まったり技術ブログ

Webエンジニアのセキュリティブログ

TLS1.2のみ許可しているWebDAVサーバをマウントできない

はじめに 検証用WebDAVサーバ エラー発生 原因 現在のバージョン確認 解決策 アップデート後のバージョン 動作確認 はじめに 最近、セキュリティ強化の為にTLS1.1以下の接続を不可にするようなサービスが増えてきています。 勝手にTLS1.2で接続されるだろう…

【随時更新】Webセキュリティ診断ツールのまとめ

GUIアプリケーション型 Burp Suite ZAP zap-cli Fiddler Vex Watcher X5S コンソールアプリケーション型(CUI型) SQLMap NoSQLMap w3af Arachni (終了) SCNR Scan My Server (※提供終了) WhatWeb Skipfish Nikto Vega Grabber Wapiti WebScarab Ratproxy Wf…

LDAPインジェクションをしたかった話【セキュリティ】

はじめに 検証環境 ホスト コンテナ 構築 OpenLDAP LDAPクライアントアプリケーション 1. アプリケーションの用意 2. コンテナの準備 3. コンテナの実行 動作確認 OpenLDAPの動作確認 予想外の事態発生 脆弱性の検証 正常系の動作確認 脆弱性の確認 ダメな対…

【AWS】ECSで構築した環境でオートスケーリング (2018/09)

はじめに 今回やりたいことのイメージ 構築の流れ この記事で作成するリソース 構築 1. IMA ロールの作成 2. 空のECSクラスタの作成 3. Auto Scaling 起動設定の作成 EC2起動時にECSコンテナインスタンスとして登録する 4. Auto Scaling グループの作成 5. A…

【AWS】Security-JAWSの資料まとめ【第5~9回】

講演資料・スライド 第9回 ◆ 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース from Hibino Hisashi www.slideshare.net ◆ Security JAWS 【第9回…

【開発日誌】『生つべ』というサービス作ったので利用技術の紹介

先日、『生つべ』というWebサービス開発しました。リリースをしたのはよいが「完成!」と言えるような状態になるのは、まだまだ時間が掛かりそう。 どのようなサービスなのかを簡単に説明をすると「YouTubeの動画を皆で見ながらチャットしようよ」というもの…

Unityビルド時の「AndroidSDKToolsException エラー」の解決

はじめに 発生したエラー 解決方法 参考 はじめに Oculus Go向けにUnityプロジェクトのビルドを実施したらときにエラー(AndroidSDKToolsException)が発生したのでその解決方法をメモ。 発生したエラー /Users/admin/unity/OculusGoSample/Temp/StagingArea…

FlameScopeを使ってJavaアプリのパフォーマンス可視化

はじめに 検証環境 環境構築 perf インストール FlameScope インストール 検証用Javaアプリケーションの導入 perf-map-agent インストール プロファイリング開始 Javaアプリケーションの起動 Javaアプリケーション用のマッピングファイル(*.map)の作成 プロ…

【※修正済み】【Embulk】MySQL から Redshift へのレコードコピーで「改行&タブが消える」

まず、MySQLからRedshiftへのコピーなんて「Amazon Data Pipeline」を利用しろよと思われますが、そんなお金はない(※調べてみるとクソ安かった)。 なので、Embulkを利用して MySQLに格納されているデータをRedshiftへコピーしてみました。 そしてタイトル…

【embulk-input-redshift】大量データでエラーが発生したのでメモ

はじめに 検証環境 Redshift Embulk 検証 ケース① FETCHの最大サイズを超過 エラー内容 解決策 ケース② DECLAREの上限 エラー内容 解決策 はじめに 最近、Embulkを使い始めましたが、想像していたよりも便利でした。 データ量によってはエラーも発生するみた…

XSSI(Cross-Site Script Inclusion)攻撃とは【セキュリティ】

はじめに 攻撃名からの勝手な予想(※誤り) 結局何ができるのか Same-Origin Policyを確認 XSSIは結局何ができるのか 脆弱性が存在するサイト(bank.example.jp) トップページ(index.php) シークレットコードを生成し、JSONPを活用(userdata.php) 攻撃…

Burp Suite拡張プラグイン作成入門 その4 - リクエスト送信 編

はじめに 完成物 開発 RequestTableManager.java SampleTab.java まとめ 更新履歴 はじめに 今回は拡張プラグイン内からリクエストを送信し、レスポンス内容の表示までできるようにします。 具体的には、プロキシ等でキャプチャしたIHttpRequestResponseクラ…