電話帳のように分厚い本ですが、こういう解説図書はなぜか訳本がなく、原書をみるしかない。
しかし、WindowsやLinuxの内部アーキテクチャとかタスクのコンテキストイメージがある程度わかっていないと難しいかもしれない。
それにしても最近のマルウェアは自分がいまデバッガで検査されているかを判別して、検査されているとわかるとたくみにかわして、マルウェアであることがバレないように動く。
しかしさらにそうするだろうと予想して、いまデバッガでチェック中でないようにだましながら検査するツールもある。こういういたちごっこがずっと続くんでしょうか。
ラズパイにLAMPを入れ直そうと思い、MySQLがおかしかったのでやり直そうとして、結構はまりました。
まず、MySQLを綺麗に掃除しようと思い、
sudo apt-get --purge autoremove mysql-server
とやったのですが、エラーでうまくできず。
調べると、次のようにするといいということで実行。
sudo apt-get install aptitude
sudo aptitude update
sudo aptitude safe-upgrade
2行目まではうまく行き、3行目の safe-upgrade をしたら、実行にものすごく時間がかかり数時間やっても終わらない。
えいやで Ctrl-C で中止し、
sudo aptitude install mysql-server
とやると、いろいろと聞かれますが全て、 yまたはyes を入力したら無事終了。
MySQLは sudo mysql -u root -p だとログインできるのですが、sudo なしだとうまく行きません。さらにググったら
以下のようにするとのこと。
一旦、 sudo mysql -u root -p でログインしたら、
mysql>alter user 'root'@'localhost' identified with mysql_native_password by 'rootのパスワード';
とやったら、sudo なしで入れるようになりました。
このあと、さらにwordpressを入れて、http://自分のIPアドレス でアクセスすると
your php installation appears to be missing the mysql extension
と言われてしまいました。phpのMySQL拡張が入ってないということで、sudo apt-get install php7-mysql とか
sudo apt-get install php-mysqlnd とかやりましたが、全部そういうのはない と言われる。
php --version
でPHPバージョンを見ると、7.3.4なんとか と表示されるので
sudo apt-get install php7.3-mysqlnd
でようやくインストールでき、wordpress が起動しました。
OWASP ZAP をせっかく入れたので、OWASP BWA ばかりでなく、自分の作ったダミーWebを自分の環境に持ってきて脆弱性チェックをしてみました。
自分の環境といっても、Raspberry Piです。これにapache2とかを入れてコンテンツを動かします。
結果は、HTMLの書き方がなってないということらしい。
X-Frame-Optionヘッダー
ブラウザのXSS防止機能
:
などたくさん言われてしまいました。たしかに、まったく頓着していなかった。ブラウザの機能はともかく、HTMLの方はちゃんとしたエディタをお金を払って購入すれば、たいがいのことはコーディング中に警告を出してくれたりするのだろうか。
