タグ 脆弱性診断
人気順 10 users 50 users 100 users 500 users 1000 users知らないと危険!Cookieのセキュリティリスクと対策 / 開発者向けブログ・イベント | GMO Developers
この記事は「GMOインターネットグループ Advent Calendar 2024」19日目の記事です。 こんにちは、GMO NIKKOの横内です。普段はRuby on Railsを使った開発やプロダクトの脆弱性診断などセキュリティ関連の業務をしています。今回はWebブラウザで広く利用されているCookieの脆弱性について書いていきたいと思います。 はじ... 続きを読む
脆弱性診断=アタックサーフェスマネジメント? 新興キーワードを深く学ぼう
2024年11月、日本セキュリティオペレーション事業者協議会(ISOG-J)から、「ASM導入検討を進めるためのガイダンス(基礎編)」が公開されました。多くの企業から注目を集めている「アタックサーフェスマネジメント」を知る上で、最初に目を通すべき資料になり得る、コンパクトにまとまったドキュメントです。 アタック... 続きを読む
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本... 続きを読む
その魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味
TOPインタビューその魅力は「お金」——だけじゃない。バグハンター界のホープが語る、バグバウンティに取り組む理由とその醍醐味 バグハンター 森岡 優太 GMOサイバーセキュリティ byイエラエ株式会社の2024年新卒セキュリティエンジニア。 学生時代から数社で脆弱性診断等の業務を経験し、現在は所属企業でWebペネトレー... 続きを読む
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む
Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog
初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が... 続きを読む
ウェブサーバーのセキュリティ対策はどうすればいい? さくらインターネットらが解説 セミナーを実施、最新のセキュリティ動向と脆弱性診断など
お知らせ | 失敗しない!脆弱性診断サービスの選び方(前編) | 株式会社シディ(株式会社syddy)
今年「経済産業省検討会」で、全てのECサイトで脆弱性診断を義務化することが検討されていると発表され、ますます脆弱性診断の注目度が上がっています。脆弱性診断サービスは年々増加しており、診断の内容や価格は... 続きを読む
Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog
なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照すること... 続きを読む
MIMEスニッフィングを利用した脆弱性とその対策方法
この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。 こんにちは、GMOアドマーケティングのR.Yです。 普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。 今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思い... 続きを読む
セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog
こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性... 続きを読む
デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい!」「待遇はどうなるんだろう?」
lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。 様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。 腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2... 続きを読む
セキュリティキャンプ2022講演資料を公開 | ニュース一覧 | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
2022年8月8日-12日に開催された「セキュリティ・キャンプ全国大会2022」での講演資料を公開いたしました。講演資料をご希望の方は以下URLよりダウンロードいただけます。 「マイクロサービス/分散モノリス的アーキテクチャへの攻撃手法」 オフェンシブセキュリティ部アプリケーションセキュリティ課 山崎 啓太郎 オフェ... 続きを読む
メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建
もうり@mourinista07お金2.0=流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び(2022/02/28) ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む
政府情報システムにおける 脆弱性診断導入ガイドライン
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む
業務効率化・品質向上をエンジニアリングする - Flatt Security のセキュリティ診断プラットフォーム「ORCAs」 - Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 突然ですが、読者の皆様はセキュリティ診断(脆弱性診断)を提供するようなセキュリティベンダーがどのような体制で業務を行っているか、すなわち「サービスの裏側」を知る機会はあまりないのではないでしょうか。 本稿では、F... 続きを読む
WebAuthnをエミュレートするWebアプリの開発 - SSTエンジニアブログ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャ... 続きを読む
Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ
はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として... 続きを読む
動画教育クラウド「tebiki」が実践 脆弱性診断の内製と外部ベンダ利用の両立方法とは? | Flatt Security
この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役/CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社(旧:ピナクルズ株式会社)は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む
クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望 - Flatt Security Blog
プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。 これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り... 続きを読む
脆弱性診断はするかしないかで悩むものではない ハードルを下げて「何もやっていない」からの脱却を - ITmedia NEWS
情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。 そんな情シスにとって大きな負担となるのが脆弱(ぜいじゃく)性... 続きを読む
"JWT=ステートレス"から一歩踏み出すための考え方
この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む
失敗の中で生まれた、「寄り添う」内製の脆弱性診断 - Visional Engineering Blog
サービス価値向上に、脆弱性診断を活用できていますか? Visionalグループでは、事業とセキュリティの真の「共存」を実現するため、全社横断組織としてセキュリティ室があります。セキュリティ室では、様々な事業部を巻き込み、脆弱性診断を通して事業部に寄り添ったリスクコントロールを実践しています。そして、「事業... 続きを読む
Railsで作った脆弱性をBurp Suiteで診断してみる | GMOアドパートナーズグループ TECH BLOG byGMO
こんにちは、GMOアドマーケティングのR.Yです。 今回はBurp Suiteによる脆弱性診断をしていきます。前回OWASP ZAPを使って自動でテスト用のサイトを診断し、複数の脆弱性を確認することができました。そして、今回はそこで検出された「SQLインジェクション」の脆弱性についてBurp Suiteを使って詳しく確認していきます。... 続きを読む
【脆弱性対応】Amazon Linux 2 の EC2インスタンスへ特定パッチを当てる方法を3つ | DevelopersIO
想定シナリオ 想定シナリオは以下の通り(某試験文章風) ----- ある企業がAWS上で Amazon Linux 2 の EC2インスタンスからなるアプリケーションを稼働させています。 新しい社内クラウドセキュリティポリシーに準拠するために、すべてのEC2インスタンスに対して 脆弱性診断ツールが導入されました。 そして、脆弱性診断で... 続きを読む