hello foo bar Saba noteWeb/System学習
Tag securityを表示しています。
2018.8.20 月
すごい若い女の子にもらったレシピだけど、見てたら読みたkなってきたぞ。 Unix はじめてUNIXで仕事をする人が読む本 Linuxシステム[実践]入門 Web 「プロになるためのWeb技術入門」 ――なぜ、あなたはWebシステムを開発できないのか Webを支える技術 -HTTP、URI、HTML、そしてREST マスタリングTCP/IP 入門編 第5版 Datastore 達人に学ぶ DB設計 達人に学ぶ SQL徹底指南書 Datastore (advanced) SQL実践入門 高速でわかりやすいクエリの書き方 SQLアンチパターン プログラマのためのSQL 第4版 すべてを知り尽くしたいあなたに Cording ails tutorial ブジェクト指向設計実践ガイド オブジェクト指向...
2017.12.5 火
インストール 改ざん検知の有名なソフトclamAVをインストールします。 yum -y install --enablerepo=epel clamav-server clamav-data clamav-update clamav-filesystem clamav clamav-scanner clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd デフォルトでこのまま使えるかと思うのでまずはウィルススキャンを手動で実行してみましょう。 テスト ダミーのテスト用ウィルスファイルを準備します。Nortonとかが敏感に反応するのでPC上でやる場合はウィルス検知系のソフトをいったん切ります。 cd /root w...
2017.9.29 金
AIDEをインストールする yum install -y aide 設定 設定ファイル確認 vi /etc/aide.conf ## 改ざん検知の対象から外すもの !/tmp !/proc aideのスキャニング自体は典型的なLinuxサーバーでは(サイズによりますが)10分から60分ぐらいはかかりました。少なくともサーバー立ち上げ時でも10分弱かかりました。なので、テスト中は殆どのディレクトリを対象外にして開発した方がよいです。 また修正した後はこの後の初期化コマンド(aide –init)でDB作成をしないとダメです。 初期化(というかDBの生成) ものすごい時間がかかるので、topコマンドで見守る。 aide --init AIDE, version 0.15.1 ### ...
2017.9.16 土
実際につくるコマンドは、 php artisan foo:bar fooobaaar みたいなことで実行できるコマンドをつくります。取り急ぎここではechoするだけです。 artisanのコマンドクラスを作成する php artisan make:command foobar app/Console/Commands/foobar.phpが作成されます。これがコマンドを実行する際に読み込まれるクラスになります。 コマンドの詳細記述 app/Console/Commands/foobar.phpを開いて、修正変更します。 コマンド名 実際のコマンドは$signatureに設定します。これがすなわちコマンドになります。 protected $signature = 'foo:bar'; arti...
2017.5.29 月
Firewallというのが追加されました。 CentOS6まではLinuxサーバ上でファイアウォールを稼働さす場合、iptablesを使ったフィルタを実装するのが一般的でした。これをこのままCentOS7で利用することも可能なのですが、新たなファイアウォールとしてfirewalldというのが実装されました。 CentOS7からFirewallとiptablesがどっちでも使えるようになっているという謎。正直Firewall要らないです。どちらも内部的には同じようなものらしいですが、設定方法が少々異なるので面倒くさいです。 Firewallはゾーンという概念で設定するようです。(これはまた今度) iptablesを使う方の設定 systemctl status firewalld デフォルトで...
2017.4.5 水
鍵のペアを作成する際にコメントに名前とかEmailとか入れておくとちょっと手間ですが誰がログインしたのかわかるようになります。 sshのsecureログのカスタマイズ vi /etc/ssh/sshd_config #SyslogFacility AUTH ↓ SyslogFacility AUTHPRIV #LogLevel INFO ↓ LogLevel VERBOSE ログ確認 tail -f /var/log/secure こんな感じでフィンフガープリントがとれます。 Apr 5 12:00:45 hostname sshd[4819]: Received disconnect from 123.456.789.000: 11: disconnected by user Apr 5 ...
2017.1.25 水
https://github.com/jgamblin/Mirai-Source-Code/tree/master/mirai/bot http://www.atmarkit.co.jp/ait/articles/1611/08/news028.html Mirai botnet creator unmasked as DDOS protection developer tempted by the dark side
2017.1.6 金
Dドライブのスキャンがされていない 結構驚きなのが、Nortonの初期設定ではCドライブのみのスキャンになっててDドライブが無視されているんです。比較的素人にもわかりやすいUIになっているので仕方のないところではあるのですが、システムの全スキャンとか何を指しているんだかさっぱりわからないです。 1.Nortonを立ち上げてスキャンをクリック。 2.カスタムスキャンを選択 3.スキャンの作成をクリック 4.ドライブの追加をクリック ちょっと仕様がわからないのですが、場合によってはフォルダの追加でも同様のことができます。 5.Dドライブを選択 6.スキャンスケジュールを設定 週一ぐらいでよいのではないかと。その他の設定はデフォルトのままでOKだと思う。 7.スキャンオプションの設定 デフォルトの...
2016.10.26 水
OWASP Zed Attack Proxy (ZAP)はIPAが推奨してくれているセキュリティー診断ツールです。概要的なものはいろんなサイトに載っているのでそこを読んでもらうとして、ざっくりいうとWEBサイトの脆弱性診断をしてくれる無料の信頼できるソフトです。こちらでも使い方くわしく解説してくれております。 JAVAのダウンロードとインストール https://www.java.com/ja/download/ JavaSetup8u111.exeがおちてくるのでこれをインストール。(2016-10-26現在) OWASP ZAPのダウンロードとインストール https://code.google.com/archive/p/zaproxy/downloads ZAP_2.5.0_Wind...
2016.10.11 火
数あるウィルス検知ソフトが実際に本当に稼働するのかどうかというテストが必要ば場合がありますが、そのような用途の疑似ウィルスコードが用意されています。カスペルスキーのWebページでそのコードをコピペすることができます。 https://support.kaspersky.co.jp/459 以下のコードをコピペしてPCやサーバーの任意の場所におくとウィルスソフトが検知しアラートを出してくれます。 ファイル拡張子は(私のテストによれば)任意のもので構わないです。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 擬似的なコードなので実際は無害です。が、ウィルス検知ソフトはウィルスとして反応するので、それなりの...
2016.5.20 金
ImageMagickの脆弱性の発表があってかなり面倒くさいことになっております。画像データの中にコマンド埋め込めるので結構厄介です。 緩和策の中に「画像ファイルが処理される前に、アップロードしたファイルの先頭数バイトが画像の種類に相応したマジックバイトで始まっていることを確認してください。これによりアップロードするファイルが実際に画像ファイルであり不正なファイルではないことを確認することができます。」というのがトレンドマイクロ社のサイトに載っていましたが、これImageMagick対策というかふつうのアップローダーのセキュリティー対策なのではなかろうかと。 しかしかつていわれていた「ImageMagickでリサイズ、形式コンバートなどの処理を挟む。」とかは危ない雰囲気になってきましたね。 ...
2016.3.30 水
パスワードについては幾分都市伝説的にものすごい怪しげな理屈がまかり通っているので、ここで一考。 パスワードを盗まれる パスワードを盗まれるというのは何も高度はハッキングやスパイ大作戦みたいなドラマ的なものではありません。パスワード漏えいで最も多いのがただ単に付箋に書いたパスワードだと言われています。これはおおいに盗みがいがあるし簡単です。パスワードの漏洩はだいたいこんなものです。 しかしここで注意です。 ewq321 こういうパスワードが書いてあったとします。しかしこれ、漏洩でも何でもありません。何に使うパスワードなのかさっぱりわからないからです。パスワードは入力先とセットでなければ使いようがありません。パスワードの漏洩はまず、 アクセス先 ログインIDやユーザー名など パスワード というセ...
2016.3.6 日
htmlspecialchars() http://php.net/manual/ja/function.htmlspecialchars.php 問題がなければENT_QUOTESでよいかと思います。もっと繊細にやりたい場合は文字コードを第3引数につけるとか。 シングルクオートとダブルクオートを共に変換します。 htmlspecialchars($input, ENT_QUOTES, "UTF-8"); HTMLの実体参照を用い、& を &amp; に、< を &lt; に、> を &gt; に、” を &quot; に、それぞれ置換する。 PHPではhtmlspecialchars関数を用いれば、一括で対策できる (ただしENT_...