セキュリティー備忘録＃３

・HTB AcademyのWrite Up
https://aryantech7000.medium.com/hackthebox-academy-writeup-2411ab44f32c

・Dirsearch
ディレクトリースキャナーツール。ウェブサーバーの隠しファイルやファイルパスを参照することができるPythonで書かれたツール。偵察など初期段階でWebサーバーに対して使用。手始めに大体Nmapとこれやってる。
https://www.oreilly.com/library/view/kali-linux-/9781787121829/2428b7d3-5be5-461c-9a63-5ed2829a6ad9.xhtml
https://howtotechnoglitz.com/japan/dirsearchnull-byte-wonderhowto%E3%81%A7%E9%9D%9E%E8%A1%A8%E7%A4%BA%E3%81%AEweb%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%82%92%E8%A6%8B%E3%81%A4%E3%81%91%E3%82%8B%E6%96%B9/

・Webディレクトリ
Webサーバー上に存在するHTMLファイルを格納したディレクトリ。

・BurpSuite
ローカルプロキシツール。ローカルからサーバーへの通信をキャプチャーして中身の確認、編集ができる。
https://www.as-lab.net/150713/

・Auditlog
AuditlogはLinuxのシステム監査ログの事。主にセキュリティー面での不正なイベントをログとして記録する。監査レコードで参照できるイベントタイプについては下記のURLを参照
https://access.redhat.com/documentation/ja-jp/red_hat_enterprise_linux/6/html/security_guide/sec-Audit_Record_Types

・Laravel
PHPのアプリケーションフレームワークの一種。

・Laravel.envファイル
Laravelの環境設定ファイル。

・アプリケーションフレームワーク
アプリケーションのプログラミング言語で使いやすいスタイルなどをパッケージングしたものを指す。PHPやPython、Rubyのそれぞれに様々なフレームワークが存在している。

・ミドルウェア / Websphere
以下の順序で並んでいる、アプリケーションを動かすための土台の事。
Websphereはその製品群のうちの一つ。TomcatやGlass Fishもこの一員。バックエンド側の住人
■アプリケーション
■ミドルウェア
■OS
■ハードウェア

・3階層モデル / 3層アーキテクチャー
クライアントサーバー構造におけるモデルのこと。順序は下記の様になっている。
クライアント | プレゼンテーション層 → アプリケーション層 → データ層
プレゼンテーション層：リクエストされたページの表示
アプリケーション層：検索やデータの入力などを行う（Java / PHP / Ruby）
データ層：アプリケーションで行うデータの保管場所
https://it-biz.online/it-skills/3-tier/
↓こんな感じ　https://www.kagoya.jp/howto/webhomepage/webapplication/

Websphereについて
https://www.kagoya.jp/howto/webhomepage/webapplication/

・SSLアクセラレータ
SSLの暗号化、複合化を行う装置。Webサーバーの手前に設置して複合化を行うことで負荷を軽減する。

・WAF
Web Application Firewallの略称で、webサーバーやアプリケーションサーバーへの攻撃を防ぐ目的で導入する。具体的な攻撃例としてはSQL Injectionなど。攻撃をそもそもされにくくするのと、された場合も根本的な修正が行われるまでWAFで防ぐことができるため、狙われたサーバーのダウンタイムを短くすることができる
https://cweb.canon.jp/it-sec/solution/siteguard/waf/