Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

Default ClassLoader configuration in several Application Servers

Java application uses ClassLoaders in parent-first mode. On the other hand, some JavaEE Application Servers are not parent-first mode in default, and/or have preferences to configure ClassLoader behavior.

# Application Server Default mode Preference
1 WebSphere parent first https://www.ibm.com/support/knowledgecenter/en/SSAW57_8.5.5/com.ibm.websphere.nd.multiplatform.doc/ae/crun_classload.html server configuration https://www.ibm.com/support/knowledgecenter/en/SSAW57_8.5.5/com.ibm.websphere.nd.multiplatform.doc/ae/trun_classload_server.html
2 Tomcat parent last https://tomcat.apache.org/tomcat-9.0-doc/class-loader-howto.html Context.xml in %CATALINA_HOME%/conf/, or /META-INF/ https://tomcat.apache.org/tomcat-9.0-doc/config/loader.html
3 uCosminexus Application Server parent first http://itdoc.hitachi.co.jp/manuals/link/cosmi_v0950/03Y0730D/EY070564.HTM N/A
4 JBoss EAP parent last https://developer.jboss.org/wiki/JBossClassLoadingUseCases jboss-app.xml for EAR, or jboss-web.xml for WAR https://developer.jboss.org/wiki/ClassLoadingConfiguration

CEH Certified Ethical Hacker Practice Exams, Third Edition (All-In-One) Chapter 1 Notes (日本語)

CEH Certified Ethical Hacker Practice Exams, Third Edition (All-In-One)を使ってCEH v9のテスト勉強をしている。Chapter 1 (pp.3-7)を解いたときのメモ。

もう一度解いた方がよい問題

2, 3, 7, 8, 10, 11, 12, 15, 16, 19, 25

むずかしい単語

  • residual 残余
  • recon 偵察 (reconnaissance) = footprinting
  • outage 機械の停止
  • discretionary 自由裁量の
  • dissemination 流布
  • fraudulent いかさまの
  • cordon 非常線

問題を解くにあたってのヒント

  • EC-Councilでは攻撃の手順を以下のように定義している。
    1. reconnaissance (footprinting): ActiveなものもPassiveなものもある。
    2. scanning and enumeration
    3. gaining access: 具体的に言うと、shellを取ること。
    4. escalating privileges
    5. maintaining access: 具体的に言うと、rootkitを仕掛けること。
    6. covering tracks
  • ARO, ALE, SLE
    • Annualized Loss Expectancy (ALE, 年間予想被害額) = Single Loss Expectancy (SLE, 個別予想被害額) x Annualized Rate of Occurrence (ARO, 年間発生率)
    • Single Loss Expectancy (SLE, 個別予想被害額) = Asset Value (AV, 資産価値) x Exposure Factor (EF, 危険度)
  • Security Controlの分類:OWASPが示している分類のしかたは以下の2つ。
    • 実施タイミングによるもの。
      • preventive control: 事前に行う予防的なもの。
      • detective control: インシデント発生時に、検出に使うもの。
      • corrective control: インシデントの事後の回復に使うもの。
    • Controlの性質によるもの。
      • administrative control: 運用や手順によるもの。
      • logical (technical) control: ソフトウェアなどによるもの。
      • physical control: 物理的なもの。bollardとか。
  • Network Zoning:以下の順で危険度が高いと認識される。
    • Internet Zone
    • Internet DMZ
    • Production Network Zone
    • Intranet Zone
    • Management Network Zone

CEH v9 Practice Tests 2 Notes (日本語)

CEH v9: Certified Ethical Hacker Version 9 Practice Testsを使ってCEH v9のテスト勉強をしている。Practice Test 2 (pp.28-52)を解いたときのメモ。

もう一度解いた方がよい問題

8, 11, 16, 17, 18, 21, 28, 29, 32, 33, 34, 35, 39, 40, 42, 44, 45, 52, 55, 58, 59, 68, 72, 74, 81, 84, 85, 86, 88, 89, 91

むずかしい単語

  • deterrent 抑止力
  • dormant 眠っている
  • authenticity 本物であること
  • designator 指示子
  • interference 妨害
  • culprit 犯人
  • disgruntled 不満な
  • detrimental 有害な
  • ward 身を守る
  • withstand 持ちこたえる
  • posture 姿勢
  • authenticity 真正性

問題を解くにあたってのヒント

  • DSA (Digital Signature Authority): 否認防止と真正性証明のために使われる。
  • OFDM: 昔で言うとFDMAの一種。
  • HIDS: このテストではSnortとかのイメージ。なぜかTripwireもHIDSということに。
  • Pharming: Phishingの一種。DNSポイズニングを利用して偽のサイトへ誘導する。
  • Authentication Typeは以下の通り。ただこの本、ときどきType 1とType 2が入れかわっているような?
    • Type 1: What you know
    • Type 2: What you have
    • Type 3: What you are
    • Type 4: Somewhere you are
    • Type 5: Something you do
  • Biometrics: 単にBiometricsと言った場合は身体的情報のこと。Biometricを使った認証がType 3 control (What you are)になる。
  • Scope creep: セキュリティ分野とソフトウェア工学分野で意味が違う。
    • セキュリティの分野では、昇格や異動に伴ってアクセス権限の範囲が不必要な範囲まで広がること。
    • ソフトウェア工学の分野では、要求仕様が増えていくのをコントロールできなくなっていること。
  • Biometricsの閾値
    • FRR (False Rejection Rate): 本人なのにRejectされてしまう割合
    • FAR (False Acceptance Rate): 他人なのにAcceptされてしまう割合
    • CER (Crossover Error Rate): Biometricsはパラメタ調整でFRRとFARが変わるけど、調整の結果FRRとFARが同じになったときの、その率。
  • Packet layer firewall
  • Honeypot: Honeynetという言葉があるみたいで、Honeypotは狭義にはネットワークノードとして運用されているもののことを指す。
  • DES (Data Encryption Standard): DESは狭義には暗号の規格の名前で、アルゴリズムだけを指して言うときはDEA (Data Encryption Algorithm)と言う。AESとRijndaelみたいなもんですかね。
  • Q.122は問題が間違っているような……

CEH v9 Practice Tests 1 Notes (日本語)

CEH v9: Certified Ethical Hacker Version 9 Practice Testsを使ってCEH v9のテスト勉強をしている。Practice Test 1 (pp.2-25)を解いたときのメモ。

もう一度解いた方がよい問題

4, 11, 14, 15, 17, 20, 21, 33, 34, 37, 39, 46, 48, 51, 54, 60, 64, 68, 70, 78, 79, 80, 81, 82, 94, 97, 99, 103, 105, 107, 109, 112, 113, 115

むずかしい単語

  • dissect 分析する
  • infiltrate 潜入する、しみ込む
  • deface 表面を摩滅して読めなくする・すり消す
  • exfiltrate データを密かに抽出する
  • compromise 信用を傷つける
  • legitimate 正当な
  • interrogate 手順をふんで問いただす
  • rummage 容器をかき回して捜す
  • enticement 誘惑

問題を解くにあたってのヒント

  • ECC」はだいたい楕円曲線暗号(Elliptic Curve Cryptography)の意味。Error Check and Correction(ECCメモリとか)の意味ではない。あと、解説本によってはEC-Councilのことを「ECC」と言っていたりするので紛らわしい。
  • Smurf attackとFraggle attackは、いずれもブロードキャストへのリクエストパケットを使った攻撃方法。Smurf attackはICMP Type 8 (Echo Request)を使ったもの。Fraggle attackはudp/7 (echo service)を使ったもの。
  • Firewalkingとは……たとえば、攻撃対象のファイアウォールtcp/22を通すんだけど、ファイアウォールの後段のノードはtcp/22をDROPしてしまう、という場合に使う。普通にファイアウォール経由でtcp/22のパケットを通すと、ファイアウォールDROPしたんだか後段のノードがDROPしたんだか分からないので、これを区別するための手順。
  • PAP: Password Authentication Protocolの略。CHAP同様、PPPの認証に使われる。
  • X.509: X.500はディレクトリサービス(たとえばLDAP)のデータモデルのこと。X.509は公開鍵証明書のデータフォーマットのこと。ややこしいことに、LDAPで使う証明書のフォーマットがX.509だったりする。
  • OSごとのTCPパケットのTTL値のデフォルト値(募集:信頼できるソースが見あたらなかった……)
  • Ping of deathが見つかったのは1996年。
  • Melissa: この本のPractice Test1, Q.21では"Melisa"と誤植されている。MelissaとI LOVE YOU(こっちはウィルスではなくワーム)は両方とも感染力の強いマルウェアだと思うけど、この本ではMelissaの方が感染力が強いということになっているみたい。
  • Ncat: 紛らわしいが、OpenBSD由来のnetcatと、nmapをインストールすると一緒に入ってくるnetcatがあって、コマンド名もncだったりncatだったりする。できることはどちらもだいたい同じ、なのかなぁ……
  • XMAS scan: TCPパケットのFIN, PSH, URGフラグを立てる。ポートが閉じていればRSTパケットが返り、開いていれば逆に何も返らない(Windowsだけは例外的に開いているポートでもRSTパケットが返る)。
  • TCPヘッダのフラグの並び順: CWR, ECE, URG, ACK, PSH, RST, SYN, FINの順。たとえばXMAX scanは00101001になる。

CEH v9 Practice Tests 1 Notes (1)

Notes for CEH v9: Certified Ethical Hacker Version 9 Practice Tests Practice Test 1 (pp.2-25).

  • ECC means Elliptic Curve Cryptography, not Error Check and Correction (e.g. ECC memory).
  • Smurf attack and Fraggle attack are both using request packet for a broadcast address. Smurf attack uses ICMP Type 8 (Echo Request), while Fraggle attack uses request packet for udp/7 (echo service).
  • Firewalking: For example, if the targeted gateway pass through tcp/22 and the next node of the gateway drop packets for tcp/22, you cannot distinguish whether of them dropped the packet with ordinal packet to tcp/22.
  • PAP: Password Authentication Protocol. Used in PPP, as with CHAP.
  • X.509: X.500 is data model(s) for directory services, e.g. LDAP. X.509 is the format of public key certificates. X.509 is also used in certificates for LDAP (it is a little confusing).
  • TTL default value in different OSes (Wanted: authorized & summarized source)
  • Ping of death: Found in 1996.
  • Melissa: This book (Practice Test1, Q.21) misprinted the name of this macro virus ("Melisa"). I think Melissa and I LOVE YOU (worm) are both very infectious, but this book says Melissa is more infectious.
  • Ncat: included in nmap package.
  • XMAS scan: Sets FIN, PSH, and URG flags. Responce will be RST packet on closed ports (Windows returns RST packet also on opened ports).
  • Flags in TCP Header: CWR, ECE, URG, ACK, PSH, RST, SYN, FIN. XMAX scan becomes 00101001.