今話題のドメイン名オークションの仕組み｜徳丸　浩

2023/09/26 358 users フィッシング 高値 NTTドコモ ドメイン ドコモ口座

NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。 「ドコモ口座」のドメイン、落札される　402万円で - ITmedia NEWS まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイ... 続きを読む

WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

2022/02/12 336 users JWT ockeghem localStorage 格納場所

以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き？— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む

SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp

2021/09/08 264 users localStorage phpcon SPA トークン 前提

シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む

徳丸 浩 on Twitter: "これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさら

2021/09/07 1007 users Exploit Linux インストール https t.co

これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw 続きを読む

徳丸 浩氏に聞いた「ドコモ口座」問題　今起きていること、今できること - ITmedia エンタープライズ

2020/09/10 138 users EGセキュアソリューションズ 預金引き出し被害 ドコモ口座

2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏（EGセキュアソリューションズ　代表取締役）に、今起きていること、今できることを聞いた。 こ... 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア クロスサイトスクリプティング XSS

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

安全なWebアプリケーションの作り方2018

2018/12/15 373 users Webアプリケーション デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

安全なWebアプリケーションの作り方2018 - slideshare

2018/12/15 373 users SlideShare デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

徳丸先生が『安全なWebアプリケーションの作り方』第二版を語る会

2018/09/18 242 users 徳丸先生 Webアプリケーション connpass 作り方

安全な Web アプリケーションの作り方 ブログ枠で入り込みました。 2018年9月10日（月）19：00～20：30 @ EGセキュアソリューションズ株式会社 Connpass から引用: 弊社代表 徳丸の著書であり、ウェブエンジニアのみなさまのバイブルとして親しんでいただいております『安全なWebアプリケーションの作り方』。6月21日に... 続きを読む

徳丸 浩さんのツイート: "サマータイム導入で影響を（ほとんど）受けないITシステムは何だろう…Excelで済むような業務、弥生会計や勘定奉行による経理処理くらいであればあまり影響は受

2018/08/12 145 users https Excel t.co 弥生会計 経理処理

サマータイム導入で影響を（ほとんど）受けないITシステムは何だろう…Excelで済むような業務、弥生会計や勘定奉行による経理処理くらいであればあまり影響は受けないかな（条件にもよる）…そうだ、いいこと思いついた。全部Excelでや… https://t.co/UC1vDR8651 続きを読む

著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則

2017/10/08 109 users セキュアコーディング 原則 脆弱性 KCCS 転籍

著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則 1. 著名PHPアプリの脆弱性に学ぶ セキュアコーディングの原則 EG セキュアソリューションズ株式会社 徳丸 浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:E... 続きを読む

ウェブアプリケーションセキュリティ超入門 | Slideshare

2017/09/18 529 users SlideShare KCCS 転籍 出向 徳丸浩

ウェブアプリケーションセキュリティ超入門 1. ウェブアプリケーションセキュリティ超入門 EG セキュアソリューションズ 徳丸 浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 734 users ウェブセキュリティ WebDav アジェンダ パイプドビッツ

ウェブセキュリティの最近の話題早分かり 1. ウェブセキュリティの最近の話題早分かり EGセキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAV... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 738 users ウェブセキュリティ WebDav アジェンダ パイプドビッツ

ウェブセキュリティの最近の話題早分かり 1. ウェブセキュリティの最近の話題早分かり EGセキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAV... 続きを読む

セキュリティの都市伝説を暴く

2017/06/09 573 users セキュリティ 都市伝説 autocomplete アジェンダ

セキュリティの都市伝説を暴く 1. セキュリティ対策の都市伝説を暴く EGセキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • セキュリティの都市伝説とは • セキュリティの都市伝説さまざま – パスワードのマスク表示 – IDまたはパスワードが違います – パスワードの有効期間 – autocompleteの停止 – 戻るボタンの問題 • まとめ 2 3. 徳丸浩の自己紹介 • 経歴... 続きを読む

安全なPHPアプリケーションの作り方2016

2016/11/03 430 users PHPアプリケーション KCCS 作り方 転籍 徳丸浩

安全なPHPアプリケーションの作り方2016 1. 安全なPHPアプリケーションの作り方2016 HASH コンサルティング株式会社 徳丸 浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時... 続きを読む

『例えば、PHPを避ける』以降PHPはどれだけ安全になったか

2016/04/16 303 users PHP セッショ アジェンダ 非推奨 改善

『例えば、PHPを避ける』以降PHPはどれだけ安全になったか 1. 『例えば、PHPを避ける』以降PHPはどれだけ 安全になったか 徳丸 浩 2. アジェンダ • 例えば、PHPを避ける • htmlspecialchars 文字エンコーディングチェックの改善 • register_globalsが非推奨に • マジッククォートが非推奨に • 暗号学的に安全な擬似乱数生成器のサポート • セッショ... 続きを読む

セキュアコーディング方法論再構築の試み | slideshare

2016/02/27 178 users SlideShare KCCS 転籍 出向 徳丸浩

セキュアコーディング方法論再構築の試み 1. セキュアコーディング方法論再構築の試み HASH コンサルティング株式会社 徳丸 浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計... 続きを読む

Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編)

2015/11/01 256 users WordPress編 防御方法 セキュリティ状況 アジェンダ

Webサイトをめぐるセキュリティ状況と効果的な防御方法(WordPress編) 1. Webサイトをめぐるセキュリティ状況と効果的な防御方法 ～WordPressを題材として～ 2015年10月31日 HASH コンサルティング株式会社 代表取締役 徳丸 浩 2. アジェンダ • Webサイトへの侵入経路とは • 怒涛のWordPressサイトへの侵入デモ6連発 – パスワードクラック – PHP... 続きを読む

今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料

2015/10/03 403 users SQLインジェクション アジェンダ 今どき ジヨン Rマッパ

Phpcon2015 1. 今どきのSQLインジェクションの話題総まとめ HASHコンサルティング株式会社 徳丸 浩 2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Z... 続きを読む

パスワード定期的変更の効能について徳丸さんに聞いてみた | 徳丸浩の日記

2014/09/10 490 users 徳丸浩 効能 徳丸さん パスワード定期的変更 高橋

2014年9月10日水曜日 パスワード定期的変更の効能について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁... 続きを読む

模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた | 徳丸浩の日記

2014/08/25 148 users 徳丸浩 各所 日本銀行 徳丸さん 注意喚起

2014年8月25日月曜日 模倣サイトとして各所から注意喚起が出されているサイトについて徳丸さんに聞いてみた 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題の『模倣サイトとして各所から注意喚起が出されているサイト』についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず問題のサイトですが、NTT東日本、NTTドコモ、日本銀行... 続きを読む

Rails SQL Injection Examplesの紹介

2014/06/11 198 users 紹介 Copyright

Rails SQL Injection Examplesの紹介 Presentation Transcript Rails SQL Injection Examplesの紹介 2014年6月11日 徳丸 浩 Rails SQL Injection Examplesとは Copyright © 2010-2014 HASH Consulting Corp. 2 Rails SQL Injection... 続きを読む

ANAの不正ログイン事件について徳丸さんに聞いてみた | 徳丸浩の日記

2014/03/13 172 users 徳丸浩 ANA 徳丸さん ANAマイレージクラブ マイレージ

2014年3月13日木曜日 ANAの不正ログイン事件について徳丸さんに聞いてみた 高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、... 続きを読む

文字コードの脆弱性はこの3年間でどの程度対策されたか?

2014/02/25 299 users 脆弱性 文字コード ３年間 KCCS 転籍

文字コードの脆弱性はこの3年間でどの程度対策されたか? Presentation Transcript 文字コードの脆弱性は この3年間でどの程度対策された か? 2014年2月19日 徳丸 浩 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式... 続きを読む