コンテナ・セキュリティ入門 脆弱性 - Qiita

2019/10/10 290 users Qiita Kubernetes レジストリ コンテナ 実装

コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性（ぜいじゃくせい）とは 脆弱性とは、プログラムの動作の不備を悪用され... 続きを読む

コンテナセキュリティ関連OSSの紹介〜今すぐ始める無料の脆弱性検査〜 - Speaker Deck

2019/07/17 57 users Speaker Deck 無料

All slide content and descriptions are owned by their creators. 続きを読む

無料で脆弱性検査！Dockerfileに4行追加で導入できるmicroscannerを試してみた

2018/05/21 161 users Dockerfile テンコ盛り 4行 無料 情報量

先日レポートした「 Docker漬けの一日を共に〜Docker Meetup Tokyo #23 」は、情報量がてんこ盛りで、学び多くて楽しくてワッセロイだったんですが、その中で、 とく(@CS_Toku)さん がLT発表されていた 「KubeCon報告とmicroscanner試してみた」 のmicroscannerが、面白そうだったので早速触ってみました。 Dockerfileに4行追加するだ... 続きを読む

Isomorphic JSで作られたWebサイトの脆弱性検査 | リクルートテクノロジーズ　メンバーズブログ

2016/12/06 61 users リクルートテクノロジーズ redux React 西村 脆弱性

サイバーセキュリティエンジニアリング部の西村です。 Recruit Engineers Advent Calendar 2016 の12月6日の記事を担当します。 先日、あるWebサイトの脆弱性検査を業務で担当しました。対象のサイトは、Node.js + React + Reduxを用いてIsomorphic JSを実現しており、検査でもこのアーキテクチャに特有の脆弱性が見つかりました。 この記事... 続きを読む

キャッシュ制御不備の脆弱性にご用心 | 徳丸浩の日記

2015/03/27 77 users 別冊 徳丸浩 認証 ウェブサイト 掲示板

2015年3月27日金曜日 キャッシュ制御不備の脆弱性にご用心 古い書籍に掲載されたPHP記述の掲示板ソフトを動かしていると、ログアウト処理がうまく動作していないことに気がつきました。チェックの方法ですが、ログアウト処理の脆弱性検査の簡単なものは、「安全なウェブサイトの作り方」別冊の「ウェブ健康診断仕様」に記載されています。 (J)認証 ログアウト機能はあるか、適切に実装されているか ログアウト機... 続きを読む

ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法 - Web Application Security Memo

2015/03/20 265 users ウェブアプリケーション Zap エントリ OWASP ZAP

以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加される バージョン 2.4 はまだリリースされていないのですが、こちら から ZAP Weekly をダ... 続きを読む

2015年に「その発想はなかった」から「当たり前」になる、CIでの脆弱性検査(セキュリティテスト) - 継続的WEBセキュリティテスト VAddyブログ

2014/12/25 87 users VAddy セキュリティテスト 手応え 統合 市川氏

VAddyコア部分を開発している金床です。 2014年もそろそろ終わりに近づきました。今年のはじめには1行のコードすらも存在していなかったVAddyですが、春頃から市川氏と私がノリノリになったこともあり、現在は無事にJenkinsプラグインまで完成し、当時イメージしていたCIへの自然な統合が可能な状態となっています。実案件に組み込む例も出てきており、振り返ってみれば2014年は非常に手応えを感じた... 続きを読む

CircleCIを使った継続的Webセキュリティテスト環境の構築 - 継続的WEBセキュリティテスト VAddyブログ

2014/11/26 83 users CircleCI WEBセキュリティテスト staging

VAddyとCircleCIを組み合わせると、簡単に継続的セキュリティテスト環境が実現できます。 git pushするとCircleCIのジョブが起動し、テストサーバにコードをデプロイ、そのテストサーバに向けてVAddyからWebの脆弱性検査を実施します。 今回は、 git push -> Unit test -> Deploy(Staging) -> VAddy test -> Deploy(P... 続きを読む

脆弱性の見つけ方（初心者向け脆弱性検査入門） - WEB系情報セキュリティ学習メモ

2014/05/26 654 users 脆弱性 見つけ方 EC-CUBE 口頭 mixi

ec-cubeで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか？」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得る... 続きを読む

情報処理試験問題に学ぶJavaScriptのXSS対策 | 徳丸浩の日記

2012/04/16 106 users エントリ 徳丸浩 解答 XSS対策 Webアプリケーション

2012年4月16日月曜日 情報処理試験問題に学ぶJavaScriptのXSS対策 平成24年度春期の情報処理技術者試験の問題と解答（一部）が公開されていますね。情報セキュリティスペシャリスト試験（SC）の午後Ⅰ（全4問中2問を選択）では、問1と問2がWebアプリケーションに関する問題でした。このエントリでは問1について書きます。 問1は、インターネット通販A社のサイトで脆弱性検査を実施したところ... 続きを読む

徳丸浩の日記 - i-mode2.0セキュリティの検討 - 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性

2009/08/05 223 users XSS 徳丸浩 エントリ SQLインジェクション対策 ブラウザ

SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、 脆弱性発見後の適切な対策まで ●携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログイ... 続きを読む

【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル

2008/07/17 403 users デベロッパ テスター ハウツー エンタープライズ XSS問題

Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Go... 続きを読む