2015/6/6にエフスタ!!に参加してきました。
今回のテーマは"プログラミング魂"で、ネットワークエンジニアの私にとっては、
普段業務で関わらない内容ばかりでしたので、とても刺激になりました。
イベントURL:https://efsta.doorkeeper.jp/events/24980
Togetter:http://togetter.com/li/832329
今回はLTをやってきました。
エフスタ!!のLTはITとは関係のない内容でもOKなので、
今回はITとは全く関係ない内容を話してきました。
何を話したかは残念ながら書くことができない内容ですが、
人前で話すいい練習になりますので、機会があればまたLTをやりたいです。
遅くなりましたが、2015/5/30にエフスタ!! in AIZUに参加してきました。
今回はライブがテーマで、ライブコーディングがほとんどでしたが、ライブコーディングは恐ろしいですね。講師には失敗できないというプレッシャーがかかっているのを感じました。
イベントURL:http://kokucheese.com/event/index/290680/
Togetter:http://togetter.com/li/829315
私はセッションを1つ担当してSQLインジェクションについてお話をしました。
時間が足りなくて、p.14のおまけのお話ができなかったので、ここに記載しておきます。
SlideShare:http://www.slideshare.net/masaruogura71/20150530-efsta-aizu
念のため、ここに書いてあることは、インターネット上のWebサーバに行ってはいけません。
法的措置をとられる可能性があります。
Admin権限ユーザ作成
まず、BadStore.netのソースコードを確認します。
ユーザを作成するところにINPUT TYPE="hidden"… というタグがあります。
ここはBadStore.netのユーザマニュアルにある、Cheat Sheetを見てしまいましたが、hiddenフィールドで定義しているroleをUからAに書き換えることでAdmin権限のユーザを作成できます。
WebページからはRoleの変更はできませんので、プロキシ(Burp Suite)を利用します。
ユーザの登録画面を開いた後にブラウザのプロキシ設定を127.0.0.1 ポート8080に設定します。
その後にBurp Suiteを起動します。
ユーザ作成を行います。
ユーザ名:test
パスワード:test
Burp Suiteでブラウザのリクエストをインターセプトし、Roleの部分をUからAに書き換えます。Webサーバにリクエストを送信します。
これでAdmin権限のユーザが作成されます。
人前でお話するのは私にとって、とても貴重な経験でした。
ありがとうございました!
今回はライブがテーマで、ライブコーディングがほとんどでしたが、ライブコーディングは恐ろしいですね。講師には失敗できないというプレッシャーがかかっているのを感じました。
イベントURL:http://kokucheese.com/event/index/290680/
Togetter:http://togetter.com/li/829315
私はセッションを1つ担当してSQLインジェクションについてお話をしました。
時間が足りなくて、p.14のおまけのお話ができなかったので、ここに記載しておきます。
SlideShare:http://www.slideshare.net/masaruogura71/20150530-efsta-aizu
念のため、ここに書いてあることは、インターネット上のWebサーバに行ってはいけません。
法的措置をとられる可能性があります。
Admin権限ユーザ作成
まず、BadStore.netのソースコードを確認します。
ユーザを作成するところにINPUT TYPE="hidden"… というタグがあります。
ここはBadStore.netのユーザマニュアルにある、Cheat Sheetを見てしまいましたが、hiddenフィールドで定義しているroleをUからAに書き換えることでAdmin権限のユーザを作成できます。
WebページからはRoleの変更はできませんので、プロキシ(Burp Suite)を利用します。
ユーザの登録画面を開いた後にブラウザのプロキシ設定を127.0.0.1 ポート8080に設定します。
その後にBurp Suiteを起動します。
ユーザ作成を行います。
ユーザ名:test
パスワード:test
Burp Suiteでブラウザのリクエストをインターセプトし、Roleの部分をUからAに書き換えます。Webサーバにリクエストを送信します。
これでAdmin権限のユーザが作成されます。
人前でお話するのは私にとって、とても貴重な経験でした。
ありがとうございました!
そろそろ業務の節目が訪れそうなので、自身のナレッジをアプトプットして整理していこうと思います。
ネットワークの運用は以下のような業務があります。
○ 常にネットワークが利用できる状態を維持する
○ 適宜、ネットワーク機器の設定変更や構成変更を行う
○ 他のチームが構築したネットワークを引き継ぐ
○ サポート切れしないようにソフトウェアやハードウェアのライフサイクルを管理する
など
私はもう10年くらいやっているので慣れてきましたが、運用は大変な業務だと思います。
ですが、大変な業務を大変なままやっていたのでは、体がもたないので、以下のようなことを行っています。
・効率化
- 定期的に実施することをスクリプトなどを利用して自動化する
・簡略化
- 管理するドキュメントや機器を減らす
-> ドキュメントの棚卸をして利用していないものを廃止
仮想技術を利用して物理的な管理機器を減らすなど
- 作業手順を簡単にする
-> 作業の手順をCLIからGUIへ変更など
こういうことを行っておくことで、急な人員削減やメンバー変更が行われても、残っているメンバーに負担がかからないと思います。
誰かが言ってましたが、今いるメンバーがベストメンバーだから、今いるメンバーでどうすればできるかを考えようみたいなことを聞いたことがあります。
必ずしもそうとは限りませんが、できるだけ今いるメンバーでできるようにする努力はしたほうがよいと思います。
また、そんな改善する時間がないという人もいるかもしれませんが、毎日10分でも時間を使うことによって、徐々に改善されていくと思います。
ネットワークの運用は以下のような業務があります。
○ 常にネットワークが利用できる状態を維持する
○ 適宜、ネットワーク機器の設定変更や構成変更を行う
○ 他のチームが構築したネットワークを引き継ぐ
○ サポート切れしないようにソフトウェアやハードウェアのライフサイクルを管理する
など
私はもう10年くらいやっているので慣れてきましたが、運用は大変な業務だと思います。
ですが、大変な業務を大変なままやっていたのでは、体がもたないので、以下のようなことを行っています。
・効率化
- 定期的に実施することをスクリプトなどを利用して自動化する
・簡略化
- 管理するドキュメントや機器を減らす
-> ドキュメントの棚卸をして利用していないものを廃止
仮想技術を利用して物理的な管理機器を減らすなど
- 作業手順を簡単にする
-> 作業の手順をCLIからGUIへ変更など
こういうことを行っておくことで、急な人員削減やメンバー変更が行われても、残っているメンバーに負担がかからないと思います。
誰かが言ってましたが、今いるメンバーがベストメンバーだから、今いるメンバーでどうすればできるかを考えようみたいなことを聞いたことがあります。
必ずしもそうとは限りませんが、できるだけ今いるメンバーでできるようにする努力はしたほうがよいと思います。
また、そんな改善する時間がないという人もいるかもしれませんが、毎日10分でも時間を使うことによって、徐々に改善されていくと思います。