2012-08-31(金) [長年日記]
■ 
実践 Metasploit ―ペネトレーションテストによる脆弱性評価(David Kennedy/Jim O'Gorman/Devon Kearns/Mati Aharoni
ここ数日けっこうな騒ぎになっていた、Oracle Javaのセキュリティホールに関する報道にともなって、幾度となく名前が登場したMetasploit。その本邦初の解説書である本書をちょっと必要に駆られて読んでいるんだけど、いやー、面白いわー。いままであまり接近してこなかった世界ではあるが*1、Webサービスを開発・運用している身としては他人ごとではない世界でもあり、壁を隔てた向こう側にいる人たちの思考過程とその手法についてよくわかって(いろんな意味で)面白い。
Metasploitそのものはペネトレーションテストをすることを目的に作られているが、そこに含まれているのは歴代の多数のexploitなわけで、ダウンロードするだけでアンチウィルスソフトにひっかかる代物だ。そんな危険なものなのに、オープンソースでリポジトリはGithubにある。さらに開発言語は我がソウル言語であるRuby。こりゃフォローしないわけにいかないし、いつかはパッチのひとつもcontributeできたらいいね。
本書は「実践」とついているだけあって、構成もハードだ。なにしろインストール方法はおろか入手方法の説明もなしにいきなり起動から入る。専門用語の説明も最小限。それくらいはクリアしてから手に取れということだ。一方、ホワイトハッカーとしてペネトレーションテストの正当性を確保するためのルールに関しては前段で丁寧に説明してあり、モラルなくしてこのツールを手に取るなという強いメッセージに背筋が伸びる思い。
そんなペネトレーションテストの設計から入って、ポートスキャン、脆弱性スキャンを経てようやく「攻撃」に至る手順はしごくまっとう。理論は別の書籍に任せるということだろう、周辺ツールの紹介もはさみつつ本当に実践的な手法の紹介に徹している。まだ読みかけだけど、後半にはRubyで書かれたさまざまなモジュールを改造したり新規に書き起こしたりもしているようで、これも楽しみだ。
実践 Metasploit ―ペネトレーションテストによる脆弱性評価
オライリージャパン
¥4,180
*1 クラッキングをする人たちの住む世界、という意味でだが、もちろん本書の想定読者はセキュリティ監査目的のペネトレーションテストをする人たちである。
2012-08-30(木) [長年日記]
■ 今日もプチプチとgemのproxy対応
proxyの内側でrubyを使ってるのは世界中でおれだけなんじゃないかと感じつつある今日このごろいかがおすごしでしょうか。今日はTwitter認証を使っているツールを動かそうとしたらホストが見つからない的なエラーを吐いたので「またか……」と思いつつ対応しました。
認証の実装に使っているのは例によってOmniAuthなのだけど、Twitterの実装はOmniAuth Twitter。この中でRuby OAuthを使っていて、HTTPでの通信をしているのはこれ。
OAuthの方はちゃんとproxyを意識した作りになっていて、外部からオプションで:proxyを与えればちゃんをそれを使うようになっている。ので、OmniAuth Twitterの方で環境変数を見てオプションを変えるようにしたものをpull requestして、これはすぐに取り込まれた。めでたしめでたし。
……とはいえ、数あるOAuth利用者がいちいち同じ対応をしなきゃいけないのは良くないよなぁ。できるだけ上流、この場合はOAuthの方で対応した方がいいかなー。さらにさかのぼってNet::HTTPで、というのは行き過ぎだとは思うが、その境界はどこにあるのか。悩ましい。
2012-08-26(日) [長年日記]
■ アームストロング船長の死去にともない「月のひつじ」を(ふたたび)観る
朝おきて最初に目に飛び込んできたのがアポロ11号のアームストロング船長死去のニュースだった。最近では人類が月に行ったことすら知らない世代もいるらしいのだけど(都市伝説かもしれないけど本当でも驚かないよな)、これでまた歴史に1ページ、だなぁ。
うちの書庫にはアポロ時代の資料映像が入ったDVDなんかも何枚かあるけど、やはりここは「月のひつじ」で追悼でしょう。アームストロングはクライマックス以外ほぼ登場しないけど、アポロ11号の着陸中継を実現したオーストラリアの田舎の電波天文台Parkesの人々の話なんだからおおいに関係ある。まぁようするにパラボラ映画が見たかったというだけだけど。
■ 今日は一日プログラミング三昧
……の予定だったのだが、↑でDVDなど見てしまったのでのっけから予定が狂ってしまった。お約束すぎる。
まずは今月からAPIが変わって動かなくなっていたこの日記の全文検索をなんとかする(search-bing.rb)。BingのAPIが変わるのは以前からアナウンスされていたので、締め切りまでに対応ができなかったのは全面的にこっちのせいなんだけど、こんなに大幅に変えなくてもいいじゃんねぇ。というか、ページネーションのサポートがなくなるとか、かなりのデグレードで、使う気がだいぶ失せた。Googleのに入れ変えちゃおうかなー。
あと、なぜかNet::HTTPを使うとAPI呼び出しがTimeoutしてしまうので、泣く泣くopen-httpを使ったとか($SAFEが1の場合に制約があるからtDiaryでは使わないルール)。これはまた機会のあるときにでも追いかけよう。というわけで検索機能が復活。
そのあとは、最近たちあげたMassrのコードを書こうと思ったんだけど、まじめにテストを書こうとしたらRSpecの勉強だけで残りの時間が消えてしまった。TDD難しすぎる……というか、OAuthで認証するサービスのテストなんてどうやって書くんだ?
◆ wakatono [まいどありがとうございますー。 正しく楽しんでいただき、かつお役立ていただければ幸いですー。]
◆ ただただし [役だってますよぅ、マジで!]