javaの修飾子のメモ
static
- 直接メソッドや変数にアクセスできるようにしたい場合に使用する
★メソッドに使用した場合
- 静的メソッドと呼ばれる
- 新たにインスタンスを生成せずに呼び出せる
★変数に使用した場合
- 静的変数と呼ばれる
- グローバル変数と似たように使える
★注意点
- どこか1つの場所で値を変えたら、それが全体に影響を及ぼす可能性のあるリスクを把握して使用する
- 何も考えずに便利そうだからとか、どこからでもアクセスできるからとか、何も考えずに乱用するとstaticおじさんと言う名誉の称号を得られる(昔言われた記憶がある)
final
- 「定数」 変数ではなく、一度決めたら変更することのない変数を定義するために使用する クラスやメソッドにもこの修飾子を使える
★クラスに使用した場合
- 継承が行えなくなる
★メソッドに使用した場合
- オーバーライドが行えなくなる
PHP 擬似変数ってなに?
phpを書いていると、よく見られるもので$thisのことを、擬似変数という。
擬似変数とは、オブジェクト自信を指す変数のようで、プログラムがクラス定義の内側でオブジェクトにアクセスするためのオブジェクト名のことらしい。
クラスは定義された後に、任意の名前でオブジェクトとして生成される。 呼び出されるクラスを定義している時点では、そのクラスがどのような名前のオブジェクトになるのかが分からないため、クラス定義の内部でオブジェクト名を指定することができない。
そのための変数が、この擬似変数というものらしい。
FTPサービスへの脆弱性確認
自分で建てたサーバのFTPサービスへの脆弱性診断方法を調べたのでメモ。
調査項目
- Anonymouse Login
- Banner check
- Brute Force Attack
Anonymouse Login
- FTPにはAnonymouse Loginという、誰でも匿名でサービスを利用できる設定がある
- インターネット上の不特定多数の人へファイル配信をしたい場合を除くと、基本OFFの機能
- 誰がファイルを操作したかわからないし、誰でもログインできるとか怖い
★診断方法 & 設定変更
誰でもログインできるという設定担っていないかをチェックする
1. 以下を打ち込んでみて、ログインできないか確認
#telnet <IPアドレス> <ポート番号> USER anonymous
2. 設定ファイルをチェック
- confファイルの以下の部分を変更。
anonymous_enable = NO
Banner check
- サービスのバージョン情報などがバナーに表示されている場合がある
- これらは攻撃者にとって有用な情報となる場合があるので、表示しないほうがセキュア
★診断方法
- ログイン時などに不要な情報が表示されないかチェック
Brute Force Attack
- 簡単なIDとPASSWORDを使っていると、外部に公開されているFTPサービスの場合は不正ログインが行われる危険性がある
- Kali Linuxのhydraなどを用いて実際にBrute Force Attackを行うとよい
★診断方法
- ログイン時などに不要な情報が表示されないかチェック
snmpへの脆弱性診断
あるのか?
セキュリティスキル・タスク関連資料の簡易まとめ
ITスキル
i コンピテンシ ディクショナリ(iCD)
企業においてITを利活用するビジネスに求められる業務(タスク)と、それを支えるIT人材の能力や素養(スキル)を「タスクディクショナリ」、「スキルディクショナリ」として体系化してくれている。 i コンピテンシ ディクショナリ(iCD):IPA 独立行政法人 情報処理推進機構i コンピテンシ ディクショナリ(オフィシャルサイト)
iCDオフィシャルサイト :: ダウンロード
セキュリティ全般
ITSS+
ITスキル標準に「セキュリティ領域」「データサイエンス領域」「IoTソリューション領域」「アジャイル領域」について追加したもの。 ITSS+(プラス)・ITスキル標準(ITSS)・情報システムユーザースキル標準(UISS)関連情報:IPA 独立行政法人 情報処理推進機構SecBoK(Security Body of Knowledge)
2003年度から取り組まれているもので、役割を16に分け、それぞれに必要なスキルマップを定義している。 セキュリティ知識分野(SecBoK)人材スキルマップ2017年版
CSIRT関連
- CSIRT人材の定義と確保(CSIRT協議会)
CSIRTの役割を15に分け、それぞれに必要なスキルについてまとめている。 CSIRTのモデルや実装例も紹介されており、CSIRT構築・運営の参考となる 活動内容|CSIRT - 日本シーサート協議会
SOC関連
- セキュリティ対応組織の教科書
セキュリティ対応組織が担う組織機能や役割を9つに分けて解説してくれている。 SOC構築・運用の参考となり、自社で補う部分とアウトソーシングする部分を検討する際にも役立つ。 活動成果|ISOG-J:セキュリティ対応組織の教科書 v2.1