まったり技術ブログ

Technology is power.

【AWS】ECSで構築した環境でオートスケーリング

「Docker(コンテナ) = 開発環境の構築に便利」という認識で止まっていましたが、最近では本番環境での利用のノウハウがネット上でも溜まりつつありますので、実際にどのようにして本番のコンテナ環境の構築・運用を実現しているのかを調べてみました。 独…

【AWS】Security-JAWSの資料まとめ【第5~9回】

講演資料・スライド 第9回 ◆ 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース 【SecurityJAWS】Kibana Canvasで魅せる!AWS環境における脅威分析ユースケース from Hibino Hisashi www.slideshare.net ◆ Security JAWS 【第9回…

『生つべ』というサービス作ったので利用技術の紹介

先日、『生つべ』というWebサービス開発しました。リリースをしたのはよいが「完成!」と言えるような状態になるのは、まだまだ時間が掛かりそう。 どのようなサービスなのかを簡単に説明をすると「YouTubeの動画を皆で見ながらチャットしようよ」というもの…

Unityビルド時にAndroidSDKToolsException エラー

Oculus Go向けにUnityプロジェクトをビルドを実施したら下記のようなエラーな出力された。 エラー /Users/admin/unity/OculusGoSample/Temp/StagingArea/AndroidManifest-main.xml:4:16-57 Error: Attribute application@theme value=(@style/UnityThemeSele…

FlameScopeを使ってJavaアプリのパフォーマンス可視化

今回はNetFlixが開発したOSSである「FlameScope』を利用して、Javaアプリケーションのパフォーマンスの可視化をしてみます。 最終的には上記画像のように、一定期間のCPU利用割合をメソッド単位で表示させてみます。 これを利用することで、どのメソッドがボ…

【※修正済み】【Embulk】MySQL から Redshift へのレコードコピーで「改行&タブが消える」

まず、MySQLからRedshiftへのコピーなんて「Amazon Data Pipeline」を利用しろよと思われますが、そんなお金はない(※調べてみるとクソ安かった)。 なので、Embulkを利用して MySQLに格納されているデータをRedshiftへコピーしてみました。 そしてタイトル…

【embulk-input-redshift】大量データでエラーが発生したのでメモ

最近、Embulkを使い始めましたが、想像していたよりも便利でした。データ量によってはエラーも発生するみたいでしたので、メモ程度に書き留めておく。 github.com Redshift上のデータをCSVファイルとして保存したり、その逆で、CSVファイルに記載されてるデ…

XSSI(Cross-Site Script Inclusion)攻撃とは

今回はWebセキュリティのお話です。 とある機会にXSSI(Cross-Site Script Inclusion : クロスサイト・スクリプト・インクルージョン)攻撃というワードが話に出てきて、その攻撃が正直分からず困惑してしまったので、その攻撃について調べてみました。 結論…

Burp Suite拡張プラグイン作成入門 その4 - リクエスト送信 編

今回は拡張プラグイン内からリクエストを送信し、レスポンス内容の表示までできるようにします。 具体的には、プロキシ等でキャプチャしたIHttpRequestResponseクラス内に定義されているリクエストを再送します。 完成物 機能としては、送信ボタンを押下する…

Burp Suite拡張プラグイン作成入門 その3 - 新規UI(タブ)追加 編

今回はBurp Suiteに新規タブ(画面)を追加していきます。 画面を追加することによって、複雑な機能を追加させることが可能になります。 完成物 「Alerts」タブの右側に新規に「Sample Tab Extender」という名前のタブが追加されているのが確認できます。 画像…

Burp Suite拡張プラグイン作成入門 その2 - リクエスト&レスポンス取得 編

前回に引き続き、今回はBurp Suiteの機能を活かした拡張プラグインを作成していきます。 blog.motikan2010.com 完成物 今回作成するプラグインは下記のようなものになります。 まだ実用するには程遠いですが、Burp Suiteの特徴的な機能である 「リクエスト&…

Burp Suite拡張プラグイン作成入門 その1 - Hello world編

Webアプリケーションのセキュリティを診断するツールとして、Burp Suiteが代表の1つとしてあり、拡張プラグインに頼らなくても標準の機能で多種類の診断を行うことができるほど多機能です。 しかし、Webアプリケーションによっては遷移方法が特殊な場合があ…

【THE 備忘録】Burp Suiteを使ってHTTPSサイトにアクセス

証明書のインポート毎に忘却しており、証明書探しの旅に出てしまっているので「THE 備忘録」 やること Burp SuiteのSSL証明書をFirefoxにインポート 使ったブラウザ Firefox : 57.0.4 手順 初期状態だと証明書エラー

【Java】GsonとJacksonのJSONパース処理速度を比べてみる

JSONのパース処理はいろんな場面で利用していますが、処理速度を意識して利用していなかった。 そこでJSONパーサーライブラリの処理速度を比べてみて、いざという時に備えておく。 比べるライブラリは下記の2種類 Gson github.com Jackson github.com 下記…

【JavaFX】レイアウトを使ってみる

以下のレイアウトを紹介します。 VBox クラス:垂直にUIコントロールを配置 HBox クラス:平行にUIコントロールを配置 FlowPane クラス:平行にUIコントロールを配置(折り返し有り) BorderPane クラス:上下・左右・中心の位置にUIコントロールを配置 Grid…

Specificationインタフェースを利用した副問合せ

Specificationインタフェースを利用した副問合せに関して、あまり情報が見当たらなかったので、メモ程度にφ(・ω・ )。 サンプルテーブル よく見かける 1対多 の関係で説明していきます。 ユーザ テーブル サンプルコード 下記のサンプルコードでは、「同じ内…

PHPBrewに"intl"拡張をインストール

PHP

2017/11/07 ※追記 こちらのやり方が簡単!! qiita.com できなかったよ。という方が本記事の方法も試してみてもいいかと。 動作環境 バージョン macOS 10.12.6 PHPBrew 1.22.6 PHP 7.1.0 ことの始まり CakePHP3を入れたのだが、起動ができない。 intlを有効…

Zend Framework2をHerokuで動かす

最近ZF2をさわり始めたので、メモ程度に書いてみる。 ちなみにHerokuはHTTPS前提なのでFacebookのOAuth認証といった要HTTPSの動作確認で重宝した。 Zend Framework2 インストール MVC Skeleton Application - Install - Zend Framework $ composer create-pr…

Java製HTTPプロキシライブラリ『LittleProxy』入門編

今回はJava製のHTTPライブラリ『LittleProxy』を使ってみます。 Java製のHTTPライブラリは種類豊富だと思っていたのだが、想像していたよりも圧倒的に少なかった。 そんなこともあり、デファクトスタンダードというものもなさそうなので、ほどほどにメンテナ…

SQLインジェクション体験ツール『SQLI-LABS』で遊ぶ

今回使ってみた「SQLI-LABS」には65種類(問題一覧からは75問あるように見えたが404だった...)のSQLiを学べるらしいので早速遊んでみました。 動作DBはMySQLです。 github.com 環境構築 インストール インストールは非常に簡単で、リポジトリをWebサーバ上の…

Sambaの脆弱性〜CVE-2017-7494をやってみる〜

5月24日に公開された、ファイル共有によく利用されるSambaの脆弱性「CVE-2017-7494」を実際に構築・PoCでの検証を行ってみます。 概要・対策に関しては、下記の記事が参考になる。 CVE-2017-7494 - Red Hat Customer Portal oss.sios.com

【セキュリティ】jwt-goを使ってみる - その2

前回に引き続き「jwt-go」でいろいろ試してみます。 motikan2010.hatenadiary.com 主に署名アルゴリズムの改ざんでの動作確認を行っていきます。 動作確認 署名アルゴリズムを改ざん なぜこんなことを試すのかというと、下記の記事を読んでみると、トークン…

【セキュリティ】jwt-goを使ってみる - その1

前回、RailsのJWTライブラリである"knock"を使って署名アルゴリズムにNoneを使えるのかを試してみた(使えなかった)ので、今回はGo言語のJWTライブラリである"jwt-go"を使って、署名アルゴリズムに「SHA256」と「none」を試した(使えた)ことを書く。 motikan2…

【knock】JSON Web Token(JWT)を使ってみる【セキュリティ編】

前回の続きです。 【knock】JSON Web Token(JWT)を使ってみる【実装編】 - まったり技術ブログ 今回はJWTのセキュリティにふれてみます。

【Rails】JSON Web Token(JWT)を使ってみる - 実装編【knock】

github.com JSON Web Tokenの説明は下記の記事を参照。 qiita.com

ボタンを重ねない『クリックジャッキング』の話

Trap Site 2017年度に入りましたが、昔ながらのクリックジャッキングの話 『クリックジャッキング』ってなんぞやという方は下の記事が大変解りやすいかと。 blog.tokumaru.org

【Go言語】パスワードをハッシュ化(bcrypt)

・bcrypt.GenerateFromPassword ・bcrypt.CompareHashAndPassword を使ってみる話です。 Go言語を使ったWeb開発で認証機能を実装したくて調べてみたら、「sessionauth」というパッケージが見つかった。 github.com 認証の有無のセッションを管理してくれるの…

Webフレームワーク『Gin』を使ってみる

Go言語でWebアプリ開発をしていみたいと思っていましたので、調べてみたらいろいろあるらしい。 概観からGoのWebFrameworkを選ぶ(2016/02) - Qiita その中で速度が速く、人気もある『Gin』を手始めにさわってみることにします。 github.com 作成するものは…

phpbrewでGDライブラリを入れようとしたらエラーになった

PHP

結論から言いますとGDライブラリはyumでインストールすることができなかったので、 結局ソースからインストールしました。 "phpbrew install"が失敗した phpbrewでGDライブラリを入れようとしたら下記のようなエラーが表示された。 $ phpbrew install 5.6.26…

Bluetoothプロキシ『btproxy』を使う

IoTというワードが流行りつつあり、Bluetoothの通信を見てみたいという欲求が出てきたので、Bluetooth通信のプロキシを探してみました。 このキャプチャ技術を応用したら ・Bluetoothデバイス開発のデバッグ ・Bluetoothデバイスに対してのセキュリティ診断 …