読者です 読者をやめる 読者になる 読者になる

隙あらば寝る

うぇぶのかいしゃではたらくえんじにあがかいています

tcpdump 4.9.0

システムのパッケージをあげようとしたら、珍しくtcpdumpが現れたのでちょっと気になった。 changelogでも読もうかと www.tcpdump.org にアクセスしてみたが、なぜか4.9.0が見つからない。 でも手元でtcpdump –helpすると4.9.0と出ている。 気になったので少…

脆弱性情報の収集

nvd で xml をダウンロードして CVE ID や対象ソフトウェアの取得ができた。 ソフトウェアは CPE という表記になっているので、ベンダーやプロダクト名で分類すれば自分が欲しいような検索もできるようになりそう。 もうちょっとデータ構造を考えて手を動か…

末端エンジニアのセキュリティ対策とCVE/NVD

しばらくソフトウェア運用をやっているとセキュリティの問題に触れる機会が多くなり、結果的に脆弱性情報が気になるようになった。 体系的に学んだわけではないが、自分の理解をまとめておく。 脆弱性が見つかると、MITRE社によってCVEというIDが採番される。 採番…

Go 1.7.4 and Go 1.6.4

[security] Go 1.7.4 and Go 1.6.4 are released(google groups) Go 1.7.4 と 1.6.4 が security fix としてリリースされたので内容を確認してみた。 修正は2点。 crypto/x509 osxの証明書に関する問題 ユーザの設定でroot証明書を信頼しないように設定してい…

XSS Game by google

XSS game というサイトを紹介する。 攻撃側として xss の脆弱性を悪用するゲームで xss 対策啓蒙の一貫として google が公開したらしい。 悪用と言っても alert を出すところまで。 (とはいえalertができたらセッションハイジャックもできるわけで実際にでき…