はてなブックマーク

2023年11月1日の時点の情報です。 先にまとめを書きます。興味があれば詳細もどうぞ。 まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに 条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動（Chromeが内部で擬似的に307リダイレクトを返してhttpsに誘導） HSTSサイトではないhttpサイトでもこの挙動となるケースがある httpsにアクセスできない場合やレスポンスに3秒以上かかる場合はフォールバックでhttpに誘導（Chromeが内部で擬似的に307リダイレクトを返して元のhttpに誘導） 詳細 条件 307で擬似的にリダイレクトする条件は、いくつかあるようです。把握しているものを列挙します。 HSTSサイト（HSTSヘッダ指定、Preloadリストのサイト） HST

IP制限しているTCP 22(sshd)や3306(MySQL)のようなポートが空いていないかチェックするツールを作りました。 たとえば設定ミスで22番ポートがすべてのIPを許可している状態になってしまっていたというケースがありそうで、サーバ台数が数百台になってくるといちいち気にしているのが面倒なのでチェックする簡易ポートスキャナーを作りました。 github.com 外部監視ツールだとポートが空いてるか、任意の文字列が返るかなどのチェックはできますが、ポートが閉じられてることというのを簡単に管理するのが意外と手間だと感じたのがきっかけです。 Go言語で作ってるのでバイナリにして実行もできます。 使い方 goが動く環境を用意して、 echo "example.com\nexample.net" | go run aite9 -tcp 22,3306 のようにすると次のように一気にポートをス

オンラインで開催されたPHPカンファレンス2020に登壇してきました。 VAddyとしてはブロンズスポンサーで協力させて頂きました。 「DNS改ざん検知ツールの実装とDNSパケットの世界」というタイトルで、前半はドメイン名ハイジャックの仕組み、事件例、対応ツールとしてのNScheckerの話をしました。後半は、DNSは面白いことを伝えたく、DNSのパケットやプロトコルの話をしました。 docs.google.com DNSは30年以上の歴史があり、その仕組みが現在のインターネットを支えています。ドメイン名ハイジャックの事件を知り、怖くなって改竄検知ツールNScheckerを作ったのですが、その時にDNSプロトコルを勉強してその面白さに気付きました。 後半では、DNSの面白さが少しでも伝わればと思い、あえてバイナリデータのダンプを表示してラベルやオフセットの仕組みを解説しました。 今年の夏頃

NScheckerというDNS改竄検知ツール(slack通知も可能)を作っていて、メジャーバージョン v1.0.0をリリースしました。このリリースで使えるツールになりました。 GitHub - ichikaway/nschecker: DNS record changing detection tool with slack notification. MacとLinuxの実行ファイルはこちらからダウンロードできます。 https://github.com/ichikaway/nschecker/releases 1ヶ月前に、このような記事を書きました。 blog.ichikaway.com この時は、対応するドメインが.com .net .jpのみでしたが、今回のメジャーバージョンリリースで全ドメインに対応しました。whoisで出てくるTLD権威サーバに登録されているNS情報はすぐに変更

暑い夏2020、DNSと戯れていました。 レジストラの脆弱性でDNSが改竄されてサイトがハッキングされる事件を見て、これを防ぐ方法がなかったので7月末にDNS改ざん検知ツール NSchecker を作って公開しました。 blog.ichikaway.com 結論 忙しい方のために結論だけ先に。NSchecker Ver0.03ではDNS改竄検知速度が60秒程度に大幅改善しました！（Ver0.01では最大48時間の検知遅延） NScheckerのソースコードはこちら。 github.com 詳細 このツールはDNSのNSレコードが改竄されるとSlackで通知できる(slack以外も可能)ため便利だったのですが、NSレコードの参照がDNSキャッシュサーバだったため検知が最大で48時間ぐらいかかる問題がありました。(NSchecker Ver 0.01) 無いよりはマシなツール程度になってしまっ

DNSのNSレコード、MXレコードの改竄を検知（変更検知）し、オプションでSlack通知もできるツールを公開しました。 https://github.com/ichikaway/nschecker Go言語で開発し、LinuxとMacのバイナリもダウンロードできます。 すぐに実行できるため、cron指定しておけば意図しないレコードの変更がわかります。 作った経緯 最近、ドメインハイジャックの事件を目にするよになりました。 DNS設定の改ざんによるドメイン名ハイジャックに注意喚起（JPRS） | ScanNetSecurity 2020年6月にコインチェックのドメインハイジャック事件が起きています。 コインチェックのドメインハイジャックの手法を調査した - Shooting!!! この記事を読むと、改竄されたレコードは、ns-1515.awsdns-"0"61.orgのような一見正しそうだが

CakePHPアドベントカレンダー12日目の記事です。 市川@cakephperです。ちゃんとCakePHP使ってますよ！ 丹精込めてVAddyを作ってます。 最近コンビニで常陸野ネストビール セッションIPAが売っててテンションが上がりますね。 CakePHP2,3のDBカラム名の扱い CakePHP2の公式ドキュメントでは下記の注意書きがあります。 CakePHP は、配列の値部分のみエスケープします。決して キーにユーザーデータをセットしないでください。SQLインジェクションの脆弱性になります。 CakePHPのORMでWHERE句を生成する場合に、カラム名やSQLスニペットはエスケープされません。 あまりないパターンかもしれませんが、ユーザから送信されたリクエストデータの配列をそのまま条件に指定している場合はSQLインジェクションにつながります。 CakePHP3 公式ドキュメント

これはPHPアドベントカレンダー2017 8日目の記事です。 今年もBrewDog ホッピークリスマスIPAの季節になりましたね。美味しいクラフトビールに恵まれて幸せです。 市川@cakephperです。 丹精込めてVAddyを作ってます。 経緯 2017年9月にLaravel5.5にタイミング攻撃が存在するという脆弱性が CVE-2017-14775 として公開されました。 修正のPull Requestはこちらです。 [5.5] [Security] Close remember_me Timing Attack Vector 日本語の記事として、Innovator Japan Engineers’ Blogのlocakdiskさんの記事があります。 Laravel の脆弱性 CVE-2017-14775 の対処法 この修正を見て、そもそも最近の高速なCPUや複雑なネットワーク、サーバ

外部から簡単にHTTP_PROXYという環境変数がセットでき、サーバ間通信や外部サイトと連携している場合に影響があるかもしれない脆弱性です。(HTTPoxy. CVE-2016-5385) PHPの場合はphp-fpm, mod_php, Guzzle4以上やいくつかのライブラリで影響あります。 対応方法は簡単です。 Apache側で対応する場合は、mod_headerを使える状況であれば、confファイルに下記の1行を追加。 RequestHeader unset Proxy FastCGIの場合は下記の1行を追加。 fastcgi_param HTTP_PROXY ""; Guzzleは6.2.1で対応されたようです。 Release 6.2.1 release · guzzle/guzzle · GitHub コミットログを見ると、CLIの時のみ、getenv('HTTP_PROXY

Githubを使っていると、diff表示が行単位ではなく文字単位になってて便利かと思います。手元の端末でも同じようにdiffを文字単位に表示したい時は、diff-highlightというスクリプトを使えばできます。表示は上の画像のようになります。 diff-highlightは、gitの公式リポジトリのcontribディレクトリの中にあって、perlのスクリプトファイルです。 https://github.com/git/git/tree/master/contrib/diff-highlight 一番簡単な設置は、/usr/local/binなどの場所にダウンロードして実行権限を与えればOK。 wget https://raw.githubusercontent.com/git/git/master/contrib/diff-highlight/diff-highlight chmod