при скреплении мы все-таки перепутали, не без этого

Говорят, за такие подсказки на настоящем квесте нас бы немножко убили))

Но облака как раз-таки совпадали

«Башня принцессы» — так это место было названо. Хорошо, что ке-кто все же неплохо ориентировался в своем районе.

А в целом нас тянуло на романтичные названия

Хотя в реальности было как-то вот так:

И ближе к концу маршрута не обошлось без спуска по водостоку:

И! та-дам! раскрываю интригу!

После того как мы пробежались по маршруту стало ясно, что так как подарок у нас был очень объемный и прятать его все равно придется дома у именинника.

Посему было решено, что qr-коды будут просто образовывать фразу «счастье — не место, а способ путешествовать
(что в точности отображало сложившуюся ситуацию)

А ответ на вопрос: «а где же мой подарок?» был хитро зашифрован в одном из qr-кодов, который мы приберегли и клеить не стали.

И только когда именинник открыл последнюю страничку мануала — код был отправлен на электронную почту (со смартфона)

И как приятно вернуться домой и найти дома свой подарок! А то!

С Днем рождения, наш любимый Кван.


Подарки-квесты — потихоньку становятся хорошим хобби и кто знает, возможно мы будем воплощать их и для других хороших людей (если что обращайтесь )

смотрите что у нас уже сделано:

и пару подарков с загадочным и длинным сценарием — про торсионные поля и про 3D-пазл

Хочется подарить что-то необычное и подольше провести время с друзьями? Welcome!
Это очень хорошая идея.
Что требуется? Легкое веселое настроение и свободное время.
НЕТ времени? Не может быть!

Вспомните слова Тимура Гагина «если у нас нет времени на друзей, все остальное — потеря времени.»
Жизнь на то и дана чтобы мы общались и делали другие прекрасные вещи, верно?))

Нам очень хочется чтобы эта идея вдохновила вас на создание своих интересные поздравления!

Кстати! И это еще не все! В одной из следующих статей я расскажу про гениальную игру которую придумала Оля (про которую я писала вот тут) ко дню рождения Квана

Источник статьи: http://www.7darov.com/unusual-gifts/surprise/484-quest-gift-ideas.html

QRCARD | Открытки с qrcode

❣️Мы хотим помогать людям находить уникальный подарок для близких. Открытка с QR кодом, хранящим оригинальное поздравление, которое запомнится надолго и понравится всем без исключения☀️

🔻Как это работает?
Показать полностью.
🔹Вы отправляете нам фото и текст, которые хотите зашифровать в открытку.
Мы все это шифруем и вы получаете милую открытку с уникальным дизайном.
Теперь ее можно подарить, а чтобы расшифровать достаточно просто навести камеру в телефоне на код.

🔻Что можно вставить в Qrcode?
🔹 Фото, Видео, Презентацию или просто Текст.
Ну а если пока не решил, что же именно хочешь спрятать в открытки — сообщи нам и мы создадим пустую папку, куда ты сам вставишь все, что пожелаешь😉

Читайте также:  Подарок мама платье оригами

🔻Остались вопросы?
🔹 Смело задавай их администрации группы. Мы милые и добрые, так что с радостью поможем☺

🔺И специально для тебя — наши хэштеги для ориентации в группе:

#qrcard — по этому хештегу вы можете найти нашу продукцию
#qrcode- здесь вы можете посмотреть, как используется QR-code

#Отзывы@qrcard_corporation — хештег, по которому вы можете посмотреть все отзывы о нас

#Видео_обзор@qrcard_corporation — здесь вы найдёте наши видео обзоры, которые помогут разобраться КАК ВСЯ ЭТА МАГИЯ РАБОТАЕТ

#Открытки@qrcard_corporation — вся информация о дизайнах наших открыток. Смотрите какие они миленькие:))

#Статья@qrcard_corporation Ну тут интересная информация, собранная для вас воедино. Почитайте на досуге.

#Новое@qrcard_corporation Узнай о новинках, историях и почерпни для себя самое-самое

#Жизнь@qrcard_corporation Ну здесь немного о нас — создателях и вдохновителях Бренда QRCARD

#congratulation #подарок #present #поздравление — по этим хештегам вы можете сравнить нашу продукцию с другими существующими

Источник статьи: http://vk.com/qrcard_corporation

Вкуриваем QR. Как сделать QR-код с сюрпризом

Содержание статьи

QR-код (англ. Quick Response Code — код быстрого реагирования) — это матричный или двумерный штрих-код, который может содержать до 4296 символов ASCII. То есть, проще говоря, картинка, в которой зашифрован текст.

История вектора атаки

В мае 2013 года специалисты компании по сетевой безопасности Lookout Mobile разработали специальные QR-коды, которые смогли скомпрометировать очки Google Glass. На тот момент очки сканировали все фотографии, «которые могут быть полезны их владельцу», — и предоставили взломщикам полный удаленный доступ к устройству. Исследователи сообщили в Google о данной уязвимости, и ее закрыли буквально за несколько недель. К счастью, исправить успели до того, как ее можно было использовать вне лаборатории, ведь взлом очков реального пользователя мог привести к большим проблемам.

В 2014 году программа Barcode Scanner для мобильных устройств из проекта ZXing практически не проверяла тип URI, передаваемый через QR-код. В результате любой эксплоит, который мог быть исполнен браузером (например, написанный на JavaScript), можно было передать через QR.

Сканер пытался отфильтровать опасные виды атак с помощью регулярных выражений, требуя, чтобы URI имел период с последующим продлением как минимум на два символа, транспортный протокол длиной не менее двух символов, за которым следует двоеточие, и чтобы в URI не было пробелов.

Если содержимое не соответствует хотя бы одному из требований, то оно определяется как обычный текст, а не URI. Этот механизм блокирует атаки вроде javascript;alert(«You have won 1000 dollars! Just Click The Open Browser Button»); , но, внеся пару простых изменений в код, мы получаем вариант, который программа исполняла в браузере, ведь она считала JS-код обыкновенным, «нормальным» URI!

Вот как это выглядело.

Вариант кода, который блокировался защитным механизмом сканера Модифицированный URI, который программа не могла отфильтровать

Как мы можем увидеть, уведомление появилось в браузере, а значит, URI с потенциально вредоносным кодом был выполнен. Однако выполняется данный JS-код лишь тогда, когда пользователь нажимает Open Browser (то есть «Открыть в браузере»).

Еще один интересный пример из 2012 года: эксперт по информационной безопасности Равишанкар Боргаонкар (Ravishankar Borgaonkar) продемонстрировал, как сканирование простейшего QR может привести к форматированию устройств Samsung! Что же было внутри? MMI-код для сброса до заводских настроек: *2767*3855# , а также префикс tel: для совершения USSD-запроса.

Самое опасное здесь — что человек без предварительной подготовки не может узнать содержимое кода, не отсканировав его. А человек очень любопытен: в различных исследованиях большинство испытуемых (которые, кстати, даже не знали об эксперименте) сканировали QR-код именно из любопытства, забывая о собственной безопасности. Поэтому всегда будь внимателен!

Если у тебя нет сканера кодов, но уйма свободного времени — можно попробовать расшифровать код вручную. Инструкция есть на Хабре.

QRGen — каждому по коду

Для демонстрации средств работы с QR-кодами я буду использовать Kali Linux 2019.2 с установленным Python версии 3.7 — это необходимо для корректной работы утилит.

WARNING

Не забывай про уголовную ответственность за создание и распространение вредоносных программ, к которым в широком смысле относятся и наши «заряженные» QR-коды.

Читайте также:  Аппликации машины с подарками

Начнем с утилиты QRGen, которая позволяет создавать QR-коды с закодированными в них скриптами. Копируем репозиторий и переходим в папку с содержимым.

QRGen требует Python версии 3.6 и выше. Если возникает ошибка, попробуй обновить интерпретатор.

Устанавливаем все зависимости и запускаем сам скрипт.

Справка QRGen

Аргумент -h выведет то же самое, а вот запуск с ключом -l приведет к генерации QR-кодов из определенной категории. Всего их восемь.

  1. SQL-инъекции.
  2. XSS.
  3. Инъекции команд.
  4. QR с форматированной строкой.
  5. XXE.
  6. Фаззинг строк.
  7. SSI-инъекции.
  8. LFI или получение доступа к скрытым каталогам.

Возможные атаки

Теперь давай посмотрим на примеры из каждой категории, а также разберемся, какой урон и каким устройствам они могут нанести.

Посмотреть текстовые файлы со всеми вариантами «начинки» QR-кодов ты можешь в папке words (они разделены по категориям, указанным выше).

Теперь пара слов о последствиях атак подобными нагрузками.

Первый класс атак — SQL-инъекции — используют при взломе БД и нарушении работы веб-сайтов. Например, запрос может вызывать зависание сайта.

Следующий пример (под номером 2) демонстрирует эксплуатацию XSS-уязвимости при атаке на веб-приложения с использованием SVG (Scalable Vector Graphic). К чему может привести XSS, ты, думаю, и без меня прекрасно знаешь, так что подробно на этом останавливаться не буду.

Третий пункт выводит на экран жертвы содержимое файла /etc/passwd : список аккаунтов Linux-based-систем и дополнительную информацию о них (раньше — хеши паролей этих учетных записей). В подобных случаях обычно стараются получить /etc/shadow и конфигурацию сервера, но все очень сильно зависит от цели, так что какие файлы читать — решай сам.

Четвертый пример представляет собой выражение, которое вызовет переполнение буфера (buffer overflow). Оно возникает, когда объем данных для записи или чтения больше, чем вмещает буфер, и способно вызвать аварийное завершение или зависание программы, ведущее к отказу в обслуживании (denial of service, DoS). Отдельные виды переполнений дают злоумышленнику возможность загрузить и выполнить произвольный машинный код от имени программы и с правами учетной записи, от которой она выполняется, что делает эту ошибку довольно опасной.

Пятый по счету класс атак (XXE Injections) представляет собой вариант получения скрытой информации веб-сервера с помощью анализа вывода XML-файлов. Конкретно в нашем примере при запросе к серверу тот ответит зашифрованным в Base64 содержимым файла /etc/passwd , который уже упоминался. Однако расшифровать его не составит труда — достаточно лишь воспользоваться встроенной в большинство дистрибутивов Linux утилитой base64 либо же онлайн-конвертером.

Атаки форматной строки (пример 6) — это класс уязвимостей, который включает в себя предоставление «специфичных для языка маркеров формата» для выполнения произвольного кода или сбоя программы. Говоря человеческим языком, это класс атак, при которых приложение некорректно очищает пользовательский ввод от управляющих конструкций, из-за чего эти конструкции в результате исполняются. Если ты программировал на С, то, конечно, помнишь те интересности с выводом переменных через printf : надо было в первом аргументе (который строка) указать на тип выводимого значения ( %d для десятичного числа и так далее).

Седьмой пункт представляет собой вариант command injection, которая выполняет определенный код на стороне сервера. В моем примере будет выполнена команда ls , которая покажет содержимое текущей директории, но, конечно, там может быть гораздо более опасный код.

И наконец, последняя категория — это LFI-уязвимости (Local File Inclusion; включение локальных файлов), позволяющие просмотреть на уязвимых (или неправильно настроенных) серверах файлы и папки, которые не должны были быть видны всем. Один из возможных вариантов — просмотреть файл /etc/passwd , о котором мы с тобой уже не раз говорили. Это может выглядеть вот так.

Обрати внимание, что в качестве тестового веб-приложения используется DVWA (Damn Vulnerable Web Application), который был специально разработан для обучения пентесту. Многие атаки на веб-приложения можно отработать на нем.

Практика

А сейчас перейдем к практике — протестируем эту утилиту сами.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Источник статьи: http://xakep.ru/2020/08/05/qrgen/

Adblock
detector