タグ「セキュリティエンジニア」

タグセキュリティエンジニア

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 79件)

トップガンでなくてもセキュリティエンジニアとして長く続けていくには - トリコロールな猫/セキュリティ

2024/01/09 90 users 一興バイナリマルウェアトリコロール覚悟

はじめにセキュリティ業界は人が少ないので、どこに行っても名前を聞く人とか、バイナリを見ただけでどこ製のマルウェアかわかる人とか、つよつよ人材が身近にいがちです。そんなトップガンを目指すのも一興ですが、ある程度の期間は、起きている時間全てをセキュリティに捧げる覚悟が必要です。私はそこまでできないの... 続きを読む

セキュリティエンジニアを3年続けて分かったおすすめ勉強法

2024/01/04 696 users 独断偏見範囲費用対効果時期

セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。セキュリティエンジニアとは「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回... 続きを読む

GitHubの内部ネットワークにアクセス可能な脆弱性(SSRF)を報告した話 - Flatt Security Blog

2023/07/31 16 users GitHub SSRF HackerOne テキサス脆弱性

はじめにこんにちは、株式会社Flatt SecurityでセキュリティエンジニアをやっているRyotaK (@ryotkak) です。 HackerOneのイベント (H1-512) に参加するためにテキサスに行った話で紹介したイベントにおいて報告したSSRF(サーバーサイドリクエストフォージェリ)に関して、脆弱性情報を公開する許可が得られたため、今回... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ

2023/07/24 245 users ガイドライン研究開発一瀬サービス

はじめに研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働い... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ

2023/06/29 177 users

はじめに研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シーザ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュ... 続きを読む

Cookie vs Local Storage マルウェア耐性等に差はあるか？Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog

2023/03/13 13 users Flatt Security Blog 暗号化 XSS 耐性

はじめにこんにちは。セキュリティエンジニアの@okazu_dmです。皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうか... 続きを読む

2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く（後編）】 - #FlattSecurityMagazine

2023/01/26 15 users FlattSecurityMagazine 総括サイボ

9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。今回コメントをいただいた方々（社名五十音順・順不同）後編（本記事）サイボ... 続きを読む

セキュリティ診断ツール "Dastardly" を WSL2 上で実行してみた - Qiita

2022/12/29 25 users Qiita GitHub Lifull WSL2 新卒

LIFULL に新卒入社し、もうすぐ4年目になるヒラノです。普段はセキュリティエンジニアとして、セキュリティ/テスト自動化に関する推進、支援などを中心に取り組んでいます。 15日目の記事では Dastardly を GitHub 上で動かしていましたが、今回はローカル（WSL2）上で動かしてみようと思います。 What is Dastardly? ... 続きを読む

Firebase Authenticationのバリデーション等を新機能「blocking functions」を用いて拡張する - Flatt Security Blog

2022/11/29 12 users バリデーション okazu-dm blocking 新機能

こんにちは。セキュリティエンジニアの@okazu-dm です。この記事は、Firebase Authenticationに2022年7月ごろに追加されたblocking functions という機能についての紹介です。詳細は後述しますが、blocking functionsはFirebase Authenticationの登録、サインイン処理を拡張するための機能で、この記事では、blocking... 続きを読む

Firebaseの新機能「Cross-service Rules」でCloud Storageのアクセス制御をスマートに実装しよう - Flatt Security Blog

2022/11/15 14 users Firebase Cloud Storage Sz4rny

こんにちは。株式会社Flatt Security セキュリティエンジニアの梅内 (@Sz4rny) です。本稿では、2022年9月に Cloud Storage for Firebase に新たに導入された Cross-service Rules という機能について、前提知識をおさらいしつつ、実例を交えながらその概要や利用方法、メリットなどを紹介します。また、Flatt Securit... 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users XSS auth アクセストークン okazu-dm 耐性

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Auth0のアクセストークンをLocal Storageに保存するのは安全？メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

2022/08/02 138 users auth アクセストークン okazu-dm IDaaS 昨今

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティリスク森岡本稿 Flatt Security

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

無名のセキュリティエンジニアがたった2本のブログ記事からSoftware Designで連載をすることになった (技術編) - NFLabs. エンジニアブログ

2022/07/19 24 users パスワードハンズオン tl;dr アウトプット無名

tl;dr 前半をサイバー脅威インテリジェンスの理論、後半をハンズオンの形式で全6回の連載をしてきました連載は現実のインテリジェンス業務をなるべく反映させたものであり、戦術脅威インテリジェンスがアウトプットの中心になります実態のよくわからないバズワードに飛びつかず、企業は自組織の体制と世の中の脅威を正... 続きを読む

セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ

2022/07/11 241 users ラックセキュリティごった煮ブログセキュリティ業界機会

こんにちは、かすたーど先生です。セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか？」と聞かれることがよくあります。情報収集の方法って、学生さんももちろん、セキュリティエンジニア... 続きを読む

セキュリティエンジニア向け英語教材、IPAが無償公開　「セキュリティ英単語集」など（要約）

2022/07/02 12 users IPA 要約無償公開 English Reading 英語

情報処理推進機構は、セキュリティエンジニア向け英語教材「セキュリティエンジニアのための English Reading」を公開した。英語のリーディング力や情報収集力向上のための内容を掲載している。続きを読む

セキュリティエンジニア向け英語教材、IPAが無償公開　「セキュリティ英単語集」など

2022/07/01 23 users IPA 無償公開英文読解力 English Reading

情報処理推進機構は、セキュリティエンジニア向け英語教材「セキュリティエンジニアのための English Reading」を公開した。英文の読解力や情報収集力を高める内容という。続きを読む

徳丸浩 on Twitter: "現実的かつ実践的で良い資料だと思います / “セキュリティエンジニアのための English Reading：IPA 独立行政法人情報処理推進機構” https://t.co/mMOUei3LvR"

2022/06/30 11 users 徳丸 IPA 現実的 English Reading t.co

現実的かつ実践的で良い資料だと思います / “セキュリティエンジニアのための English Reading：IPA 独立行政法人情報処理推進機構” https://t.co/mMOUei3LvR 続きを読む

セキュリティエンジニアのための English Reading：IPA 独立行政法人情報処理推進機構

2022/06/30 1164 users IPA English Reading 独立行政法人

私たちは中核人材育成プログラム第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。世界中の情報を利用するためには英語の力、中でもリーディングの力... 続きを読む

Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog

2022/06/27 295 users セキュリティ観点 Flatt Security Blog

はじめにこんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性... 続きを読む

カンムのセキュリティ事情 - カンムテックブログ

2022/04/25 11 users カンム OKR LIVA カンムテックブログ施策

こんにちは、livaです。カンムでセキュリティエンジニアやってます。入社してから半年程度経った今はPCI DSSの監査準備だったり優先度高めにした施策をOKRに落とし込んで手を動かしたりと慌ただしく動いてます。初執筆のテックブログでなにを書こうかなと考えていて、3月の末に出たPCI DSSv4がいいかとも思ったんです... 続きを読む

大企業のセキュリティエンジニアなのに詐欺にだまされかけた話

2022/04/24 25 users 教訓詐欺クレジットカード詐欺経験談知識

大手決済サービス・Stripeでセキュリティエンジニアを務めているロバート・ヒートン氏が、詐欺について豊富な知識を持っているにもかかわらずクレジットカード詐欺にだまされかけてしまった経験談と、そこから得た教訓を語っています。 I'm a security engineer and I still almost got scammed | Robert Heaton https:/... 続きを読む

Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

2022/04/19 255 users IDaaS 落とし穴脆弱性本稿アプリケーション

はじめにこんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿... 続きを読む

Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog

2022/04/18 837 users Flatt Security Blog ウェブサイト奥山

画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。本稿では、独立行政法人情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。「安全なウェブサイトの作り方」は、無料で公開されているにも関わ... 続きを読む

そのクーポン機能は不正利用を防げる実装ですか？ - Webサービスにおけるクーポン機能の仕様とセキュリティ観点 - Flatt Security Blog

2022/04/06 20 users 実装セキュリティ観点仕様不正利用 WEBサービス

こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。本稿では、BtoCのWebサービスにおいてマーケティング施策として頻繁に発行される「クーポンコード」及び「クーポン機能」のセキュリティ観... 続きを読む

(1 - 25 / 79件)

次の25件 »