Amebaのブログ更新を止めます。代わりの新しいブログは、こちら↓
(゚ω゚)ヤマモモを土も含めて植え替えた。
(゚ω゚)日向が2鉢と、日陰が1鉢。秋には成長の違いが出てくると思う。
(゚ω゚)こっちは手で一本づつ植える。
(゚ω゚)苔も生えていた締まった土だったので植え替えが楽。
--------下記は2019-03-22 09:35:53の内容---------
(゚ω゚) 柿の新芽。マクロ撮影のピント合わせの為に黒い布を横に並べて撮影。
(゚ω゚) 昨年7月にまいたヤマモモが発芽した。
(゚ω゚)葉の裏は肌色だった。
(゚ω゚)大きい苗は文旦か八朔の種が土に混入してしまったのが発芽。
----------下記は2019-03-21 10:29:29の内容----------
(゚ω゚) 葉が落ちた柿の枝(2017年10月8日種まき)に変化はない。
(゚ω゚) 柿の芽。日付は柿を食べた日付。
(゚ω゚) ミカン(品種:はれひめ)。
(゚ω゚) 去年は日陰で育てたが今年は日なた。気温20度以下でも育つらしい。
(゚ω゚) 去年の秋に発芽した柿は、寒さで発芽したまま成長が止まっていた。
(゚ω゚) 植え替えて、息を吹き返すのだろうか?
--------下記は2019-02-27 12:04:43の内容----------
(゚ω゚)穴から土が流れ出てしまわないように、使い捨てマスク(スカスカの生地)を詰めた。
(゚ω゚)去年の生きが良さそうな「品種 はれひめ(みかん)」
(゚ω゚)柿は冬になると葉を落とします。
(゚ω゚)チャンドラポメロは大きい。
(゚ω゚)種は濡れティッシュに挟んで保管し、最高気温20℃くらいから、種まき予定。
(゚ω゚)日向が2鉢と、日陰が1鉢。秋には成長の違いが出てくると思う。
(゚ω゚)こっちは手で一本づつ植える。
(゚ω゚)苔も生えていた締まった土だったので植え替えが楽。
--------下記は2019-03-22 09:35:53の内容---------
(゚ω゚) 柿の新芽。マクロ撮影のピント合わせの為に黒い布を横に並べて撮影。
(゚ω゚) 昨年7月にまいたヤマモモが発芽した。
(゚ω゚)葉の裏は肌色だった。
(゚ω゚)大きい苗は文旦か八朔の種が土に混入してしまったのが発芽。
----------下記は2019-03-21 10:29:29の内容----------
(゚ω゚) 葉が落ちた柿の枝(2017年10月8日種まき)に変化はない。
(゚ω゚) 柿の芽。日付は柿を食べた日付。
(゚ω゚) ミカン(品種:はれひめ)。
(゚ω゚) 去年は日陰で育てたが今年は日なた。気温20度以下でも育つらしい。
(゚ω゚) 去年の秋に発芽した柿は、寒さで発芽したまま成長が止まっていた。
(゚ω゚) 植え替えて、息を吹き返すのだろうか?
--------下記は2019-02-27 12:04:43の内容----------
(゚ω゚)穴から土が流れ出てしまわないように、使い捨てマスク(スカスカの生地)を詰めた。
(゚ω゚)去年の生きが良さそうな「品種 はれひめ(みかん)」
(゚ω゚)柿は冬になると葉を落とします。
(゚ω゚)チャンドラポメロは大きい。
(゚ω゚)種は濡れティッシュに挟んで保管し、最高気温20℃くらいから、種まき予定。
(゚ω゚) 下記のブログの続き。
https://ameblo.jp/pochifx/entry-12422642653.html
情報処理安全確保支援士試験に出そうな高いCVSS値 2018年2月~2018年11月
2018-11-30
https://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&keyword=&useSynonym=1&vendor=&product=&datePublicFromYear=2018&datePublicFromMonth=12
(゚ω゚) いつも通りに、CVSSv3が緊急(値9.0~10.0)に絞ってみると、
(゚ω゚) インジェクション と、証明書 の脆弱性が目に付く。。
https://ameblo.jp/pochifx/entry-12422642653.html
情報処理安全確保支援士試験に出そうな高いCVSS値 2018年2月~2018年11月
2018-11-30
https://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&keyword=&useSynonym=1&vendor=&product=&datePublicFromYear=2018&datePublicFromMonth=12
(゚ω゚) いつも通りに、CVSSv3が緊急(値9.0~10.0)に絞ってみると、
(゚ω゚) インジェクション と、証明書 の脆弱性が目に付く。。
https://codezine.jp/article/detail/11348
>IPA、「基本情報技術者試験」の出題を見直し、COBOL廃止、Python追加、プログラミング能力・理数能力など重視
>2019/01/24 16:05
(゚ω゚)パイソンってなに?
https://www.python.jp/pages/about.html
>もし、その環境でCコンパイラが利用できるのであれば、おそらくPythonが動作するでしょう
https://docs.python.jp/3/using/cmdline.html
>もちろん、もっとも一般的な利用方法は、単純にスクリプトを起動することです:
>python myscript.py
(゚ω゚)Perlに似てる言語だった。
(゚ω゚)パイソンの脆弱性を調べてみた。
https://postd.cc/a-bite-of-python/
>Pythonに咬まれるな : 注意すべきセキュリティリスクのリスト
>標準入力から読み込んだものが即座にPythonコードとして評価される。
>モジュールインジェクション : 対策は、モジュールファイルとそのディレクトリへの書き込み権限は管理者だけに与える
>モンキーパッチ : 対策は、インポートするPythonモジュールの信頼性と整合性を確かめる
https://ja.wikipedia.org/wiki/%E3%83%A2%E3%83%B3%E3%82%AD%E3%83%BC%E3%83%91%E3%83%83%E3%83%81
>モンキーパッチは、オリジナルのソースコードを変更することなく、実行時に動的言語(例えばSmalltalk, JavaScript, Objective-C, Ruby, Perl, Python, Groovy, など)のコードを拡張したり、変更したりする方法である。
https://www.jpcert.or.jp/wr/2015/wr153801.html#5
【5】Windows 版 Python に任意の DLL 読み込みに関する脆弱性
Windows 版 Python には、実行の際に特定の DLL ファイルを読み込む脆弱性があります。
結果として、遠隔の第三者が、readline.pyd という名の DLLファイルを作成することで、任意のコードを実行する可能性があります。
対象となる製品は以下の通りです。
- Windows 版 Python
2015年10月5日現在、対策済みのバージョンは公開されていません。以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- python.exe を実行する際、カレントディレクトリ内に readline.pyd という名の DLL ファイルが存在しないことを確認する
詳細は、開発者や配布元が提供する情報を参照してください。
https://jvndb.jvn.jp/search/index.php?mode=_vulnerability_search_IA_VulnSearch&lang=ja&keyword=Python&useSynonym=1&vendor=&product=&datePublicFromYear=&datePublicFromMonth=&datePublicToYear=&datePublicToMonth=&dateLastPublishedFromYear=&dateLastPublishedFromMonth=&dateLastPublishedToYear=&dateLastPublishedToMonth=&severity%5B%5D=01&cwe=&searchProductId=
>検索キーワード: Python
>深刻度(CVSSv2):危険:(7.0~10.0)
https://jvndb.jvn.jp/ja/contents/2016/JVNDB-2016-004528.html
>CPython の zipimport.c の get_data 関数における整数オーバーフローの脆弱性
(゚ω゚)試験に出そうな脆弱性は整数オーバーフローかな?
https://docs.python.org/ja/3.8/search.html?q=%E8%84%86%E5%BC%B1
>脆弱 検索結果。
> 検索が完了し、 16 ページ見つけました。
(゚ω゚) 読みごたえある結果が出た。
https://docs.python.org/ja/3.8/library/xml.html?highlight=%E8%84%86%E5%BC%B1
>billion laughs攻撃
https://ja.wikipedia.org/wiki/Billion_laughs%E6%94%BB%E6%92%83
>攻撃例は10個のエンティティからなり、各エンティティは前のエンティティ10個からなる。最も大きなエンティティのインスタンスは最初のエンティティのコピー10億個になる。
> 消費される主記憶容量はXMLをパースしているプロセスが利用できる量を超える
https://docs.python.org/ja/3.8/library/crypt.html?highlight=%E8%84%86%E5%BC%B1
>crypt --- Unix パスワードをチェックするための関数
https://docs.python.org/ja/3.8/library/hmac.html?highlight=%E8%84%86%E5%BC%B1
>hmac --- メッセージ認証のための鍵付きハッシュ化
>警告:hexdigest() の出力結果と外部から供給されたダイジェストを検証ルーチン内で比較しようとするのであれば、タイミング攻撃への脆弱性を減らすために、 == 演算子ではなく compare_digest() を使うことをお奨めします。 https://dictionary.goo.ne.jp/jn/289419/meaning/m0u/
>タイミング‐こうげき【タイミング攻撃】の意味。
>《timing attack》サイドチャネル攻撃の一種。コンピューターが暗号化や復号処理に要する時間を測定し、その差からパスワードの文字列を解析するもの。
https://docs.python.org/ja/3.8/library/sqlite3.html?highlight=%E8%84%86%E5%BC%B1
>SQL インジェクション攻撃の対策
>DB-API のパラメータ割り当てを使います。 ? を変数の値を使いたいところに埋めておきます。
t = ('RHAT',)
c.execute('SELECT * FROM stocks WHERE symbol=?', t)
print(c.fetchone())
https://qiita.com/yoichi22/items/56cc3d8e243e137a254c
>MySQL-python でパラメータの自動エスケープ
>誤:cursor.execute("select * from person where name='%s'" % name)
>正:cursor.execute("select * from person where name=%s", name)
https://docs.python.org/ja/3.8/library/subprocess.html?highlight=%E8%84%86%E5%BC%B1
>シェルインジェクション の脆弱性に対処するための、すべての空白やメタ文字の適切なクオートの保証はアプリケーションの責任になります。
>shell=True を使用するときは、シェルコマンドで使用される文字列の空白やメタ文字は shlex.quote() 関数を使うと正しくエスケープできます。
https://docs.python.org/ja/3.8/library/shlex.html#shlex.quote
lubuntu@lubuntu-VirtualBox:~$ ls -l 'somefile; echo aaa' ls: 'somefile; echo aaa' にアクセスできません: そのようなファイルやディレクトリはありません lubuntu@lubuntu-VirtualBox:~$
(゚ω゚) Lubuntuではアポストロフィで囲むとファイル名として扱われた。
(゚ω゚) shlex.quote() 関数で変換するとecho aaaが実行されず、攻撃は失敗。
(゚ω゚)これ以降は、古いバージョンの脆弱。
https://docs.python.org/ja/3.6/library/asyncio-eventloop.html?highlight=%E8%84%86%E5%BC%B1
>18.5.1.6. コネクションの作成
>server_hostname が空の場合、ホスト名のマッチングは無効になります (深刻なセキュリティリスクになり、中間者攻撃に対する脆弱性になります)。
(゚ω゚) これだけが、意味不明。
https://docs.python.org/ja/2.7/library/os.html?highlight=%E8%84%86%E5%BC%B1
>警告:tempnam() を使うと、 symlink 攻撃に対して脆弱になります ; 代りに tmpfile() (ファイルオブジェクトの生成) を使うよう検討してください。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/c802.html
>シンボリックリンク攻撃
>
>いわゆる「シンボリックリンク攻撃」は、プログラムによるファイルへのアクセスに先回りしてシンボリックリンクを設定することによって、プログラムがオープンしようとするパス名の実体をシンボリックリンクにすり替えておき、想定外のファイルへのアクセスを起こさせる攻撃である。
>
>特に、高い権限で動作するプログラムがアクセスするファイルがシンボリックリンクにすり替えられると、システムの重要なファイルが改ざんされたり破壊されるおそれがある
>(1) シンボリックリンクを受け入れないようにする場合
>プログラムからファイルをオープンする場合、シンボリックリンクを受け入れないようにするにためは、ファイルオープンの前にシステムコール lstat() によりチェックすることができる。
>コード例 pathnameがシンボリックリンクか否か調べる
1 #include <sys/stat.h>
2
3 ...
4 struct stat lstat_result;
5 int err;
6
7 if (lstat(pathname, &lstat_result) != 0)
8 return ERROR; // lstat()失敗
9
10 if ((lstat_result.st_mode & S_IFMT) == S_IFLNK) {
11 // pathname はシンボリックリンクである
12 ...
13 }
14 ...
(゚ω゚)パイソンの特徴。
https://docs.python.org/ja/3.8/tutorial/venv.html
>仮想環境とは、特定のバージョンの Python と幾つかの追加パッケージを含んだ Python インストールを構成するディレクトリです。
8年ぶりに牛乳出荷 原発事故の影響受けた葛尾村[2019/01/11 11:54]
https://news.tv-asahi.co.jp/news_society/articles/000145006.html
福島第一原発事故の影響で避難を余儀なくされた福島県葛尾村で、約8年ぶりに牛乳の出荷が再開されました。
葛尾村は原発事故の影響で避難指示が続いていましたが、2016年6月に村の大部分で避難指示が解除されました。11日に牛乳を出荷した牧場は震災前には140頭ほどいた牛を事故の影響で手放すなどしましたが、去年9月に酪農を再開しています。
佐久間牧場・佐久間哲次さん:「一番は消費者に安心安全な牛乳を届けたいというのが僕らの思い」
11日、福島県内に向けて出荷する牛乳は放射線量の検査をしていて、今のところ、検出されていないということです。
(゚ω゚)色のついた地域から持ち出される物(農作物、工業製品、など)は、買ってはいけない。
http://josen.env.go.jp/#map_on
除染情報サイト:環境省:
https://www3.nhk.or.jp/news/html/20181216/k10011748821000.html
福島の除染土の再生利用 福島県以外の8割超「内容知らず」
2018年12月16日 5時28分
福島第一原発の事故に伴う除染で出た土を再生利用する国の計画について、内容を知らない人が、福島県以外では8割を超えるという調査結果がまとまり、環境省は、周知に努めるとしています。
原発事故のあと福島県内で行われた除染で出た土について、政府は、2045年までに福島県外で最終処分することを法律で定めています。
これを受けて、環境省は、最終処分する量を減らすため、放射性物質の濃度が一定の基準を下回ったものは、道路や防潮堤の盛り土などとして県内外の公共工事などで再生利用する計画です。
これについて環境省は先月、全国の20代から60代の男女を対象にインターネットでアンケート調査を行い、3600人から回答を得ました。
それによりますと、再生利用について「聞いたことがなかった」と答えた人は、福島県以外では59.3%でした。
また、「聞いたことはあるが内容は全く知らなかった」と答えた人は福島県以外では26.9%で、合わせると8割を超える人が内容を知らなかったことが明らかになりました。
環境省は、大学や高校で再生利用の意義や技術を紹介するワークショップを行ったり、福島県で行っている実証事業で全国の自治体の職員や住民を対象に見学会を開いたりして、計画の周知に努めるとしています。
(゚ω゚) 不合格です。7回目の受験が決定しました。
(゚ω゚) 正答率の得点予想は正確でした。
(゚ω゚) 解答欄の記述は完全一致ではなく、意味が同じだったら正解にしてるようだ( ASLRやNTPなどから )。
(゚ω゚) IPAが解答発表。正答率は午後Ⅰが59%、午後Ⅱが48%。6回目も落ちたかも
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30.html
(゚ω゚) TACが解答発表してる。午後Ⅰが62点、午後Ⅱが54点。6回目も落ちたかも
https://www.tac-school.co.jp/kouza_joho/sokuhou.html
> 平成30年度秋期 情報処理技術者試験・情報処理安全確保支援士試験 解答速報
(゚ω゚) iTECが解答発表してる。午後Ⅰ正答率が59%、午後Ⅱが48%。6回目も落ちたかも
| >情報処理安全確保支援士 (午後I) (PDF 125KB) 2018年10月23日 | |
 >情報処理安全確保支援士 (午後Ⅱ) (PDF 146KB) 2018年10月24日  |
----------------- 下記は2018-10-21 20:14:27 の内容 ----------------------
午前の正答は、毎回試験日の夜にIPAが公式発表している。
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2018h30.html#30aki
午前Ⅰの正答率は25/30=83%なので午前Ⅱは採点してもらえる(*´∀`)
問1= ア
問2= イ
問3= イ
問4= イ
問5= エ
問6= ウ(正解はエ)
問7= ア
問8= イ
問9= ウ
問10= エ
問11= イ
問12= エ
問13= ウ
問14= ウ
問15= イ
問16= ア
問17= ア
問18= ウ
問19= イ
問20= イ
問21= イ(正解はア)
問22= イ(正解はア)
問23= ウ
問24= エ
問25= ア
問26= エ(正解はア)
問27= ウ
問28= イ
問29= エ(正解はウ)
問30= イ
午前Ⅱの正答率は20/25=80%なので午後Ⅰは採点してもらえる(*´∀`)
問1= ア
問2= ウ
問3= ウ(正解はエ)
問4= ア
問5= ア
問6= ア
問7= ア
問8= ウ(正解はア)
問9= ア
問10= ウ
問11= エ
問12= エ
問13= イ
問14= ウ
問15= ア(正解はウ)
問16= ア
問17= イ
問18= ア
問19= イ(正解はウ)
問20= ウ
問21= エ
問22= イ
問23= ウ
問24= エ(正解はウ)
問25= ウ
午後Ⅰ
◆問1
設問1(1) a = キ
b = カ
c = ウ
d = ア
(2) う
(3) shellを実行する為のライブラリが実行防止されているから
設問2(1) e = スタック領域よりも大きいデータ領域
f = ASLR技術
(2) g = strcpy
設問3(1) 16行目 While文で書いたコードは、安全な関数に置換えできない
(2) 問題 = リンクするライブラリの版数によっては攻撃が成立する
開発環境 = 開発者各自が使用するライブラリの版数が異なる
◆問3
設問1 NTPサーバの時刻と同期する
設問2 CVSS
設問3 Eサーバのパッチ適用するための通販システムの停止
設問4 機器 = 内部メールサーバ
何を調査すべきか = HTTPリクエストを受け付けていたか
設問5(1) b = AP1
(2) HTTPS通信をHTTPに変えて遮断の判定をする機能
(3) c = 外部DNSサーバ
d = TXT午後Ⅱ
◆問2
設問1(1) a = ウ 情報セキュリティポリシの管理
b = オ 内部統制基準の作成
(2) c = ク ポリシ
d = ウ インシデント
e = ア CVSS v3基本値
設問2(1) f = ログ取得する機器
g = 取得するログの種類 h = 取得したログの保管期間
(2) i = フォーマット
j = 統一
(3) 通常時の値と比較し、差異があればインシデント発生だと判断する
設問3(1) 固定のプライベートIPアドレスを付与されたPC-AのHTTPリクエストが、L3SWとプロキシサーバのログに残っていた
(2) HTTPリクエスト = IPnへマルウェアKの実行結果やPC-A内のデータを送信
HTTPレスポンス = IPnからマルウェアKの実行指示を受ける
(3) 問題 = マルウェアKがプログラム終了してしまう可能性がある
措置 = PC-Aに付与したプライベートIPアドレスを無効にする
(4) k = 他のPCもサイトMにアクセスしていないか、プロキシサーバとL3SW
(5) 9回
(6) l = ハッシュ値
(7) 28行目
役立つ情報 = !!!未記入!!!
設問4(1) ア = 9 / 4 14:35
イ = 9 / 4 14:37
ウ = 9 / 5 10:41(2) m = タ
n = コ
o = ソ
p = ケ
q = ア
r = オ
s = カ
設問5 課題 = c
措置 = !!!時間切れの未記入!!!
(゚ω゚) 世界と比べて短足な日本人向けタイツは、ASICS XT7247 をお勧めする。
(゚ω゚) kai_ri_0001のコメントしたのは私です。
(゚ω゚) メーカーの通販サイトでは分かりにくいので写真を何枚か公開しておく。
(゚ω゚) 腰の紐は必須です。紐が無いと脱げてしまうからね。
(゚ω゚) 生地は水着を一緒かな。
(゚ω゚) 私がイオン等でスラックスを買うときのサイズは股下69cmなんだが、XT7247のLサイズはぴったり。
(゚ω゚) Lサイズは、ウエスト78、ヒップ93 までは問題なく着れる。この数字よりも太い人はこのタイツはムリだろう。
(゚ω゚) Oサイズは、股下が4cmくらい更に長くなる。
(゚ω゚) このチャックの持つ所が優秀。さすがYKK 日本製。
(゚ω゚) 下記のブログの続き。
https://ameblo.jp/pochifx/entry-12352754662.html
(゚ω゚) 試験問題に出そうな高いCVSS値が5件見つかった。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-003673.html
Apple macOS の Sandbox コンポーネントには、サンドボックス保護メカニズムを回避される脆弱性が存在します。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-005806.html
Apple macOS の Grand Central Dispatch コンポーネントには、サンドボックス保護メカニズムを回避される脆弱性が存在します。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-002054.html
Adobe Reader および Acrobat には、クロスコールの処理に不備があるため、セキュリティを回避され、サンドボックスをエスケープされる脆弱性が存在します。
http://www.checkpoint.co.jp/defense/advisories/public/2018/cpai-2018-0127.html
Adobe Acrobat および Reader のセキュリティ回避 (APSB18-02:CVE-2018-4872)
CVE-2018-4872
脆弱性の説明 この脆弱性は、Acrobat Reader のサンドボックス・エスケープにつながるセキュリティを回避する脆弱性です。
この場合、サンドボックス・プロセスからのクロス・コールが、組み込まれた Internet Explorer プロセスにより、特定 URL のプロンプトなしで URL を開くことができるようになります。
脆弱性により、URL のホワイトリストを回避し、任意の URL にリダイレクトすることが可能になります。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-006478.html
Android 用 および Windows Mobile 用 VMware AirWatch Agent には、アクセス制御に関する脆弱性が存在します。
https://jvndb.jvn.jp/ja/contents/2018/JVNDB-2018-009142.html
url-parse には、オープンリダイレクトの脆弱性、およびサーバサイドのリクエストフォージェリの脆弱性が存在します。
- Operaを普通にインストールすると、Cドライブにインストールされる。
- デスクトップの「Opera ブラウザ」のショートカットを修正。
- デスクトップの「Opera ブラウザ」を実行すると、RAMDISKのYドライブにキャッシュが作成された。
"C:\Users\user\AppData\Local\Programs\Opera\launcher.exe" -disk-cache-dir="Y:\disk-cache-dir" 赤色部分が追加した部分。
(゚ω゚)参考URL
https://search.ameba.jp/search/entry.html?q=RAMDISK&aid=pochifx
> 当ブログ記事の RAMDISK の検索結果
https://itpc.blog.fc2.com/blog-entry-195.html
>Opera のキャッシュ保存先を変更する - jBlog
>2018年11月22日 11:15:08