Awesome Python:素晴らしい Python フレームワーク・ライブラリ・ソフトウェア・リソースの数々 - Qiita
元記事: Awesome Python Awesome List in Qiita Awesome Ruby Awesome Java Awesome JavaScript Awesome Node.js Awesome Go Awesome Selenium Awesome Appium 管理パネル 管理インタフェース用ライブラリ ajenti - サーバ用管理パネル. django-grappelli - Django 管理インターフェースのためのジャズスキン. django-jet - 改良された機能を備えた Django 管理インターフェース用の最新のレスポンシブテンプレート. django-suit - Django Admin インターフェースの代替 (非商用の場合のみ無料). django-xadmin - Django 管理者のドロップイン置換. jet-bridge -
概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 PoC fowarder cache attacker 大量クエリの送信 偽装レスポンスの送信 高速化の話 実行 対策・緩和策 余談 まとめ 概要 先日DNSpooqという脆弱性が公開されました。 ww
ネットワークオペレーターは、遠隔からオペレーションするときに現地にいる人の作業(機器の交換など)が終わるのを待たなければいけないときがある。そんなオペレーションの合間に、思わずほっこりとするような癒やしを与えてくれるサービスが開発された。コンピュータとつながってるかを確認するときに打つコマンド「ping」を使った、「pingアスキーアート」だ。 開発されたのはpingを打つと「にゃーん」を返すサービス。IPv4とIPv6のどちらにも対応している。ただし、Cisco ルーター限定。 Cisco ルーターは、ICMP(Internet Control Message Protocol)のecho requestを送った結果を一文字ずつ返してくれる。例えば、通信相手と疎通できれば「!」を、できない場合は「.」を、宛先に到達できない場合は「U」を返すといった具合だ。 そして、横の文字数が70文字と
サイバーセキュリティプログラミング
Pythonは情報セキュリティの世界では他よりも先んじているプログラミング言語です。本書ではPythonを使った情報セキュリティにおける攻撃手法について解説します。前半ではrawソケットやScapyライブラリなどネットワーク関連の内容を扱います。後半ではCOMをPythonから扱う方法やVolatilityフレームワークなどシステム関連のトピックを扱います。読者はコーディングを通じてサンプルPythonツールの拡張、外部ツールとの連携や自動化について学習することができます。攻撃者の意図や実践手法から防御方法を導き出すというアプローチは、今後すべての情報セキュリティ技術者にとって必須のテクニックになるでしょう。 サポートページ(サンプルコードや正誤表) 訳者まえがき 序文 まえがき 1章 Python環境のセットアップ 1.1 Kali Linuxのインストール 1.2 Wing IDE 2
※この投稿は米国時間 2020 年 5 月 12 日に、Google Cloud blog に投稿されたものの抄訳です。 編集者注: Google Cloud テクニカル ソリューション エンジニア(TSE)がサポートケースにどのように取り組んでいるか気になったことはありますか?TSE はお客様から報告された問題の技術的な根本原因のトラブルシューティングと特定を担当するサポート エンジニアです。かなりシンプルな問題もありますが、数名の専任エンジニアによるトラブルシューティングを必要とするサポート チケットがたまに送信されることがあります。このブログ投稿では、Google Cloud テクニカル ソリューション エンジニアから聞いた、最近解決した特に厄介なサポートケース(DNS パケットが欠落する問題)についてご紹介します。トラブルシューティングの過程で収集した情報と、どのように方法を推論し
SAD DNSのICMP rate limitを用いたサイドチャネル攻撃について - knqyf263's blog
脆弱性ネタは人気がないことが過去の傾向から明らかですが、自分が震えるほど感動したので忘れないためにも気合い入れて大作を書きました。 要約 背景 SAD DNSの解説 全体像 UDPのソースポートについて ICMP rate limit per-IP rate limit global rate limit Public-Facing Source Portのスキャン Private Source Portのスキャン 攻撃Windowの拡張 サイドチャネル攻撃でUDPソースポートを推測してみる 対策 攻撃実現性 まとめ 要約 ちゃんと理解するの結構難しいという話があったので、先に要約しておきます。雰囲気だけでも掴んでもらえると嬉しいです。 DNSキャッシュポイズニングの新しい手法としてSAD DNSが発表された キャッシュポイズニングのためには権威DNSサーバ正規の応答を返すより先に攻撃者が
Hacker School在籍中、ネットワーキングの理解をより深めたいと思い、小規模なTCPスタックを書いてみようと思い立ちました。個人的には、C言語よりもPythonの方になじみがありましたし、その頃ちょうど、パケット送信を 非常に簡単に する scapy ネットワーキングライブラリも見つけたところでした。 そんなわけで、 teeceepee を書き始めました。 基本的な構想は次のとおりです。 TCPパケットを送信可能にするRaw socketを開く google.comを取得するためにHTTP要求を送る 応答を取得しパースする 成功を祝う 適切なエラー処理などについてはさほどの注意も払わず、ただただウェブページを取得し、勝利を宣言しようと思っていました(^_^) ステップ1:TCPハンドシェイク 手始めは、GoogleとのTCPハンドシェイクです(以下は必ずしも正しく動作しませんが、原
プログラミングは要らなくなる、Pythonが示す未来
自分が最近どんな記事を書いているかを振り返る機会があった。そこで分かったのは、プログラミング言語のPythonに関する記事がとても多いということだ。 このコラム連載でも、Pythonに関する記事はよく読まれている。ここ半年で最も読まれたのは、Pythonを学ぶべき理由を紹介したコラムだ。次に読まれていたのは、Python 2がサポート対象外になるというコラムである。 関連記事: プログラマーだけではない、全ての人がPythonを学ぶべきたった1つの理由 寿命は年内限り、もはや「Python 2」は使ってはならない 私は日経クロステックだけでなく、ネットワーク技術者向けのメディアである日経NETWORKにもPythonの記事を書いている。2019年7月号には「知っておきたいPythonの基礎」という8ページの記事を書き、日経NETWORKの読者に初めてPythonを紹介した。 2019年10
実践 パケット解析 第2版
ベストセラー書の改訂第2版。前半はWiresharkのリファレンスです。Wiresharkのさまざまな機能や活用テクニックについて解説します。後半はパケット解析の実践的な教科書です。TCP/IPの主要なプロトコルを解析する方法や、ネットワーク遅延をはじめとしたさまざまなトラブルの解決方法を、実際に取得したパケット情報の実例を使って詳しく解説します。日本語版ではTCP/IP以外のパケット解析、具体的にはUSBポートを流れるデータのパケット解析についての解説と、pcap-ng形式 ←→ pcap形式のデータ変換についての解説を巻末付録として追加しました。Wireshark 1.8対応。 目次 監訳者まえがき 賞賛の声 まえがき 1章 パケット解析とネットワークの基礎 1.1 パケット解析とパケットキャプチャツール 1.1.1 パケットキャプチャツールの評価 1.1.2 パケットキャプチャツール
Awesome Python:素晴らしい Python フレームワーク・ライブラリ・ソフトウェア・リソースの数々 - Qiita
元記事: Awesome Python Awesome List in Qiita Awesome Ruby Awesome Java Awesome JavaScript Awesome Node.js Awesome Go Awesome Selenium Awesome Appium 管理パネル 管理インタフェース用ライブラリ ajenti - サーバ用管理パネル. django-grappelli - Django 管理インターフェースのためのジャズスキン. django-jet - 改良された機能を備えた Django 管理インターフェース用の最新のレスポンシブテンプレート. django-suit - Django Admin インターフェースの代替 (非商用の場合のみ無料). django-xadmin - Django 管理者のドロップイン置換. jet-bridge -
データ分析によるネットワークセキュリティ
データ分析手法を取り入れた新しいアプローチによるネットワークセキュリティ対策を、本書では紹介しています。従来の場当たり的な侵入検知やログファイル解析といった手法では、ネットワークのセキュリティを確保するのが不十分であるとの認識から、さまざまなデータを系統的に収集し多元的に分析した上で、適切な対策を講じようという、いままでにない視点で書かれています。ネットワークを監視し、分析し、その結果からネットワークセキュリティを強化、改善して、安全なネットワーク環境の実現を図るための基本的な知識を解説し、SiLK、R、Pythonによるスクリプトなどの役立つツールを紹介します。系統立ったセキュリティ手法を身に付けることにより、場当たり的ではなく、継続的かつ計画的なセキュリティ対策を取ることが可能となります。 目次 はじめに 第Ⅰ部 データ 1章 センサーと検出器:入門 1.1 配置:センサーの設置位置
この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません(補償しません)。 すべて自己責任のもとで行ってください。 リリースされているアプリやゲーム、ソフトウェア利用許諾契約(EULA)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。 実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。 はじめに ハック(攻撃)と対策(防御)は表裏一体です。どのようなハックが行われるのかを知らないと対策は行えません。 ハックする側の方が、時間や対応者の人数など基本有利です。 日々新たな問題が発生しています。最新の情報を常に確認する必要があります。 リンクは、すべて目は通していますが、すべてを試しているわけではありません。 上手くいかない、よくわからないなどはキーワードをピックアップして
Awesome Python:素晴らしい Python フレームワーク・ライブラリ・ソフトウェア・リソースの数々 - Qiita
元記事: Awesome Python Awesome List in Qiita Awesome Ruby Awesome Java Awesome JavaScript Awesome Node.js Awesome Go Awesome Selenium Awesome Appium 管理パネル 管理インタフェース用ライブラリ ajenti - サーバ用管理パネル. django-grappelli - Django 管理インターフェースのためのジャズスキン. django-jet - 改良された機能を備えた Django 管理インターフェース用の最新のレスポンシブテンプレート. django-suit - Django Admin インターフェースの代替 (非商用の場合のみ無料). django-xadmin - Django 管理者のドロップイン置換. jet-bridge -
はじめに AI Academyを開発・運営しています、株式会社エーアイアカデミー代表の谷です。 近年機械学習等で人気のPythonですが、Pythonで出来ることは機械学習以外にも多くあります。 そこで、初学者の方は機械学習以外でPythonで何が出来るのか?また、何から手をつけて行けば目的を達成できるのか?など疑問を持つかと思います。 この記事が多くの方々のお役に立てれば幸いです。 AI Academy Bootcamp 6ヶ月35,000円にてチャットで質問し放題の環境で、機械学習やデータ分析が学べるサービスを提供しております。 数十名在籍しているデータサイエンティストや機械学習エンジニアに質問し放題の環境でデータ分析、統計、機械学習、SQL等が学べます。AI人材に必要なスキルを効率よく体系的に身に付けたい方は是非ご検討ください! https://aiacademy.jp/bootca
Scapy
ポートスキャナ自作ではじめるペネトレーションテスト
本書は、ポートスキャンを用いて攻撃者がネットワークを経由してどのように攻撃してくるのかを具体的な手法を交えて学び、攻撃手法を知ることでセキュリティレベルの向上を目指す書籍です。Scapyを用いてポートスキャナを自作し、ポートスキャンの仕組みや動作原理をしっかりと学びます。そのあとで、脆弱性診断やペネトレーションテストに不可欠なNmap、Nessus、Metasploit Frameworkなどのツールについて解説します。ハンズオンで学習を進めながら徐々にステップアップしていける構成となっています。攻撃者側の思考プロセスを理解し、対策を強化しましょう。付録ではペンテスターのキャリア形成、関係の築き方などにも触れ、著者の豊富な経験からのアドバイスを紹介しています。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
DNSpooqの脆弱性詳細と攻撃コード解説 - knqyf263's blog
pingを打つと「にゃーん」を返すサービス、ネットワークエンジニアが開発
DNS パケット欠落のケース: Google Cloud サポート ストーリー
PythonでTCPスタックを記述するとどうなる? | POSTD
Unityのモバイルゲーム向けセキュリティ関連覚書 - Qiita
【保存版・初心者向け】Python 目的別チュートリアル - Qiita