プログラムブログ

PHP、Database、ネットワーク、サーバセキュリティ

Archive for 6 月, 2008

HP Scrawlrを試してみた

6 月 27th, 2008 | Category: セキュリティ

マイクロソフトがSQLインジェクション対策のツールを公開した。その中のひとつ、HP Scrawlrを試してみた。
このツールはリモートからWebサーバに接続し、SQLインジェクションの脆弱性が存在しないかチェックするツール。

しかし、かなり機能を制限しているようだ。GETには対応しているがなんとPOSTには対応していない。POSTのページに対してチェック用の値を投げないのだ。
つまりPOSTで書かれたWebアプリはチェックされない。。。。

ちなみに、GETの場合には次のような値を投げてチェックを実施している。

‘+OR
‘+AND+5%3d5+OR+
‘+AND+5%3d5+OR+’s’%3d’0
+OR+5%3d5+OR+4%3d0

個人的にはParosの方がかなり上。

No comments

Google Code University - Web Security

6 月 22nd, 2008 | Category: セキュリティ

googleは大学生向けにIT関連スペシャリストの講演をビデオ化し公開しているのだが、Web Securityが結構おもしろいので紹介する。

How to Break Web Software というタイトルで Mike Andrews が大学生に講演している。
彼はファウンドストンで働いており、同名の著書があるので、おそらく著書の内容を中心に説明しているのではないかと思われる。

若干英語は聞き取りにくい….
以前はイギリスで教授をやっていたとのでイギリス英語なのか?どちらかというとオーストラリアっぽく聞こえるが。

No comments

FreeBSDのバージョンアップ(5.5 -> 6.3)

6 月 14th, 2008 | Category: php

FreeBSD5.5のサポートが2008年5月末で切れたので、5.5から6.3にアップしたの。作業内容を忘れないようにメモ。

バージョンアップの作業は、5.1->5.5のときと基本的に作業の流れは一緒。

まずは、HDDごとコピーをとって万一の場合のバックアップを作成。

次に/usr/src と /usr/ports を別ディレクトリに移動。

mv /usr/src /var/backup/src5.5
mv /usr/ports /var/backup/ports5.5

5.5から6系にあげる変更点として/etc/groupの追加があったので audit:*:77: を記述。

続いて /etc/fstab を開いてマウント情報をメモ。

これで準備ができたので、FreeBSD6.3のインストールCDからシステムを起動。
インストールを選択し、UPGRADEを選ぶ。

ディスクラベルエディタでmを押して各マウント位置を記入。(/etc/fatabのメモ)

続いて設定ファイルのバックアップ。/etcの内容をどこにバックアップしますか?と聞かれてデフォルト設定の/var/tmp/etc のままOKを押すと、次のエラーになった。

unable to backup your /etc/ into /var/tmp/etc. Do you want to continue anyway?

う~ん、なんでエラーになるのかわからない。。。
とりあえず/var/tmp/etc 配下をすべてrmして空っぽにしてから再度インストーラーを起動すると今度はうまくいった。原因はよくわからないがとりあえずよしとする。

6.3のカーネルコピー自体は10分弱で完了。インストーラを終了する前に Alt+F4してコマンド入力画面にする。
#mergemaster を実行して /etc ファイルのマージ作業。
1ファイルずつ聞かれるので、途中から疲れてきて適当にマージした。

そして再起動すると….
エラーでうまく起動しない…. コマンドをたたけない….
/etcファイルのマージに失敗したようだ….

仕方ないので、バックアップディスクを利用して元の5.5の状態に戻し再チャレンジ。

6.3系のカーネルコピーが終わった段階で、今度はmergemasterを慎重に実施。

#mergemaster -siva して新ファイルがある場合は追加。
#mergemaster -sivr してマージする必要があるファイルはマージ。

これで再起動すると6.3系が起動した。

ただしPostgreSQLは起動に失敗。まぁ5.5から6.3にあげたのでライブラリがらみでアプリにエラーがでるのは予想していたので、PostgreSQLだけなら少ない方だ。apache,postfixが動いてくれたのは助かった。

#portupgrade -a

でソフトは全部バージョンアップで作り直し。(4,5時間かかった)

完了後システムを再起動。すると、PostgreSQLはまだエラー。
エラー内容を見るとsharedmemoryの容量が…とかいてある。設定ファイル(postgresql.conf)でshared_buffersを32MBから16MBに変更すると無事起動。なんだライブラリがらみのエラーではなかったのか…

これで完了かと他のソフトをチェックするとimapに接続できない。。。。どうも認証がらみで即切られている。なんだろう….

調べた結果、authdaemondが起動していないぽい。/etc/rc.confにcourier_authdaemond_enable=”YES”を記入して対処完了。いままでは書いてなくても起動していたのだが、バージョンアップで仕様が変わったのだろうか。。。

とりあえずバージョンアップ完了。まる1日作業だった。

No comments