タグ 脆弱性診断
人気順 5 users 50 users 100 users 500 users 1000 usersWEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む
Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog
初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が... 続きを読む
ウェブサーバーのセキュリティ対策はどうすればいい? さくらインターネットらが解説 セミナーを実施、最新のセキュリティ動向と脆弱性診断など
Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog
なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照すること... 続きを読む
MIMEスニッフィングを利用した脆弱性とその対策方法
この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。 こんにちは、GMOアドマーケティングのR.Yです。 普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。 今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思い... 続きを読む
セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog
こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性... 続きを読む
デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい!」「待遇はどうなるんだろう?」
lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。 様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。 腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2... 続きを読む
メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建
もうり@mourinista07お金2.0=流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び(2022/02/28) ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む
政府情報システムにおける 脆弱性診断導入ガイドライン
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む
WebAuthnをエミュレートするWebアプリの開発 - SSTエンジニアブログ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャ... 続きを読む
Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ
はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として... 続きを読む
動画教育クラウド「tebiki」が実践 脆弱性診断の内製と外部ベンダ利用の両立方法とは? | Flatt Security
この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役/CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社(旧:ピナクルズ株式会社)は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む
クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望 - Flatt Security Blog
プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。 これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り... 続きを読む
脆弱性診断はするかしないかで悩むものではない ハードルを下げて「何もやっていない」からの脱却を - ITmedia NEWS
情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。 そんな情シスにとって大きな負担となるのが脆弱(ぜいじゃく)性... 続きを読む
"JWT=ステートレス"から一歩踏み出すための考え方
この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む
Railsで作った脆弱性をBurp Suiteで診断してみる | GMOアドパートナーズグループ TECH BLOG byGMO
こんにちは、GMOアドマーケティングのR.Yです。 今回はBurp Suiteによる脆弱性診断をしていきます。前回OWASP ZAPを使って自動でテスト用のサイトを診断し、複数の脆弱性を確認することができました。そして、今回はそこで検出された「SQLインジェクション」の脆弱性についてBurp Suiteを使って詳しく確認していきます。... 続きを読む
Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO
こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDock... 続きを読む
脆弱性診断につかえるツール集 - Qiita
$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む
Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断 - Qiita
個人的に大嫌いで嫌な思い出もあり、サルでも使える非エンジニア向けツール、Wordpressの脆弱性を診断し、セキュリティ面でどんなことに気をつければいいか考えます。 今回以下のサイトに掲載されているものを用いて、脆弱性診断を実施しました。参考にしてほしいみたいです。 ・サイト制作の参考にしたい!WordPressで... 続きを読む
ajitofm 47: セキュリティと利便性、脆弱性診断
徳丸さん、co3kさん、makogaさんと7pay、セキュリティと利便性、セッション長、脆弱性診断などについて話しました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[リフロー版] 脆弱性が生まれる原理と対策の実践 | 徳丸 浩 | プログラミング | Kindleストア | Amazon 7payの「二段階認証導入」は正解か? ... 続きを読む
第1回 DevOpsからDevSecOpsへの近道(前編):コードの安全性・安定性を高める開発サイクル ~テスト管理の効率を上げ,脆弱性診断を自動で行う~|gihyo.jp … 技術評論社
はじめに 連載「業務を改善する情報共有の仕掛け」の第11回と第12回では,Alfrescoによる「業務自動化プラットフォーム」についてお話をしました。Alfresco Content Service Version 6から,Docker,Kubernetesに対応することになり,コンテナ技術を使った自動デプロイは,すでに身近に感じています。 早期リリースが注... 続きを読む
脆弱性診断を内製化してみてわかったこと| KDL BLOG
KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか? きっかけとなったのは、納品前の脆弱性診断を開発側で内製... 続きを読む
第13回 脆弱性診断とペネトレーションテストの違い | ITコラム | おすすめコラム | ITシステムの設計・構築・運用・保守【NECフィールディング】
2019年3月15日 常識を疑え!ハッカー視点のセキュリティ 筆者)株式会社トライコーダ 上野宣 第13回 脆弱性診断とペネトレーションテストの違い本連載でもたびたび登場する「ペネトレーションテスト」ですが、セキュリティのテストである「脆弱性診断」とは何が違うのでしょうか。 両者はどちらもセキュリティのテスト... 続きを読む
LLVMを用いたチート対策ツールを作っている話 - Technology of DeNA
この記事はDeNA Advent Calendar 2018の24記事目です。 こんにちは、セキュリティ部セキュリティ技術グループ ツール開発チームの小竹 泰一(aka tkmru)です。 脆弱性診断業務の傍ら、ツール開発チームでは、パッチ管理ツールやチート対策、脆弱性診断のためのツール開発を行っています。 この記事では開発中のLLVMを用い... 続きを読む
OWASP ZAPでWebアプリケーション脆弱性診断 | GMOアドパートナーズグループ TECH BLOG byGMO
このエントリーは、GMOアドマーケティング Advent Calendar 2018の 【12/12】 の記事です。 GMOアドマーケティングとしては初のAdvent Calendar参戦です。 こんにちは。GMOアドマーケティングのN.Sです。 この度Webアプリケーションの脆弱性診断について研修を受けたので、内容について共有します。 OWASP ZAPという自動... 続きを読む