タグ 徳丸本
人気順 10 users 50 users 100 users 500 users 1000 usersChatGPTで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、脆弱性のあるサンプルが出てきた話
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません blog.tokumaru.org 徳丸 浩 @ockeghem ChatGPT o1-previewで「jQueryでAPIを... 続きを読む
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む
徳丸本の Docker 実習環境を M1/M2 Mac で1から構築した - Qiita
先日、徳丸本(正式名称: 安全なWebアプリケーションの作り方 第2版)の実習環境 Docker 対応バージョンが公開されました。 こちら、M1/M2 Mac にも対応したものになっています。 リリース内容を確認してみましたが、既存の部分からの変更点のみの環境構築となっています。 ということで、さっそく1から新規で M1 Mac ... 続きを読む
「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) - ITmedia エンタープライズ
『徳丸本 第二版』についても直撃:「前例のないGW10連休、セキュリティ上どう備えるべき?」専門家、徳丸浩さんに聞いた (1/3) 10連休を迎える2019年のゴールデンウイーク、改元に合わせて想定される具体的なリスクと対処法とは――情報セキュリティ専門家の徳丸浩さんに詳しく聞きました。 年末年始、あるいは夏期休暇や... 続きを読む
『徳丸本』第2版 発売記念インタビュー(後編)|テクノロジー | オピニオン|トライベック・ストラテジー
トライベック・ストラテジーのパートナーである、EGセキュアソリューションズの代表徳丸 浩氏の『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践』が2018年6月に発行されました。 本書は2011年3月の初版発行から7年ぶりの改訂版。通称『徳丸本』とも呼ばれ、Webアプリケーショ... 続きを読む
徳丸本こと「安全なWebアプリケーションの作り方 第2版」はWeb開発者必読の書として更なる進化をとげていた | Webセキュリティの小部屋
はじめに 2018年6月に、Webアプリケーション開発のセキュリティの必読書である、いわゆる「徳丸本」の第2版が発売になりました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 この徳丸本第2版ですが、発売日前にフライングゲットしたという情報が Twitter で流れ、私も本屋... 続きを読む
徳丸 浩さんはTwitterを使っています: "対応Cipher SuitesがTLS_RSA_WITH_RC4_128_MD5 一つだけというロックな設定。IE10以下だと閲覧可能。IE11だと不可 / “インターネットブラウザ「Google Chrome」利用時
徳丸 浩 @ockeghem いわゆる「徳丸本」の著者です。脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。プロフィールはこちら https://plus.google.com/+tokumaruorg/about … 続きを読む
初心者Webアプリケーション開発者がチェックすべき情報源2015 - ハニーポッターの部屋
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。去年に引き続き、最低限のものに絞ってみた。上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリ... 続きを読む
PHP入門書を確認指摘する徳丸浩氏にWeb業界はどう思っているの?Webセキュリティで権威のある徳丸本の著者、徳丸浩氏。本人曰わく、「ライターさんなら仕方ないが、Web業界で働く制作者が
[PHP・Perl・Ruby] PHP入門書を確認指摘する徳丸浩氏にWeb業界はどう思っているの? Webセキュリティで権威のある徳丸本の著者、徳丸浩氏。 本人曰わく、「ライターさんなら仕方ないが、Web業界で働く制作者が書くPHP入門書に絶望的」と。 これって、PHPを学習したく入門書を買いたい人にとって深刻なことじゃないかと思います。 特にWordPressをきっかけにPHPを学ぶ人も多いでし... 続きを読む
初心者Webアプリケーション開発者がチェックすべき情報源2014 - ハニーポッターの部屋
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」... 続きを読む
徳丸本のDRMなしPDF版が達人出版会からお買い求めいただけます | 徳丸浩の日記
2013年11月7日木曜日 徳丸本のDRMなしPDF版が達人出版会からお買い求めいただけます 昨日から、拙著「体系的に学ぶ安全なWebアプリケーションの作り方」が達人出版会から発売されました。DRMフリーのPDF形式になります。 ということで、紙の本に加え、電子版が5種類販売されることになります。 紙の本(Amazon) PDF版(達人出版会) PDF版(bookpub) Kindle Kobo ... 続きを読む
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
Accessibility View text version Categories Technology Upload Details Uploaded via SlideShare as Adobe PDF Usage Rights © All Rights Reserved Statistics Favorites 1 Downloads 0 Comments 0 Embed Views 0... 続きを読む
初心者Webアプリケーション開発者がチェックすべき情報源2012 - ハニーポッターの部屋
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。あと、... 続きを読む
徳丸 浩氏に聞く「セキュリティ意識の高め方」(後編)(1/2) | 日立ソリューションズの情報セキュリティブログ
前編に引き続き、HASHコンサルティング代表取締役の徳丸 浩氏にお話をお伺いします。後編では、セキュリティの最新動向のお話や、「徳丸本」出版のいきさつなどについてお話を伺いました。 徳丸 浩(とくまる・ひろし) HASHコンサルティング株式会社代表 京セラコミュニケーションシステム株式会社技術顧問 独立行政法人情報処理推進機構(IPA)非常勤研究員 1985年京セラ株式会社入社後、ソフトウェアの開... 続きを読む
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ — Presentation Transcript PHPカンファレンス北海道 徳丸本に載っていない Webアプリケーションセキュリティ 2012年4月21日 徳丸 浩 本日お話しする内容• キャッシュからの情報漏洩に注意• クリックジャッキング入門• Ajaxセキュリティ入門• ドリランド カード増殖祭りはこうしておこった…かも? Copy... 続きを読む
Rubyで安全なWebアプリを作るためのメモ | monoの開発ブログ
RubyでWebアプリケーションを作るときにセキュリティ関連でやっておくべきことのメモです。 以下の4つの問題について、Sinatra・Hamlを使っている環境(うちの環境)での対策方法を説明しています。それぞれの問題についての詳細はここでは触れないので、徳丸本を読むとよいと思います。 XSS CSRF クリックジャッキング IEのsniffing XSS対策 エスケープ漏れを防ぐ きちんとエスケ... 続きを読む
徳丸本をブロガーに差し上げちゃうキャンペーンのお知らせ - ockeghem(徳丸浩)の日記
「徳丸本」こと「体系的に学ぶ 安全なWebアプリケーションの作り方」は、このたび増刷(第5刷)が決定いたしました。皆様のご愛読に深く感謝申し上げます。増刷を記念して、徳丸本を買いたくてもまだ買えていなかった方々に、徳丸本を進呈するキャンペーンを企画いたしました。私の手元に徳丸本第3刷の在庫が数冊あります。元々献本用や(HASHコンサルティングの)営業活動の贈呈用として購入していたものですが、思った... 続きを読む
「徳丸本ができるまで」スライドを公開します - ockeghem(徳丸浩)の日記
まっちゃ445などで発表に使用した「徳丸本ができるまで」のスライドを公開します。 発表時の原稿の後半を少しカットして、最新の状況を加筆しました。徳丸本ができるまで View more presentations from Hiroshi Tokumaruツイートする 続きを読む
「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem(徳丸浩)の日記
このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」(いわゆる徳丸本、#wasbook)の電子書籍版が9月28日(水)に販売開始されるというお知らせをします。大変要望の多かった徳丸本の電子書籍版ですが、タイトルのように、9月28日(水)の午前中に販売開始されることになりました。以下に諸データを記します。販売サイトブックパブ(http://book... 続きを読む
ECナビ エンジニアブログ : アプリケーションハンガリアンを用いて徳丸本の「様々な列でのソート」のサンプルを改善してみた。
2011年09月20日10:01 カテゴリsecurity勉強会 アプリケーションハンガリアンを用いて徳丸本の「様々な列でのソート」のサンプルを改善してみた。 こんにちはCTOの小賀(@makoga)です。今回はアプリケーションハンガリアンを用いて徳丸本のサンプルコードを改善してみます。 要約基本的にSQL文を動的に組み立てない。極力やらない方向で考える。どうしても動的に組み立てたいときは、外から... 続きを読む
HASHコンサルティングオフィシャルブログ: 9月10日PHPカンファレンス2011で講演しました
2011年9月11日日曜日 9月10日PHPカンファレンス2011で講演しました PHPカンファレンス2011講演資料 日付2010年09月10日(土曜日) 時間16時30分~17時10分 場所大田区産業プラザ PiO 演題徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011 徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011 View more presentations from Hiroshi... 続きを読む
paradigm shift: もしセキュリティ知識がないに等しいど素人が徳丸本を読んだら。
2011年8月24日水曜日 もしセキュリティ知識がないに等しいど素人が徳丸本を読んだら。 徳丸大先生が他の方の本をディス(公開処刑)ってらっしゃったので 私も徳丸本を読んで指摘したい箇所があります。 「安全なWebアプリケーションの作り方」の24ページで 実習環境のアカウントリストが載っているんですが、 全てのパスワードがwasbookです。 さらっと流し読みしただけですが、全てのパスワードを 同... 続きを読む
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ 「よくわかる... 続きを読む
続・徳丸本のあれこれ ストレッチング処理の変更 | 水無月ばけらのえび日記
公開: 2011年7月9日21時40分頃徳丸本のあれこれを実践してみて気付いたことの続きです。前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、早すぎて心細く感じるほどでした。アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、... 続きを読む
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
公開: 2011年6月26日22時50分頃とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にす... 続きを読む