12 Case Studies for the Access Controls of Web Application #appsecapac2014
12 Case Studies for the Access Controls of Web Application #appsecapac2014
12 Case Studies for the Access Controls of Web Application #appsecapac2014
AWSのシステム構成情報を集めて構成図を自動生成してくれる「CloudMapper」、オープンソースで公開
AWSのシステム構成情報を集めて構成図を自動生成してくれる「CloudMapper」、オープンソースで公開 CloudMapperを用いることで、AWS上のシステムについて以下のような状況をすぐに把握することができると説明されています。 どのリソースがインターネットに公開されているか? どのリソース同士がつながっているのか? アベイラビリティゾーンが落ちたときでも十分堅牢なアーキテクチャか? このアカウントはいくつのリージョンを利用しているか? どれだけ大きないシステムを運用しているか? CloudMapperを開発しているDUOは、セキュリティサービスを提供する企業。同社は自身もAWSユーザーで、さまざまなオープンソースのツールを試してみたものの満足できるようなものがなかったため、自社でCloudMapperを開発したとのこと。 CloudMapperの仕組みは、まずAWSコマンドライン
RedmineでCSIRTのインシデント管理
リスト型としては リスト と、 キー・バリューリスト の2種類ありますが、リスト型を選択しました。 キー・バリューリストは値にリスト選択肢文字が割り当てられるため、選択肢文字の設定を変更すると既に登録済みのチケットの内容も変更されます。 とても便利な機能ですが、インシデント管理ではそれぞれのチケットは内容を変更せず、記録として残すべき対象と考えられます。 今回はあえてリスト型を採用しています。 設定例:情報源 設定例:事象経過 カスタムフィールド作成画面で対象となるトラッカーとプロジェクトにチェックを入れることで利用可能になります。 表示フィールドのカスタマイズ 画面上に不必要なものが表示されていると操作者は混乱してしまいます。これらを整理します。 まずトラッカーとワークフローで不必要なフィールドを消しましょう。 トラッカー 使用するトラッカーにて標準フィールドの項目から使用しないフィール
Windows 10 で普通にはアンインストールできないビルドインアプリを削除する
Windows 10 にアップグレードしたら不要なアプリがインストールされていました。しかし不要なのでアンインストールしようとしたところ何故か消せない...。 Microsoft さん面倒くさい事をしないで欲しい。でも大丈夫、ちゃんとアンインストールする方法はある。 Windows 10 でビルドインアプリをアンインストールする方法 Windows 10 で通常アンインストールできないビルドインアプリをアンインストールするにはまず PowerShell を管理者権限で実行しよう。 スタートメニューから Powershell で検索して右クリックから「管理者として実行」を選ぼう。 Powershell が開くのでアンインストールしたいアプリにあわせてコマンドを入力しよう。 例えば Groove Music であれば以下のように入力する。 Get-AppxPackage *zunemusic*
tmuxで複数サーバの同時オペレーション
インフラ担当の池田(@mikeda)です。 tmuxを使い初めて1年くらいになりました。 今日はtmuxの、普段のオペレーションでよく使ってる機能を紹介します。 複数サーバで同時オペレーション tmuxにはキー入力を全てのpaneで同期する機能があります。 この機能を使って複数paneでそれぞれ別のサーバにsshログインすると、 複数サーバに同じコマンドを打ったり、 内容が同じ設定ファイルであればviで同時編集したりができます。 同期する/しないはコマンドでも切り替えられますが、 set-window-option synchronize-panes on set-window-option synchronize-panes off tmux.confにショートカットを設定しておくと便利です。 bind e setw synchronize-panes on bind E setw sy
ITインフラで起きる「もしも」のための12個のコマンド
こんにちは。斎藤です。 ITインフラの障害は、多くの場合「予期せぬ」タイミングで発生します。特に、CPUリソースを多量に消費したり、Disk I/Oが輻輳している場合、その切り分けは困難な状況に陥りやすいものです。 そこで、本日はITインフラ、特にOS・ミドルウェアを支えるにあたって、問題解決を助けてくれるであろう12個のコマンドを取り上げてみます。「必ず押さえておきたい」5つのものと「更に覚えると便利なコマンド」7つの2節に分けてお話しします。 ※CentOS 6.4 (64bit)を前提に取り上げます 必ず押さえておきたいコマンド もしITインフラ管理者になりたてな方はぜひ サーバサイドのプログラマをやっていたのだけれど、ある日突然「君、サーバ管理担当ね!」と、バトンを渡される方っていらっしゃると思います。私も以前はそのクチでした...。そうなってしまったとき、まずは覚えておきたい5つ
プロジェクトマネジメントなう\(^O^)/ | ぽんぽんぺいんなう\(^O^)/
20代後半から15年ほどSIプロジェクトのリーダー/マネージャーをやってきた経験から。 『 監督とは、 他人が打ったホームランで金を稼ぐことだ。 』 ケーシー・ステンゲル(MLB監督) ●ポリシー 1)全てのメンバーが目的・段取りのわからない仕事をしない/させない。 2)プロジェクトの成功には、短期的な成功と中長期的な成功がある。両方を意識すること。 3)プロジェクトの短期的な成功は、お客さんを満足させることと利益をあげること。 4)プロジェクトの中長期的な成功は、リーダーとメンバーが成長し、また一緒に仕事をしたいなと思い合うこと。 5)リーダーとメンバーがフラットでオープンな関係を築けなかったプロジェクトは、中長期的には失敗する。 6)みんなで得意なことを持ち寄って知恵を出し合ってやってみてダメだったらそれは僕らにはムリな仕事だったということ。 7)人は一人一人別人であり仕事に対するスタ
父親に聞いた管理職として「ダメなチームをデキるチームにする必勝パターン」 - komagataのブログ
もう定年してますが、郵便局の管理職歴うん十年の父親に社会人の大後輩として、 「管理職としてダメなチームをデキるチームにする必勝パターンみたいなのってあるの?」 と聞いたら 「あるよ」 とあっさり。その話が面白かったので紹介します。 背景父親は郵便局員で公務員だった。郵政民営化する前の話。公務員は一般企業と違い犯罪でも犯さない限り首にならない。(管理の難易度が高い)郵便局の仕事は大きく「郵便」「貯金」「保険」の3つに分かれている。父親は「保険」のセールスマンの管理職を長年やっていた。郵便局の管理職は3年(?)毎に別の局(調布市郵便局とか)に移動する。 1. 新しい職場(チーム)に赴任したらそこの中心人物の協力を取り付ける中心人物:顔役的な人で大抵が年長者やリーダー気質の人。どこの組織にも必ずいて、誰にでもすぐに分かるそうです。(役職的には自分より下の人です。) 父「誰に聞いても山田(仮)さん
仕事で使ってる巨大SVNレポジトリをGithubに移管するためにやったことまとめ · DQNEO日記
動機 Subversionで困ってない ぶっちゃけSubversionで全然困っていませんでした。 コードレビューはちゃんとやっていたし、マージ・ブランチングも自作シェルスクリプトのおかげてスムーズにやれていました。 よく「Gitはマージが賢い、ブランチ作成が一瞬でできる」とかいわれますが、Subversionだってちゃんと使えばコンフリクトなんかめったに起きないし、ブランチ管理・マージだって全然めんどくさくない。 特にver1.7からはサーバもクライアントも大幅に高速化されたし、.svnディレクトリが.gitみたいに1個になったし、rebaseみたいなことだってできる。(sync merge & reintegrate) ただ、世の中が一斉にGitにシフトしている中でいつまでもSubversionを使っててよいのかという不安がありました。 また、月から金までSubversionにどっぷり
クエリの改善に。MySQLのSlow Query Logを可視化する·MySQL slow-query-log Visualizer MOONGIFT
MySQL slow-query-log VisualizerはMySQLの時間のかかるクエリをWeb上で閲覧するソフトウェアです。 MySQLには実行時間の遅いクエリをログファイルに書き出す機能があります。単純にテキストに吐かれるだけなので分析に時間がかかってしまうのではないでしょうか。そこで使ってみたいのがWebブラウザベースの解析ソフトウェアMySQL slow-query-log Visualizerです。 サンプルです。データ量が多くないとあまり面白くないですね。 公式サイトより。曜日ごとに発生回数をグラフ化しています。 クエリログファイルをWebブラウザの画面にドロップするだけで解析処理が行われます。その結果はグラフに描かれる仕組みです。また、クエリは一覧で表示され、任意の文字でフィルタリングすることもできます。曜日と時間によって分析されるので対応すべきポイントが分かりやすくな
どれだけネットワーク帯域を消費しているか測定してみよう·BitMeter OS MOONGIFT
BitMeter OSはマルチプラットフォームで使えるネットワークワークモニターです。Webブラウザまたはデスクトップクライアントがあります。 BitMeter OSはWindows/Mac OSX/Linuxで使えるネットワーク帯域モニターです。Webブラウザ上でグラフィカルなモニタリンググラフをリアルタイムに描画します。インストールしたマシンのネットワーク利用状況が一目で分かるようになります。 インストーラーを使います。実際の表示はWebブラウザで行います。 更新はリアルタイムに行われます。赤がダウンロード、緑がアップロードになります。Scaleの所にあるUp、Downで表示範囲を拡大、縮尺できます。 ストップウォッチ機能を使えば有効にしている時だけのネットワーク帯域利用状況を測定できます。 履歴です。分、時、 日ごとのネットワーク利用状況を表示します。計測を続けることで利用状況の変化
これを待っていた。マインドマップ+GTD·MindOnTrack MOONGIFT
MindOnTrackはマインドマップとタスク管理(GTD)が一つになったソフトウェア。 MindOnTrackはWindows/Linux用のフリーウェア(Mac OSX向けもリリース予定)。日々の業務やプライベートな予定など、うまく順番にやりくりするためにはTodo管理が欠かせない。そしてタスクというのは総じて自分の周囲を整理した時にも現れやすい。 タスク 単純に割り当てられているタスク以外にも、プロジェクトや業務に関して見直してみると新しいすべきことが見つかったりするのはよくあることだ。そこで考えをまとめつつタスクに落とし込めるソフトウェアとしてMindOnTrackを紹介しよう。 MindOnTrackはマインドマップとタスク管理が一緒になったソフトウェアだ。言わば作業を分類ごとにドリルダウンしながらまとめ、それに日付をつけてタスク化していくのだ。さらにGTDにも則っているので、プ
肥大化していくシステムの中で目的の機能を検索·Milkode MOONGIFT
MilkodeはRuby製のソースコード専用の検索エンジン。指定した単語が全て入った行を探すのが特徴。 MilkodeはRuby製のオープンソース・ソフトウェア。最近ではシステムの開発においてスクラッチで開発するのではなく、何かのフレームワークをベースにすることが増えてきた。シンプルなフレームワークもあれば、全てこなしてくれる大型のものもある。 メイン画面 そして開発を行っているとフレームワークやライブラリの中を見なければならないケースが増えてくる。そんな時には毎回grepで探すのではなく、Milkodeを使って高速に検索しよう。 Milkodeはソースコード検索エンジンだ。とてもシンプルなソフトウェアで、ターミナルからinitしてリポジトリを作成する。その後、addでソースコードを取り込んでいくだけで準備が完了してしまう。webオプションでWebサーバが立ち上がり、検索エンジンとして利用
ポータブル派にお勧め。常駐型の関連付け管理·eXpresso MOONGIFT
eXpressoはポータブルなWindowsの関連付け管理ソフトウェア。 eXpressoはWindows用のオープンソース・ソフトウェア。Windowsではファイルの拡張子ごとに開くファイルを設定できる。ソフトウェアによっては設定画面で指定できるようになっているが、Windowsの設定からも変更できる。しかしこれの使い勝手はあまり良くない。 設定画面 自分のコンピュータであればまだしも、共用のパソコンであったり複数台のパソコンで同じ設定を行うのは大変だ。そこで使ってみたいのがeXpressoだ。 eXpressoはポータブルな関連付け変更ソフトウェアだ。常駐型のソフトウェアで、拡張子やファイル単位で実行するソフトウェアを変更することができる。ポータブルなのでeXpressoを起動すればどのコンピュータであっても関連付けがすぐに設定される。 常駐 便利な使い方としては他のポータブルアプリケ
解析データの、グラフ化に。JavaScript製統計解析ライブラリ·jStat MOONGIFT
jStatはJavaScriptで作られた統計解析ライブラリ。Canvasタグにデータをプロットする。 jStatはJavaScript/jQuery製のオープンソース・ソフトウェア。単純に一覧化された数値では分からない情報も、データをビジュアル化すると見えているものがある。トレンドや偏差が見えると、次の手や分析する上でのきっかけが掴めるようになる。 二つのデータを描画 統計のビジュアル化をする解析言語としてはMATLABやRが有名だ。しかしそうした言語を覚えないとデータのビジュアル化ができないのは面倒だ。Webブラウザ上でもっと手軽にグラフを描くソフトウェアとしてjStatを紹介しよう。 jStatでは多様な統計解析を行うライブラリだ。描画にCanvasを使っているのでHTML5をサポートしたモダンなWebブラウザがサポート対象になっている。またjQueryを使っている。線で描画すること
バッテリー節約&指定した接続先だけアクセスできるWi-Fi接続管理ツール「Auto WiFi Toggle」 | AndroApp
androidケータイのデフォルト設定では、常にWi-Fi接続先を探すためバッテリーには優しくない。 外出先でいざ使おうと思ったらバッテリー切れ、なんて経験談もよくみかける。 それに、公共Wi-Fiアクセスポイントには妙に使い勝手の悪いところもあって繋ぎたくないこともある。 そんなときに便利なアプリが「Auto WiFi Toggle」だ。 Wi-Fi接続先をきめ細かく設定できるぞ。 androidケータイのデフォルト設定では、Wi-Fi接続先があると自動的にWi-Fi接続に切り替わる。 だけどこれ、常にWi-Fi接続先を探すため、ケータイから電波を発信し続けるわけで、バッテリーの電力を消費しつづける。 だから、「昨日からandroidを使ってないのに、外出先でいざ使おうと思ったらバッテリー切れ」なんて事態になってしまう。 「そんなときはandroidケータイを電源オフすればい
node.js開発者必携。異なるバージョンのnode.jsをインストール、管理する·nave MOONGIFT
naveは複数バージョンのnode.jsを管理、切り替えるためのソフトウェア。 naveはBash製のフリーウェア(ソースコードは公開されている)。今、node.jsが熱い。動作も高速で、その先進性もあってHTML5やWebSocketなどの新しい技術を率先的に試されている。今はまだマイナーかもしれないが、今から取り組んでおいて損はないはずだ。 リモートのバージョン一覧 そんなnode.jsは開発がとても盛んであるためにどんどんバージョンアップが続いている。そのため最新版をインストールしようと思うとソースからしかできず、そのために異なるバージョンが使えなくなったりする。それを防ぐためにもnaveを使おう。 naveはRubyでいうrvm、Pythonでいうvirtualenvのように異なるバージョンのnode.jsを一つのPC上で使えるようにする。リモートにあるバージョンを一覧し、そこから
HTTPアクセスをビジュアル化する「htracr」
htracrはNICを監視してWebアクセスをビジュアル化する。 [/s2If] htracrはnode.js/JavaScript製のオープンソース・ソフトウェア。Webサイトを開発、運営しているとどんどん新しい機能が追加されていき、徐々に重たくなってしまう。そんな時にFirebugなどを使ってネットワークアクセス状態を見るとびっくりするほど多数のコネクションができていたりする。 美しいグラフィックス 自分はもちろん、競合サイトなどがどのようにネットワークを使っているのか、華麗に表示してくれるソフトウェアがhtracrだ。描画の奇麗さに見とれてしまう面白いソフトウェアだ。 htracrはnode.jsを使っているので、Webサーバとして起動する。さらにpcapを利用しており80番ポートの利用について監視を行うようになっている。つまりプロキシのようにして動作するのではなく、htracrを起
Java製のデータベースマネージャ·Druid MOONGIFT
DruidはSQLやコード出力にも対応したデータベース管理ソフトウェア。 [/s2If] DruidはJava製のオープンソース・ソフトウェア。NoSQLやO/Rマッパーなどの登場によってデータベース管理の重要性が失われているように見える。だがより高速、より堅牢なシステムを構築する上で適切な設計管理は重要だろう。 テーブル情報 データベースを管理する場合、そのスキーマ情報を別なツールで設計するのが一般的だ。GUIで設計し、メンテナンスしたりSQL発行ができると便利だ。今回はマルチプラットフォームで動作するDruidを紹介しよう。 Druidはデータベースに接続し(接続しなくとも利用できる)、そのスキーマ情報を取り込むことができる。さらにリレーションの状態をビジュアル的に確認することもできる。テーブルの作成はもちろん、ビューやトリガーの作成、一覧での管理も可能だ。 E-Rビュー テーブル内の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices
