タグ「脆弱性診断」

タグ脆弱性診断

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 51件)

危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

2024/07/08 19 users Rails GMOサイバーセキュリティ山崎キャッシュ最新

高度診断部アプリケーションセキュリティ課の山崎です。弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。本記事では本... 続きを読む

その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味

2024/06/25 19 users ホープバグバウンティバグハンター醍醐味魅力

TOPインタビューその魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味バグハンター森岡優太 GMOサイバーセキュリティ byイエラエ株式会社の2024年新卒セキュリティエンジニア。学生時代から数社で脆弱性診断等の業務を経験し、現在は所属企業でWebペネトレー... 続きを読む

WEBアプリケーション開発者です。特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ

2024/05/01 169 users ベンダーセキュリテセキュリティセキュリティ知識システム

WEBアプリケーション開発者です。特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む

Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog

2024/04/03 10 users バグバウンティ外注 Webアプリケーション役割内製化

初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。さて、今回はプロダクトセキュリティを生業としている私が... 続きを読む

ウェブサーバーのセキュリティ対策はどうすればいい？　さくらインターネットらが解説　セミナーを実施、最新のセキュリティ動向と脆弱性診断など

2023/12/28 19 users ウェブサーバーセキュリティ動向セミナーセキュリティ対策

お知らせ | 失敗しない！脆弱性診断サービスの選び方（前編） | 株式会社シディ（株式会社syddy）

2023/08/04 8 users 年々診断 ECサイト脆弱性診断サービス義務化

今年「経済産業省検討会」で、全てのECサイトで脆弱性診断を義務化することが検討されていると発表され、ますます脆弱性診断の注目度が上がっています。脆弱性診断サービスは年々増加しており、診断の内容や価格は... 続きを読む

Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog

2023/07/07 10 users Flatt Security 方針解説無料

なにをするのかこんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照すること... 続きを読む

MIMEスニッフィングを利用した脆弱性とその対策方法

2022/12/09 10 users Content-Type GMOアドマーケティング脆弱性

この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。こんにちは、GMOアドマーケティングのR.Yです。普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思い... 続きを読む

セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog

2022/10/11 12 users ドッグフーディングインターンフィードバックフロー開発

こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。先日のブログでは、Flatt Securityの脆弱性... 続きを読む

デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい！」「待遇はどうなるんだろう？」

2022/09/03 27 users ハッカー待遇 lumin デジタル庁脆弱性

lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2... 続きを読む

セキュリティキャンプ2022講演資料を公開 | ニュース一覧 | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

2022/09/02 7 users GMOサイバーセキュリティセキュリティキャンプ講演資料

2022年8月8日-12日に開催された「セキュリティ・キャンプ全国大会2022」での講演資料を公開いたしました。講演資料をご希望の方は以下URLよりダウンロードいただけます。「マイクロサービス／分散モノリス的アーキテクチャへの攻撃手法」オフェンシブセキュリティ部アプリケーションセキュリティ課山崎啓太郎オフェ... 続きを読む

メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力２階建

2022/06/30 97 users メタップス知見改ざん市況かぶ全力２階建テクノロジー

もうり@mourinista07お金2.0＝流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び（2022/02/28）ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む

政府情報システムにおける脆弱性診断導入ガイドライン

2022/06/30 213 users 政府情報システム令和セキュリティ脆弱性デジタル庁

政府情報システムにおける脆弱性診断導入ガイドライン 2022（令和 4）年 6 月 30 日デジタル庁〔標準ガイドライン群ＩＤ〕 DS-221 〔キーワード〕セキュリティ、脆弱性、脆弱性診断〔概要〕政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及びガイダンスを提供する。改定履歴改定年月日改... 続きを読む

業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - Flatt Security Blog

2022/03/28 5 users セキュリティベンダーセキュリティエンジニアエンジニア

はじめにこんにちは、株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。突然ですが、読者の皆様はセキュリティ診断(脆弱性診断)を提供するようなセキュリティベンダーがどのような体制で業務を行っているか、すなわち「サービスの裏側」を知る機会はあまりないのではないでしょうか。本稿では、F... 続きを読む

WebAuthnをエミュレートするWebアプリの開発 - SSTエンジニアブログ

2022/02/18 13 users WebAuthn Zap SSTエンジニアブログ SST 開発

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。一方で脆弱性診断の観点から見ると、burpやzapなどのスキャ... 続きを読む

Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ

2021/12/23 14 users 百田題名 SSTエンジニアブログ実際注意点

はじめにこんにちは。ご無沙汰しております。脆弱性診断員の百田です。今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。注意点として... 続きを読む

動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？ | Flatt Security

2021/11/16 16 users tebiki Flatt Security 実践内製

この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む

クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望 - Flatt Security Blog

2021/10/18 11 users クラウドネイティブ Flatt Security 展望時代

プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り... 続きを読む

脆弱性診断はするかしないかで悩むものではない　ハードルを下げて「何もやっていない」からの脱却を - ITmedia NEWS

2021/09/27 10 users 脱却ハードル ITmedia News

情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。そんな情シスにとって大きな負担となるのが脆弱（ぜいじゃく）性... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT OWASP TOP 実装個別

この話に乗っかっていきます。 3行でログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

失敗の中で生まれた、「寄り添う」内製の脆弱性診断 - Visional Engineering Blog

2021/07/27 7 users Visional Engineering Blog 失敗

サービス価値向上に、脆弱性診断を活用できていますか？ Visionalグループでは、事業とセキュリティの真の「共存」を実現するため、全社横断組織としてセキュリティ室があります。セキュリティ室では、様々な事業部を巻き込み、脆弱性診断を通して事業部に寄り添ったリスクコントロールを実践しています。そして、「事業... 続きを読む

Railsで作った脆弱性をBurp Suiteで診断してみる | GMOアドパートナーズグループ TECH BLOG byGMO

2021/05/28 11 users SQLインジェクション Rails byGMO 複数テスト用

こんにちは、GMOアドマーケティングのR.Yです。今回はBurp Suiteによる脆弱性診断をしていきます。前回OWASP ZAPを使って自動でテスト用のサイトを診断し、複数の脆弱性を確認することができました。そして、今回はそこで検出された「SQLインジェクション」の脆弱性についてBurp Suiteを使って詳しく確認していきます。... 続きを読む

【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO

2021/03/27 5 users アプリケーション AWS上想定シナリオ通り以下

想定シナリオ想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して脆弱性診断ツールが導入されました。そして、脆弱性診断で... 続きを読む

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO

2020/09/10 152 users ログインページ Dock 若槻 Zap OWASP ZAP

こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。なぜDock... 続きを読む

Google Play Store Top100のアプリのうち約半数に脆弱性　LINE調べ - iPhone Mania

2020/02/16 5 users セキュリティ脆弱性 line 実施 iPhone Mania

LINEの調査結果によると、Google Play Storeで提供されているTOP100のアプリのうち、約半数に脆弱性があることがわかりました。 TOP100のアプリのうち約半数に脆弱性が見つかる LINEは2019年下半期に同社のセキュリティ・安全性診断ツール「AIR GO」を使い、Google Play Store Top 100のアプリに対して脆弱性診断を実施... 続きを読む

(1 - 25 / 51件)

次の25件 »