Django CVE-2024-42005 の脆弱性を確認する

CVE-2024-42005 について Django のクエリーセットの values() と values_list() にクリティカルな脆弱性。SQL インジェクションの可能性あり。CVSS 基本値は 9.8 と高レート。 LTS の

Django ORM で順参照の逆参照

順参照ー逆参照の組合せ 順参照は select_related (INNER JOIN), 逆参照は prefetch_related (2 つの SQL クエリーをメモリ内で Django が連結) で対応するわけだが、組み合わせたいとき

PostgreSQL 全文検索インデックス pg_bigm を使ってみる

全文検索インデックスとは PostgreSQL がデフォルトで使用するインデックスは B-tree ですが、B-tree は文字列での検索や並び替えを行う場合、前方一致しか使えません。 B-tree インデックスが張られたカラムで部分一致や

【Django+PostgreSQL】TimeZone の扱い

PostgreSQL の TimeZone PostgreSQL は特に意識しない場合は OS の TimeZone が DB 接続時のデフォルトの TimeZone になります。 理由は、初期セットアップコマンド initdb 実行時に

【Django】コネクションプールと持続的接続 (Persistent Connections)

コネクションプール(Connection Pool) コネクションプールという技術は DB 接続クライアント側の技術です。なので PostgreSQL や MySQL 等の DB サーバにその機能があるわけではありません。 DB クライアン

PostgreSQL で SQL 実行履歴を確認する

システム全体で全ての SQL 実行履歴をログに出力する方法 postgresql.conf に log_statement = 'all'; を追記し、サービスを再起動する。 設定の確認方法は以下。 postgres=#

「世界一流エンジニアの思考法」を読んで感じたこと

話題になっていた「世界一流エンジニアの思考法」。 非常に読みやすく、すらすらとテンポよく読めるのに、色々と深く考えさせられた。 本サイトは通常はアフィリエイトを狙うのだが、この本には最大限のリスペクトを示すため、アフィは付けない。 世界一流

CVE-2024-1086 (特権昇格の脆弱性) の PoC を試してみた

実験内容 基本的には以下の PoC の通り。 試した環境 Rocky Linux 9.3 (Kernel 5.14.0-362.24.1.el9_3.0.1.x86_64) 準備 root にて /root ディレクトリで以下を実行。 必要

django のマイグレーション失敗 django.db.migrations.exceptions.InconsistentMigrationHistory

以下のエラーに遭遇 (.venv) $ python manage.py migrate Traceback (most recent call last): File "/home/django/samplepj/manage.

VS Code の Black-Formatter の line length (1行あたりの文字数) について

VSCode の Python 用 Linter である Black-Formatter の 1 行あたりの文字数変更方法についてきちんとした記事が見つからんかったが手探りで出来たので共有。 settings.json にて以下を記載。 &

MSペイントで透明の背景を白く塗りつぶしたい

プロローグ ちょっとサイト本来の趣旨と違うけど、検索しても出てこなし 2 回目なので備忘のため。 MS ペイントで背景が勝手に透明になってしまい、白く塗りつぶしたいけどどうしたらいいか分からない、という方全てに捧げます。 手順 「レイヤー」

【サンプルで学ぶansible】Ubuntu+Nginxで証明書作成&https

前提 Ubuntu 2 台を以下の記事に沿って設定済であること。 学べる事 vars の使い方 繰り返し処理を行いたいときの loop の使い方 ファイル作成コマンドの冪等性の保ち方 handlers の使い方 playbook の中身 u

【図解/入門】Ansible の仕組み,環境構築, Ubuntu 構成自動化のサンプル

Ansible の仕組み Ansible は NW 機器や各種サーバーの設定を管理する仕組みです。 playbook と呼ばれるファイル (人間で言う手順書に該当するもの) に従って、対象の機器に接続し、playbook の通りに設定作業を

OpenAPIを読み込んでOWASP ZAPでDjango DRFを脆弱性検査する

Django DRF の CSRF 問題 Django Rest Framework で作成した REST API でセッション認証を使う場合、CSRF が無効化できない。 ログインのための POST のときも csrftoken が必要。

フリーのSBOMツールでCycloneDXフォーマットのSBOMを作る

フリーのSBOMツール: CycloneDX Generator を使ってみる 以下のツールを実行したときのメモ。 やりたいこと RedHat 系 Linux 上の /opt/hoge に配置されたプログラムの SBOM を作成する。フォー

【wireshark】http/httpsの宛先URLのフィルタ、表示

http の宛先URLでフィルターする 取得したパケットキャプチャーのうち、http 通信の宛先URLで検索したいときは以下のフィルター式を使います。 http contains "hoge" 以下は "nes

【初心者向け】sudoとsuの違い, コマンドが使えない場合の対処等

sudo と su sudo (読み方 : すーどぅー) はコマンドの先頭につけることで、そのコマンドを root 権限で実行することができるコマンドです。別のコマンドとセットで使われ、一時的に root にユーザーになれるコマンドです。な

実践的な社内インフラセキュリティ設計・実装 ～ゼロトラストよりも境界型防御が優先やろ～

境界型防御からゼロトラストへの『移行』なんてあり得ない一般的な企業インフラのセキュリティの話。クラウドはインターネットからのアクセスを想定しているため、今の時代ゼロトラストの実装は必然です。企業が全ての重要データをクラウドに預けているなら、

【OpenSSL】でサーバ証明書を作る with SANs

サブジェクト代替名(SANs)を付与したサーバ証明書を作る最近のブラウザでは証明書のコモンネームは確認せず、サブジェクト代替名(SANs)のみを確認します。証明書をPCに「信頼されたルート証明機関」としてインストールしたとしても、SANsに

WSL2 に ovftool をインストールして kali linux の ova を作る

kali linux , ova の配布やめるってよ備忘メモとして wsl2 にて kali linux の 7z を ova に変換する術をここに記す。使ったのは Windows 11 Home 22H2 22621.1992 である。w