javaの修飾子のメモ

static

  • 直接メソッドや変数にアクセスできるようにしたい場合に使用する

★メソッドに使用した場合

  • 静的メソッドと呼ばれる
  • 新たにインスタンスを生成せずに呼び出せる

★変数に使用した場合

★注意点

  • どこか1つの場所で値を変えたら、それが全体に影響を及ぼす可能性のあるリスクを把握して使用する
  • 何も考えずに便利そうだからとか、どこからでもアクセスできるからとか、何も考えずに乱用するとstaticおじさんと言う名誉の称号を得られる(昔言われた記憶がある)

final

  • 「定数」 変数ではなく、一度決めたら変更することのない変数を定義するために使用する クラスやメソッドにもこの修飾子を使える

★クラスに使用した場合

  • 継承が行えなくなる

★メソッドに使用した場合

  • オーバーライドが行えなくなる

PHP 擬似変数ってなに?

phpを書いていると、よく見られるもので$thisのことを、擬似変数という。

擬似変数とは、オブジェクト自信を指す変数のようで、プログラムがクラス定義の内側でオブジェクトにアクセスするためのオブジェクト名のことらしい。

クラスは定義された後に、任意の名前でオブジェクトとして生成される。 呼び出されるクラスを定義している時点では、そのクラスがどのような名前のオブジェクトになるのかが分からないため、クラス定義の内部でオブジェクト名を指定することができない。

そのための変数が、この擬似変数というものらしい。

FTPサービスへの脆弱性確認

自分で建てたサーバのFTPサービスへの脆弱性診断方法を調べたのでメモ。

調査項目

  • Anonymouse Login
  • Banner check
  • Brute Force Attack

Anonymouse Login

  • FTPにはAnonymouse Loginという、誰でも匿名でサービスを利用できる設定がある
  • インターネット上の不特定多数の人へファイル配信をしたい場合を除くと、基本OFFの機能
  • 誰がファイルを操作したかわからないし、誰でもログインできるとか怖い

★診断方法 & 設定変更

誰でもログインできるという設定担っていないかをチェックする

1. 以下を打ち込んでみて、ログインできないか確認
#telnet <IPアドレス> <ポート番号>
USER anonymous
2. 設定ファイルをチェック
  • confファイルの以下の部分を変更。
anonymous_enable = NO



Banner check

  • サービスのバージョン情報などがバナーに表示されている場合がある
  • これらは攻撃者にとって有用な情報となる場合があるので、表示しないほうがセキュア

★診断方法

  • ログイン時などに不要な情報が表示されないかチェック



Brute Force Attack

  • 簡単なIDとPASSWORDを使っていると、外部に公開されているFTPサービスの場合は不正ログインが行われる危険性がある
  • Kali Linuxのhydraなどを用いて実際にBrute Force Attackを行うとよい

★診断方法

  • ログイン時などに不要な情報が表示されないかチェック

AEADについてのメモ1

●AEADとは? Authenticated Encryption with Associated Data (認証付暗号化方式:AEAD)

暗号化と認証を同時に実行する方式

CBCの代わりになる暗号化方式

tls1.3では古い暗号化方式はすべて切り捨てて、AEADをサポートしているらしい。

認証付暗号化方式 AEAD は,次の 3 つのアルゴリズムの組 AE = (AE-K, AE-E, AE-D) で定義される

疑問1 Hashはどこで使われる?

疑問2 RSA????

セキュリティスキル・タスク関連資料の簡易まとめ

ITスキル

セキュリティ全般

CSIRT関連

  • CSIRT人材の定義と確保(CSIRT協議会)
    CSIRTの役割を15に分け、それぞれに必要なスキルについてまとめている。 CSIRTのモデルや実装例も紹介されており、CSIRT構築・運営の参考となる 活動内容|CSIRT - 日本シーサート協議会

SOC関連