どのポート番号でもWeb脆弱性診断が可能になりました - クラウド型Web脆弱性診断ツール VAddyブログ
VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。 http://vaddy.net/ja/ VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなっていました。 VAddyのスキャンはテストサーバに対して行うため、80番、443番以外を使っているケースがあり、今回任意のポート番号へのスキャンに対応しました。 サーバ登録時に、オプション項目でPort Numberという項目があるので、そこに任意のポート番号(例えば8443など)を指定してサーバ登録します。 サーバの登録が完了すると、Server Nameの欄に登録したサーバ名:ポート番号という形で表示されます。 後はそのポート番号を含んだURLをクロール情報として登録すれば、そのポートに対してスキャン
第6回 MySQLチューニング(5) パラメタチューニングの基礎 | gihyo.jp
max_connections 最大接続数は通常システムの要件から算出して行きます。システムとして想定される同時接続数を見積もり、そのうちデータベースまで到達するリクエストの比率、それぞれのデータベースでの処理時間を待ち行列理論に照らして考慮します。データベースに到達する同時リクエスト数が同じだとしても、処理時間が違う場合はデータベース内で同時に実行されている処理の件数も違ってくるため、同時接続数も違ってきます。注意すべき点は、システム開発の早い段階では見積もりの精度が高くないため、ある程度余裕を持たせた設計で始め、かつ段階的に見積もりの精度を高めていくことが求められることです。 接続が切断されるとMySQLサーバ内の接続スレッドも破棄されます。コネクションプーリング機能を使用していない環境では、接続による接続スレッドの生成と切断による切断スレッドの破棄が繰り返され、オーバーヘッドとして無
Markdownからスライド資料を作る
B! 460 0 1 0 何か人に見せる時には資料としてPower Pointとかでスライドを作るわけですが、 普段メモもMarkdown形式で書いてく事が多くて、 簡単なもの、特に文字だけの物の場合はそのままコピペするだけみたいな ことも多いので、 直接Markdownからスライドを作る物を試してみることに。 Markdownからスライドを作れるツール Pandoc 対応フォーマット インストール PDF作成(beamerテンプレートを使う) beamerのテーマについて 日本語について Pandocまとめ Slide Show (S9) インストール スライド用HTML作成 PDFにコンバート その他のツール Marp mkd2pdf markdown-pdf markdown2impress mdslide slidedeck remark Markdown2pdf Swipe Sl
仕様書がない開発が増えた理由 | ScrapEngineer
最近の開発で仕様書等のドキュメント類を書くことが少なくなりました。 私は主に業務系のWebサービスを作成してましたが、最近はオープン系のサービスも受け持つことも多いのですが、仕様書やテストのエビデンスがオープン系のお客様の場合は求められることが少ない・・・ というかほぼない。 何故、お客様は仕様書を求めないのか? 予算を削りたい お客様にとって仕様書なんて見てもわからないもの貰ってもしょうがない。 貰ってもしょうがないものなら作ってもらわないで、削ってしまおうって考えがあります。 テストのエビデンスも同様です。 これは仕様書の作成やエビデンスの作成に工数が掛かるため、工数の削減を計って予算を削りたいという考えがあります。 例えば、おおまかに計算しますが以下のようなシステムがあります。 開発工数:1人月 検証工数:0.5人月 設計工数:0.5人月 ドキュメント作成工数:0.5人月 管理工数:
【Interview】登録して待つだけ!近距離限定SNSアプリ「Space」が作る社会の絆 | Techable(テッカブル)
半径数10m範囲内の人と、気軽にやりとりできる近距離コミュニケーションアプリが、最近になって、じわじわと人気を集めつつある。 当初はせいぜい100m圏内であったものが、その距離はどんどん縮まり、中には15m圏内を謳うものも。Bluetoothテクノロジーを駆使したこれらのアプリは、まだまだ発展途上にあり、進化が楽しみなジャンルの1つだ。 今回はその中から特に注目を集めそうなアプリ「Space(スペース)」を紹介したい。特徴は、自分とマッチしそうな相手だけを通知するという機能。未知の友人とのより密度の濃いコミュニケーションを、シンプルな操作によって可能にした。 自身の経験をもとにアプリを開発したという、ダブリューの代表取締役社長兼CEO、半谷 尚瑛(はんがい ひさあき)氏。人と人とのつながりを作ることで、豊かな社会形成に貢献したいと語る。 ・省電力で興味のある人とだけつながれる Q1:まずは
パスワードのハッシュ管理で、ソルトは秘密情報ではない(バレてもいい)のはどうしてでしょうか?ハッシュがバレた場合に元パスワードが探索されてしまいませんか? | ask.fmhttps://ask.fm/tokumaru
積極的にバレてもいいと言うことではないのですが、ハッシュ値が漏洩するような状況ではソルトだけ秘密にしておくことは難しいという判断によるものです。 仮に「絶対に漏洩しない保存手段」があるのであれば、(1)パスワードをその方法で保存する または (2)暗号鍵をその方法で保存してパスワードの暗号化する方が安全です。とくに(2)は、ハードウェア セキュリティ モジュール (HSM)という形で実現しています。しかし、HSMは高価なことから、廉価で安全性も高い方法として、(最悪バレるかもしれない)ハッシュ値とソルト、加えてストレッチングという方法がよく使われます。 例えばソルトをDBとプログラムハードコーディングに分けて保存すると、片方だけバレても平文パスワードの復元は難しいという状況は作れます。拙著で紹介している方法です。
ログアウトしてもバックグラウンド ジョブを継続する方法
はじめに SSH 接続で時間の掛かるシェルスクリプトをバックグラウンドで走らせて帰りたいのに、SSH 接続を切るとジョブが死んでしまいます。SSH 接続に限らず目の前の OS からログアウトしたりターミナル エミュレータを終了しても同じ現象が起こります。 この症状は正常です。なぜなら、バックグラウンド ジョブを起動したプロセス(ログイン シェル)が子プロセスである該当のバックグラウンドジョブをハングアップ シグナル( HUP )によって終了させるからです。 シェルスクリプトを起動した親プロセスは子プロセスの終了状態を監視しています。ですからログアウトして親プロセスであるシェルが終了すると子プロセスはゾンビ プロセスとなってしまうので親プロセスとなるシェル(ログインシェル)は子プロセスであるバックグラウンド ジョブを kill ( kill -HUP ) するのです。 nohup コマンド
【RAW現像】カメラを始めてからRAW撮影がメインになって気づいたこと。 - inakalife-いなかくらし-
一眼レフカメラの撮影ファイルには種類がある 前回からカメラネタが続きます。先日、友人に赤ちゃんが生まれ、その撮影をしていて気づいたこと。最近撮影する写真はアンダー寄りのものが多いということに気づきました。そんなことを考えていて、今回の記事を書こうと思ったわけです。 一眼レフカメラを持っている人にとっては常識だと思いますが、一眼レフカメラで撮影できるファイルには大まかに2種類あるんです。一般的に知られているのはJPEGと呼ばれるデータで、一眼レフカメラを持っていなくても聞いたことはあると思います。 そしてもうひとつが「RAW」と呼ばれるもの。最初の頃は存在すら知らず「らぅ?」と頭が弱い子の返事みたいな存在でしかなかったRAWですが今ではほとんどの場合RAWデータで撮影するようになりました。 一眼レフカメラの撮影ファイルには種類がある RAWとJPEGの違い JPEGは「完成品」でRAWは「素
Fluentdの現実装のPros/Cons - Go ahead!
TODO: 必要なら図を足す 他に書いた方が良いPros/Consのリクエストがあったら追記 内部のイベントストリームの扱い Pros: Inputがスケーラブルに実装しやすく,データストリームを正常時/エラー時で切り替えやすい Cons: エラーハンドリングがブロッキングモデルよりも複雑になりやすい 以下長々と理由書きます. Fluentdはイベントストリームを効率良く,またロバストに扱うことを目的に設計されています.そのため,独自の転送プロトコル(forwardプラグイン)を実装していますし,内部のイベントのハンドリングもそれに沿うようになっています.ただ,それによって相性の悪い操作とかもあります. Fluentdはバッファ機能を提供しており,これによって転送の効率化とエラー時のデータロスを防ぐ設計になっています.が,あまりにも書き込み先が遅いなどの問題があると,バッファの制限を超えて
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
not found
Windowsでshebangもどき、またはバッチにスクリプトを埋め込む方法 - Qiita