タグ「セキュリティエンジニア」

タグセキュリティエンジニア

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 35件)

ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita

2024/07/14 419 users ネットワークタブ CTF CSP Qiita Satoki

はじめにはじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってくだ... 続きを読む

わざとシステムを攻撃させて攻撃手法を観測する「ハニーポット」を30日間設置した結果をセキュリティエンジニアが公開

2024/06/22 135 users ハニーポット SSH 遠隔攻撃手法攻撃

遠隔でシステムを操作するツールである「SSH」への攻撃をわざと行わせて行動を観察する「ハニーポット」を30日間にわたって設置した結果をセキュリティエンジニアのソフィアン・ハムラウイ氏が公開しています。 What You Get After Running an SSH Honeypot for 30 Days https://blog.sofiane.cc/ssh_honeypot/ ハムラウ... 続きを読む

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

2024/05/30 165 users XSS セキュリティリスク Content-Type 動作

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。また、ブログ資料化にあたり、Content-Type の動作... 続きを読む

セキュリティエンジニアを3年続けて分かったおすすめ勉強法

2024/01/04 696 users 独断偏見範囲費用対効果時期

セキュリティエンジニアとして就職してからそろそろ3年経ちます。独断と偏見に基づき、IT初心者・セキュリティ初心者・セキュリティエンジニアの3つの時期に分け、費用対効果の良い勉強法を紹介していきたいと思います。セキュリティエンジニアとは「セキュリティエンジニア」という言葉は範囲が広いですが、私が今回... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ

2023/07/24 245 users ガイドライン研究開発一瀬サービス

はじめに研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働い... 続きを読む

セキュリティエンジニアを目指す人に知っておいてほしい組織 - FFRIエンジニアブログ

2023/06/29 177 users

はじめに研究開発第二部リードセキュリティエンジニアの一瀬です。セキュリティエンジニア同士の会話では、「"シーザ"が最近またレポート出していて…」とか「"アイピーエー"から注意喚起出てたね」といった、初学者には謎の単語がたくさん出てきます。本記事では、そういった会話に出てくる単語のうち、国内外のセキュ... 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users XSS auth アクセストークン okazu-dm 耐性

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Auth0のアクセストークンをLocal Storageに保存するのは安全？メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

2022/08/02 138 users auth アクセストークン okazu-dm IDaaS 昨今

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティリスク森岡本稿 Flatt Security

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ

2022/07/11 241 users ラックセキュリティごった煮ブログセキュリティ業界機会

こんにちは、かすたーど先生です。セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか？」と聞かれることがよくあります。情報収集の方法って、学生さんももちろん、セキュリティエンジニア... 続きを読む

セキュリティエンジニアのための English Reading：IPA 独立行政法人情報処理推進機構

2022/06/30 1164 users IPA English Reading 独立行政法人

私たちは中核人材育成プログラム第5期受講生として、1年間にわたり様々な講義を受け、演習を実施してきました。その過程で、変化し続けるサイバーセキュリティの世界では、世界中の情報を的確に収集し成長を続けることが大事であることを学びました。世界中の情報を利用するためには英語の力、中でもリーディングの力... 続きを読む

Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog

2022/06/27 295 users セキュリティ観点 Flatt Security Blog

はじめにこんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性... 続きを読む

Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

2022/04/19 255 users IDaaS 落とし穴脆弱性本稿アプリケーション

はじめにこんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿... 続きを読む

Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog

2022/04/18 837 users Flatt Security Blog ウェブサイト奥山

画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。本稿では、独立行政法人情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。「安全なウェブサイトの作り方」は、無料で公開されているにも関わ... 続きを読む

サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog

2022/03/16 220 users セキュリティリスクサーバーレス森岡 AWS Lambda

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。はじめに AWS Lambda についてサーバーレスにおけるセキュリティリスク ... 続きを読む

セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog

2022/03/08 672 users Flatt Security Blog

画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショットはじめにこんにちは。株式会社Flatt Securityの @toyojuni です。突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する「セキュリティ診断」にお... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users XSS クロスサイトスクリプティング本稿攻撃リスク

はじめにこんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

みんな、ありがとう！　これからは技術者として名をはせていけるよう精進するよ（Coinhive事件最高裁解説後編）

2022/03/01 143 users 後編みんな Coinhive 技術者悪魔合体

みんな、ありがとう！　これからは技術者として名をはせていけるよう精進するよ（Coinhive事件最高裁解説後編）：刑法感覚のないセキュリティエンジニアと技術感覚のない警察・検察との悪魔合体（1/3 ページ） Webサイトに設置した「Coinhive」が不正指令電磁的記録保管罪に当たるとされたWebデザイナーのモロさんは、2... 続きを読む

痛いニュース(ﾉ∀`) : 東京五輪の現在のスタッフ募集状況が絶望的と話題に - ライブドアブログ

2021/05/01 354 users ライブドアブログブラディサンデー痛いニュース東京五輪

東京五輪の現在のスタッフ募集状況が絶望的と話題に 1 名前：ブラディサンデー(東京都) [US]：2021/05/01(土) 21:38:30.26 ID:z1egil010 絶賛募集中・大会本部で使用するアプリの開発者・会場のテクノロジー統括責任者・セキュリティエンジニア・プロジェクトマネジメント・拠点部門担当者・大会本部内エンジニア e... 続きを読む

AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog

2020/11/18 188 users Cognito パプリ AWS サーバーレス環境事例

こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。クラウドサービスが発展し続ける今日この頃、多くの企業がパブリ... 続きを読む

リクルートテクノロジーズ　エンジニアコース新人研修の内容を公開します！（2020年度版） | リクルートテクノロジーズ　メンバーズブログ

2020/08/21 1002 users リクルートテクノロジーズメンバーズブログ 2020年度版

こんにちは！リクルートテクノロジーズでセキュリティエンジニアとして活動している、藤原巧です。毎年恒例となっており、大きな反響をいただいている、エンジニアコースの新人研修の内容を紹介させていただきます。研修の概要リクルートテクノロジーズでは、新卒採用の新人向けに３ヶ月間の技術研修を行っています... 続きを読む

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん

2020/02/16 1265 users セキュ新卒資料バックエンド開発参考

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。そこから更に2年が経ち、来月からセキュ... 続きを読む

ワコムのペンタブ用ドライバーがPC上で起動したすべてのアプリの名前を収集しているという報告 - GIGAZINE

2020/02/06 634 users ワコム GIGAZINE ペンタブレットアプリケーション

by stevepb ペンタブレットやCAD関連製品を中心としたPCの周辺機器メーカーであるワコムのタブレット用ドライバーが、PC上で起動したアプリケーションの名前をGoogleアナリティクスに送信していたことが判明しました。この事実を解明したセキュリティエンジニアのロバート・ヒートン氏が、どうやってワコムのドライバー... 続きを読む

大澤昇平 :: AI 救国論 ?? on Twitter: "俺に対する悪意しか感じないクソまとめ記事だな。どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。要するに「10% は危険」ってことだ

2019/11/10 120 users 大澤昇平救国論悪意解釈 on Twitter

俺に対する悪意しか感じないクソまとめ記事だな。どういう思考すれば 90% 安全が「絶対安全」って解釈になるんだよ。要するに「10% は危険」ってことだぞ。確率論も理解できないセキュリティエンジニアには組織のリスク管理をや… https://t.co/F97MKKYD09 続きを読む

リクルートテクノロジーズ　エンジニアコース新人研修の内容を公開します！（2019年度版） | リクルートテクノロジーズ　メンバーズブログ

2019/07/02 1192 users リクルートテクノロジーズメンバーズブログブートキャンプ

こんにちは。セキュリティエンジニアの平松です。毎年、大きな反響を頂いているエンジニアコース新人研修の内容を今年も公開します。リクルートテクノロジーズの新人研修リクルートテクノロジーズでは、新卒採用の新人向けに3ヶ月間の技術研修「ブートキャンプ」を実施しています。新人たちは採用時の応募職種によっ... 続きを読む

(1 - 25 / 35件)

次の25件 »