タグ 徳丸
新着順 10 users 50 users 100 users 500 users 1000 users「カード情報を毎回入力した方が安全」は誤解?→入力時に情報を盗むことが主流になってきている
徳丸 浩 @ockeghem 「面倒臭いけどカード情報は登録せずに毎回入力した方が良いかもしれないね」←これはよくある誤解で、攻撃側はカード情報を入力するタイミングで盗むので、「登録したほうが漏れにくい」ことになります。 x.com/nonbirimanabo/… のんびり @nonbirimanabo タリーズECサイトでクレカ情報5万件以上流出か... 続きを読む
ChatGPTで「jQueryでAPIを呼びだし、その結果を表示するサンプルプログラムを書いてください」と指示したら、脆弱性のあるサンプルが出てきた話
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズCTO IPA非常勤職員 YouTubeチャンネル: youtube.com/@websecstudy 匿名での徳丸への質問はMondから mond.how/ja/ockeghem DMはどなたでも送信可能ですが、返信するとは限りません blog.tokumaru.org 徳丸 浩 @ockeghem ChatGPT o1-previewで「jQueryでAPIを... 続きを読む
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全な
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全なのでしょうか? 徳丸が書いていないことを質問いただくことが時々ありますが、私が書いてないのは書きたくない理由があるから(単にめん... 続きを読む
徳丸 浩氏が“独断と偏見”で選ぶ 2023年気になった事件と2024年脅威予測
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 2023年も数え切れないほどのサイバー攻撃が発生した。あと2週間で2023年も終わりを迎えようとしているが、読者の皆さんが特に印象的だっ... 続きを読む
徳丸 浩氏に聞いてみた 「なぜサイバーセキュリティ人材は足りないの?」
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して... 続きを読む
今話題のドメイン名オークションの仕組み|徳丸 浩
NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。 「ドコモ口座」のドメイン、落札される 402万円で - ITmedia NEWS まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイ... 続きを読む
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”
「やらないよりマシ」 徳丸氏が語る“セキュリティチェックシートの問題点”:「Security Week 2023 春」開催レポート サイバー攻撃の激化によって企業規模を問わずサプライチェーンリスクが生まれている。発注側と受注側それぞれでこれに向けた効果的な防御策とは何か。徳丸 浩氏がサプライチェーンリスクとセキュリティ... 続きを読む
徳丸 浩 on Twitter: "現実的かつ実践的で良い資料だと思います / “セキュリティエンジニアのための English Reading:IPA 独立行政法人 情報処理推進機構” https://t.co/mMOUei3LvR"
現実的かつ実践的で良い資料だと思います / “セキュリティエンジニアのための English Reading:IPA 独立行政法人 情報処理推進機構” https://t.co/mMOUei3LvR 続きを読む
WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産
以下のツイートを読んで気持ちが昂ったので。 みんな、もうSNSでいがみ合うのはやめよう。 平和に好きなJWTの話でもしようよ。 JWTの格納場所はlocalStorageとCookieのどっちが好き?— 徳丸 浩 (@ockeghem) 2022年2月11日 というのも、JWTをセッションに使うときに保存先含めて一時期悩んでいたので、その時の自分の解。... 続きを読む
SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp
シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む
徳丸 浩 on Twitter: "これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさら
これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw 続きを読む
徳丸 浩氏に聞いた「ドコモ口座」問題 今起きていること、今できること - ITmedia エンタープライズ
2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏(EGセキュアソリューションズ 代表取締役)に、今起きていること、今できることを聞いた。 こ... 続きを読む
Apacheが最新版(2.4.41)かどうかを確認する方法 | EGセキュアソリューションズオフィシャルブログ
こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。 はじめに脆弱性診断の一環で、サーバーソフトウェアのバージョンを確認したいというニーズがあります。今どき、Apache等のServerヘッダにバージョンが出ているこ... 続きを読む
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門 1. XXE、SSRF、安全でないデシリアライゼーション入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • XML外部実体参照(XXE)攻撃 • サーバーサイド・リクエスト・フォージェリ(SSRF) • 安全でないデシリアライゼーション © 2016-2019 Hir... 続きを読む
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題 1. 徳丸試験基礎編の例題を紹介 EG セキュアソリューションズ株式会社 徳丸 浩 2. 前提 • ウェブ・セキュリティ基礎試験(徳丸基礎試験)の 模擬試験およびその解説です https://www.phpexam.jp/tokumarubasic/ • 徳丸試験の本番の問題とは別ですが、似たよう... 続きを読む
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019) 1. オニギリペイのセキュリティ事故に学ぶ 安全なサービスの構築法 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • オニギリペイとは • オニギリペイの8つの試練 – 試練#1 キャンペーンを実施したら、某筋からお叱... 続きを読む
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Phpconf2019 1. オニギリペイのセキュリティ事故に学ぶ 安全なサービスの構築法 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • オニギリペイとは • オニギリペイの8つの試練 – 試練#1 キャンペーンを実施したら、某筋からお叱りを受ける – 試練#2 ログインIDを発番したのに不正ログインが多発 – 試練#3 ... 続きを読む
ajitofm 47: セキュリティと利便性、脆弱性診断
徳丸さん、co3kさん、makogaさんと7pay、セキュリティと利便性、セッション長、脆弱性診断などについて話しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 | プログラミング | Kindleストア | Amazon 7payの「二段階認証導入」は正解か? ... 続きを読む
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む
Railsエンジニアのためのウェブセキュリティ入門に参加 ? - YassLab 株式会社
銀座Rails#8で行われた徳丸 浩さん (@ockeghem) の講演『Railsエンジニアのためのウェブセキュリティ入門』に参加してきました! 本日19時から銀座にてですが、キャンセルのためお席の余裕ができたようです。Railesアプリのセキュリティについてトークします / “銀座Rails#8 @リンクアンドモチベーション - connpass” ht... 続きを読む
Rubyでもbcryptはバイナリセーフではない - Qiita
RubyのBCryptはバイナリセーフなのか 徳丸先生が注意喚起としてあげられていたこちらの記事に関して “bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記” https://t.co/AA1yFVd0TH — 徳丸 浩 (@ockeghem) 2019年2月24日 記事ではPHPの例が上がっていましたが、Rubyではどのような影響があるの... 続きを読む
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む
安全なWebアプリケーションの作り方2018 - slideshare
安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践: 徳丸 浩: eBooks
<b>攻撃と防御の知識を一冊に凝縮!</b><br /><br /><b>※こちらの電子書籍は、[リフロー版]の他に[固定版](固定レイアウト型電子書籍)がございます。ご購入前に、双方の「立読み版」をよく電子書籍をご利用になる端末にて実際にご覧いただき、比較検討されることをお勧めします。</b><br />日本中の現場で支持され... 続きを読む
徳丸先生が『安全なWebアプリケーションの作り方』第二版を語る会
安全な Web アプリケーションの作り方 ブログ枠で入り込みました。 2018年9月10日(月)19:00~20:30 @ EGセキュアソリューションズ株式会社 Connpass から引用: 弊社代表 徳丸の著書であり、ウェブエンジニアのみなさまのバイブルとして親しんでいただいております『安全なWebアプリケーションの作り方』。6月21日に... 続きを読む