I, newbie � book review: XSS Exploits
結論: XSSの(現時点での)すべてをまとめた良書(ISBN-10: 1597491543)。 あのRSnake氏が書いた本ということでゲットした(死語)。まぁ、よく網羅したというか。基本的に、pentester向けの本なので、それが本職じゃないひとにはやや冗長かもしれない。でも、XSSの仕組みから具体的なexploitの作成、XSSがもたらすconsequenceまでが解説される過程で、攻撃者の豊かな想像力に圧倒され「中途半端な対策は無駄だ」と否が応でも悟らせる。自分は、防御側の方がはるかに困難で、だからこそやりがいもあると感じているひとなのだけど、これを読むとblack hatに(金銭的な側面を別としても)魅力を感じるのもわかる。この本の中で取り上げられているexploitはそのまま防御に役立つというわけではないけれど、攻撃者の思考や方法論を知ることはまったく役に立たないわけではない。
I, newbie » POEによるevent-drivenなPerlプログラミング その1
POEはevent-drivenなmultitasking frameworkです。最近では名前こそ知られてきたものの、(上級者を除くと)広く使われてはいません(ただし歴史は長いし、採用事例もたくさんあります)。なぜかというと、かなーり奥が深くて、ドキュメントが膨大で、しかもソースコードの上から順に実行される一般的なPerlプログラムと大きく異なるイベント駆動なフレームワークだからでしょう。自分も、「なんかPOEってすごいらしいよ」と耳にしてから少しずつ勉強していたんですが、どーも理解が進まなくて苦労しました。そんな最初のハードルを低くするような文書が欲しかったので、書いてみることにします。 POEは、event-drivenなプログラムに最適です。event-drivenなプログラムとは、何らかのイベントが起きたらなんらかの処理をする、そういうプログラムです。例えば、GUIアプリケーショ
I, newbie » サウンドハウスの情報漏洩
「不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ」(詳細 PDF)が出てた。カカクコムに代表されるような「ごめんなさい、これからは気をつけます、詳しくは言えません」というお詫びではなくて、時系列付きの経過報告が半分近くを占めるという異例の(その点で画期的な)報告でした。しかし、文章がテキストとして処理できない。SEOですかね。 前半の時系列はインシデント対応の実例としてとても貴重。やや曖昧な時刻になっているのは、メールなどで正確な記録を確認できなかったからだと推測。それでも時系列を記録できているのは、記録の重要性に気づいていたからだと思う。 3/21(金) 11:50 三菱UFJニコス株式会社(以下三菱UFJニコス)より「サウンドハウス(以下SH)のサーバーがハッキングされている可能性がある」と電話にて連絡あり。 これが第1報。金曜の昼なので、対応は週末をはさむ+もろもろの対応が
I, newbie » Mooseによるオブジェクト指向Perl
Mooseは”an extension of the Perl 5 object system”だそうで、なんかすごいらしい。使ってみるとattributeやaccessorの追加も簡単で、型の確認も自動でやってくれてrobustなclassを作るのに便利。attributeがarrayやhashのreferenceだったら、contextに応じて自動的にdereferenceしてくれるとか、extendやoverrideがやりやすいとか、他にもいろいろあるらしい。Mooseは自動的にhash-basedのobjectを作ってくれる。methodを追加する方法も古典的なPerl5のOOPと同じ。 package Foo; use strict; use warnings; use Moose; sub say { my ($self, $str) = @_; print "$str\n";
I, newbie » ssh(1)を使い倒す
sshを使いこなしていないひとを見るとイラっとする。パスワード認証大好き(もう21世紀ですよ)、パスフレーズ入れるのが面倒(keychain使えよ)、放っといたssh接続が切れて「また切れた!」(screen使えよ)とか。 ()は~/.ssh/configにおける同等の設定。詳しくはssh(1)とssh_config(5)を参照のこと。 一定期間ごとにパケットを送って、無通信時間経過によりセッションが切断されるのを回避する。 > ssh -o 'ServerAliveInterval 60' host.example.org (ServerAliveInterval 60) ssh-agentのforwardingを有効にして、login先のホストでもパスフレーズの入力を省略する。 > ssh -A host.example.org (ForwardAgent yes) remoteのコン
I, newbie » cfengineによるシステム管理の自動化: その1
システム管理の省力化は管理者の永遠のテーマだ。複雑化するシステム、多様な要求、コストダウンの圧力、管理者の悩みのタネは尽きない。 ほぼ同一の構成のclusterの管理であれば、HDDイメージによる複製や、pxeboot+NFSによるdiskless構成などで管理を省力化することができるが、複数のOSや複数の役割を果たすホストの混在環境や、NFSに依存できない状況では、多数のホストを一括管理するのがむずかしい。そこでcfengine。cfengineはUniversity of Osloで開発されたGPLソフトウェアで、 設定の一括管理 OSに依存しない言語(cfengineの設定ファイル)による統一管理 ネットワーク経由のファイル配信 階層的なホスト管理 条件に応じたジョブ管理 といった機能がある。このcfengineにSubversionなどのrevision control syste
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
I, newbie » 電話屋さんの夢よもう一度
I, newbie » Windows Vistaのコンテンツ保護の分析