us-16-MunozMirosh-A-Journey-From-JNDI-LDAP-Manipulation-To-RCE
A JOURNEY FROM JNDI/LDAP MANIPULATION TO REMOTE CODE EXECUTION DREAM LAND Alvaro Muñoz (@pwntester) Oleksandr Mirosh Who are we • Alvaro Muñoz (@pwntester) • Principal Security Researcher, HPE Fortify • Oleksandr Mirosh • Senior QA Engineer, HPE Fortify Agenda • Introduction to JNDI • JNDI Injection • RMI Vector • Demo: EclipseLink/TopLink • CORBA Vector • LDAP Vector • LDAP Entry Poisoning • Demo
Dockerを使うとRedmineのテストが少しだけ楽になりました
テスト環境によってはRedmineのテストの一部が実施されない場合があります 足らない機能(ミドルウェア)はDockerコンテナを使って補うことが可能です 必要となるミドルウェアは都度Dockerを使うことで仮想マシン構築等の時間が不要になり楽になります 原田です。12月になり今年も終わり新しい年を迎えるということで、付き合いのある方々からカレンダーを頂きます。毎年デザインが変わるので年末ぎりぎりまで新しいカレンダーは開けないで楽しみにしています。 今回はRedmineの改善作業の一つであるテストをDockerコンテナを使用してすべて通してみることについて書きたいと思います。 Redmineはテストが通らないとリリースできません 当然のことですけどテストが失敗するコードをリリースするとRedmineを利用する多くの方々にご迷惑をかけます。最悪業務が止まってしまう事もあり得ます。Redmin
LDAP or File による認証 + AuthzSVNAccessFileによる認可 - よかろうもん!
ApacheでLDAP認証を使われている方は多いかと思います。 一般的にはLDAP認証だけ有効にしておけばよいパターンがほとんどかと思いますが、LDAPサーバもしくはActiveDirectoryにユーザが登録されていなかったり(登録できなかったり)、システム運用の都合で認証を許可したいアドレスもしくはユーザ(URL監視で利用など)が必要だったりとLDAP認証オンリーでは対応できない場合もあるかと思います。 こんな場合、どのような対応をすればよいでしょうか。 私が最初に思いついた方法は、システム運用で利用する場合ならば、ユーザ認証とアドレスによるアクセス制限のどちらかを満たすことでアクセスを許可するSatisfyディレクティブを利用し、アクセスがあるサーバのIPアドレスをAllowしておく方法です。 しかしこれではユーザ認証が必須となる場合には対応できませんね。 なおかつ、私が試した限りで
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
