タグ「脆弱性検査」

タグ脆弱性検査

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 23 / 23件)

コンテナ・セキュリティ入門脆弱性 - Qiita

2019/10/10 290 users Qiita Kubernetes レジストリコンテナ実装

コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。脆弱性（ぜいじゃくせい）とは脆弱性とは、プログラムの動作の不備を悪用され... 続きを読む

コンテナセキュリティ関連OSSの紹介〜今すぐ始める無料の脆弱性検査〜 - Speaker Deck

2019/07/17 57 users Speaker Deck 無料

All slide content and descriptions are owned by their creators. 続きを読む

ニアミスだった2人のペンテスターが語る「ここが変だよ、日本のセキュリティー」 - ZDNet Japan

2019/07/08 22 users セキュリティーペンテスターニアミス Twitter 日本

インターネットサービスプロバイダー（ISP）でエンジニアとして働くうちにセキュリティーに興味を抱き、ペネトレーションテスター（ペンテスター）を志し、今ではヤフーでCISO室 Yahoo! JAPAN CSIRTに所属して内部の脆弱性検査やインシデントレスポンスを担う大角祐介氏、Podcastやブログ、Twitterを通じてセキュリティ... 続きを読む

脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか：OpenSCAPで脆弱性対策はどう変わる？（4） - ＠IT

2019/01/28 48 users OSSツール脆弱性対策用語脆弱性検査

OpenSCAPで脆弱性対策はどう変わる？（4）：脆弱性検査を行うOSSツール「OpenSCAP」で何が分かるのか本連載では、グローバルスタンダードになっている「SCAP」（セキュリティ設定共通化手順）、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。... 続きを読む

VAddyで複数FQDNをまたぐアプリケーションの脆弱性検査が可能に！ - VAddyブログ - 継続的セキュリティテストへの道 -

2018/07/23 10 users FQDN セキュリティテスト VAddy VAddyブログ

本日、複数のFQDNをまたぐアプリケーションの脆弱性検査機能をリリースいたしました！これまでのVAddyでは検査対象として登録できるのは単一のFQDNで構成されたWebアプリケーションだけでしたが、本日リリースした機能によって複数のFQDNから構成されているWebアプリケーションの脆弱性検査が実現されます。中規模以上... 続きを読む

無料で脆弱性検査！Dockerfileに4行追加で導入できるmicroscannerを試してみた

2018/05/21 161 users Dockerfile テンコ盛り 4行無料情報量

先日レポートした「 Docker漬けの一日を共に〜Docker Meetup Tokyo #23 」は、情報量がてんこ盛りで、学び多くて楽しくてワッセロイだったんですが、その中で、とく(@CS_Toku)さんがLT発表されていた「KubeCon報告とmicroscanner試してみた」のmicroscannerが、面白そうだったので早速触ってみました。 Dockerfileに4行追加するだ... 続きを読む

脆弱性検査で重要なクロールとは何なのか - Qiita

2016/12/21 13 users Qiita クロール

VAddyは、継続的なWeb脆弱性検査が簡単に実現できるSaaSです。 CIと簡単に連携でき、継続的なセキュリティテストが実現できます。 VAddy Adventカレンダーも残り少なくなってきました。昨日はBrewDog六本木に行ってJack Hammer IPAを飲んできました。やはり美味しいですね。チリIPAという種類もあって飲ませてもらったのですが、最初は香りが強くて美味しいと思い... 続きを読む

脆弱性って何？〜見つけにくい脆弱性 - VAddyブログ - 継続的セキュリティテストへの道 -

2016/12/18 13 users VAddy セキュリティテスト西野 Webアプリケーション

VAddy Adventカレンダー 18日目の記事です。 @vaddynet の中の人、西野です。 VAddyは開発者フレンドリーなWebアプリケーション脆弱性検査サービスです。セキュリティの知識がなくても簡単にWebアプリケーションの脆弱性検査ができます。いつもは開発者向けの内容ですが、今日は開発者以外の方向けの記事を投稿しようと思います。まず初めに質問です。皆さんの中で脆弱性... 続きを読む

WordPressのXSS脆弱性をVAddyで検出してみる - Qiita

2016/12/15 13 users Qiita VAddy クロスサイトスクリプティング XSS

VAddyは、継続的なWeb脆弱性検査が簡単に実現できるSaaSです。昨日はVAddyの基本的な使い方を説明しました。 10分でWebアプリの脆弱性検査ができた！VAddyでWordPressをスキャンしてみるたった3ステップで脆弱性診断が手軽にでき、特別な知識が不要だと感じてもらえたら嬉しいです。今日は昨日の記事でスキャンしたWordPressにクロスサイトスクリプティング（XSS）の... 続きを読む

Isomorphic JSで作られたWebサイトの脆弱性検査 | リクルートテクノロジーズ　メンバーズブログ

2016/12/06 61 users リクルートテクノロジーズ redux React 西村脆弱性

サイバーセキュリティエンジニアリング部の西村です。 Recruit Engineers Advent Calendar 2016 の12月6日の記事を担当します。先日、あるWebサイトの脆弱性検査を業務で担当しました。対象のサイトは、Node.js + React + Reduxを用いてIsomorphic JSを実現しており、検査でもこのアーキテクチャに特有の脆弱性が見つかりました。この記事... 続きを読む

ついに！ 10分で脆弱性検査が体験できるVAddy簡易クロール機能をリリース - 継続的WEBセキュリティテスト VAddyブログ

2015/06/18 42 users WEBセキュリティテスト VAddy スキャナーパラメータ

VAddyでは、テスト対象のサーバの登録とクロールデータの生成を行った後に脆弱性検査を開始します。クロールデータとは、スキャン対象のURLやパラメータを記録した物で、これを元にVAddyのスキャナーがサイトの構成を学んで検査を行います。クロールデータの生成方法は、ブラウザのプロキシ設定でIPとポートをVAddyの指定のものに変更して、その後、検査対象のWebサイトをユーザが操作していきます。V... 続きを読む

どのポート番号でもWeb脆弱性診断が可能になりました - 継続的WEBセキュリティテスト VAddyブログ

2015/04/14 27 users WEBセキュリティテスト VAddyブログテストサーバ

VAddyはCIツールと連携し、継続的なセキュリティテストを実現するクラウド型Web脆弱性診断サービスです。 http://vaddy.net/ja/VAddyではHTTP/HTTPSのWebアプリケーションに対して脆弱性検査が可能となっていますが、ポート番号は80番と443番のみとなっていました。 VAddyのスキャンはテストサーバに対して行うため、80番、443番以外を使っているケースがあり、... 続きを読む

キャッシュ制御不備の脆弱性にご用心 | 徳丸浩の日記

2015/03/27 77 users 別冊徳丸浩認証ウェブサイト掲示板

2015年3月27日金曜日キャッシュ制御不備の脆弱性にご用心古い書籍に掲載されたPHP記述の掲示板ソフトを動かしていると、ログアウト処理がうまく動作していないことに気がつきました。チェックの方法ですが、ログアウト処理の脆弱性検査の簡単なものは、「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に記載されています。 (J)認証ログアウト機能はあるか、適切に実装されているかログアウト機... 続きを読む

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法 - Web Application Security Memo

2015/03/20 265 users ウェブアプリケーション Zap エントリ OWASP ZAP

以前、OWASP ZAP に追加された attack mode の概要というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加されるバージョン 2.4 はまだリリースされていないのですが、こちらから ZAP Weekly をダ... 続きを読む

2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - 継続的WEBセキュリティテスト VAddyブログ

2014/12/25 87 users VAddy セキュリティテスト手応え統合市川氏

VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた... 続きを読む

CircleCIを使った継続的Webセキュリティテスト環境の構築 - 継続的WEBセキュリティテスト VAddyブログ

2014/11/26 83 users CircleCI WEBセキュリティテスト staging

VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。 git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。今回は、 git push -> Unit test -> Deploy(Staging) -> VAddy test -> Deploy(P... 続きを読む

JenkinsからWebアプリに脆弱性検査し、結果をHipchatに通知 - 継続的WEBセキュリティテスト VAddyブログ

2014/11/12 33 users Jenkins HipChat WEBセキュリティテスト

継続的セキュリティテストサービスVAddyはJenkinsプラグインを提供しているため、Hipchat Jenkinsプラグインを入れれば、CIの中でWebアプリケーションに対して脆弱性検査を自動実行して、その結果をHipchatに通知できます。 Jenkinsには、ビルド後の処理にEmail通知というものが標準であるため、ビルド結果はメールで受け取りできます。ただし、これはビルド失敗のみメール通... 続きを読む

継続的WEBセキュリティテスト VAddyブログ — Git, BitBucket, Jenkins, VAddy, Seleniumを組み合わせてCIに脆弱性検査(セキュリティテスト)を導入してみました

2014/11/06 48 users セキュリティテスト JUnit Jenkins Git 我々

VAddyとは? VAddyは我々が開発している、「CIに脆弱性検査（セキュリティテスト）を」というコンセプトのサービスです。 Jenkins等のCIサーバを使い、JUnitやPHPUnitなどユニットテストや、Seleniumを使ったブラウザテストを行うというテスト（開発）手法は、一度慣れてしまうと元に戻れない安心感を与えてくれるものです。しかし、テストの中でもまだ広く一般的にはCIに組み込ま... 続きを読む

バッファロー、JUGEM、エイチ・アイ・エス……：「外部サービス」が原因、公式サイトの改ざん被害相次ぐ - ＠IT

2014/06/03 41 users バッファロー JUGEM ダウンロードサーバー改ざん被害

バッファローがログを解析したところ、これらファイルに対し856回のダウンロードがあったことを確認したという。バッファローではこれらのファイルを配布するダウンロードサーバーをCDNetworksに委託していた。CDNetworks内でなぜ改ざんが発生したかの経緯については調査中だ。「自社で運用しているWebサイトについては脆弱性検査などを行っていた」（バッファロー広報）という。 CDNetwork... 続きを読む

脆弱性の見つけ方（初心者向け脆弱性検査入門） - WEB系情報セキュリティ学習メモ

2014/05/26 654 users 脆弱性見つけ方 EC-CUBE 口頭 mixi

ec-cubeで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか？」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得る... 続きを読む

情報処理試験問題に学ぶJavaScriptのXSS対策 | 徳丸浩の日記

2012/04/16 106 users エントリ徳丸浩解答 XSS対策 Webアプリケーション

2012年4月16日月曜日情報処理試験問題に学ぶJavaScriptのXSS対策平成24年度春期の情報処理技術者試験の問題と解答（一部）が公開されていますね。情報セキュリティスペシャリスト試験（SC）の午後Ⅰ（全4問中2問を選択）では、問1と問2がWebアプリケーションに関する問題でした。このエントリでは問1について書きます。問1は、インターネット通販A社のサイトで脆弱性検査を実施したところ... 続きを読む

徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性

2009/08/05 223 users XSS 徳丸浩エントリ SQLインジェクション対策ブラウザ

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログイ... 続きを読む

【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル

2008/07/17 403 users デベロッパテスターハウツーエンタープライズ XSS問題

Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Go... 続きを読む

(1 - 23 / 23件)