タグ「脆弱性診断」

タグ脆弱性診断

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 40件)

WEBアプリケーション開発者です。特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ

2024/05/01 169 users ベンダーセキュリテセキュリティセキュリティ知識システム

WEBアプリケーション開発者です。特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む

Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog

2024/04/03 10 users バグバウンティ外注 Webアプリケーション役割内製化

初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。さて、今回はプロダクトセキュリティを生業としている私が... 続きを読む

ウェブサーバーのセキュリティ対策はどうすればいい？　さくらインターネットらが解説　セミナーを実施、最新のセキュリティ動向と脆弱性診断など

2023/12/28 19 users ウェブサーバーセキュリティ動向セミナーセキュリティ対策

Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog

2023/07/07 10 users Flatt Security 方針解説無料

なにをするのかこんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照すること... 続きを読む

MIMEスニッフィングを利用した脆弱性とその対策方法

2022/12/09 10 users Content-Type GMOアドマーケティング脆弱性

この記事は GMOアドマーケティング Advent Calendar 2022 9日目の記事です。こんにちは、GMOアドマーケティングのR.Yです。普段はRuby on RailsによるWebサービスの開発やそれらの脆弱性診断などをやっています。今回はContent-TypeとMIMEスニッフィングを悪用した脆弱性とその対策方法について書いていきたいと思い... 続きを読む

セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog

2022/10/11 12 users ドッグフーディングインターンフィードバックフロー開発

こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。先日のブログでは、Flatt Securityの脆弱性... 続きを読む

デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい！」「待遇はどうなるんだろう？」

2022/09/03 27 users ハッカー待遇 lumin デジタル庁脆弱性

lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2... 続きを読む

メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力２階建

2022/06/30 97 users メタップス知見改ざん市況かぶ全力２階建テクノロジー

もうり@mourinista07お金2.0＝流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び（2022/02/28）ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む

政府情報システムにおける脆弱性診断導入ガイドライン

2022/06/30 213 users 政府情報システム令和セキュリティ脆弱性デジタル庁

政府情報システムにおける脆弱性診断導入ガイドライン 2022（令和 4）年 6 月 30 日デジタル庁〔標準ガイドライン群ＩＤ〕 DS-221 〔キーワード〕セキュリティ、脆弱性、脆弱性診断〔概要〕政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及びガイダンスを提供する。改定履歴改定年月日改... 続きを読む

WebAuthnをエミュレートするWebアプリの開発 - SSTエンジニアブログ

2022/02/18 13 users WebAuthn Zap SSTエンジニアブログ SST 開発

こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。一方で脆弱性診断の観点から見ると、burpやzapなどのスキャ... 続きを読む

Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - SSTエンジニアブログ

2021/12/23 14 users 百田題名 SSTエンジニアブログ実際注意点

はじめにこんにちは。ご無沙汰しております。脆弱性診断員の百田です。今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。注意点として... 続きを読む

動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？ | Flatt Security

2021/11/16 16 users tebiki Flatt Security 実践内製

この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む

クラウドネイティブの時代に、脆弱性診断を開発者向けにリデザインする。Flatt Securityプロフェッショナルサービスの展望 - Flatt Security Blog

2021/10/18 11 users クラウドネイティブ Flatt Security 展望時代

プロフェッショナルサービス事業部の宮下です。Flatt Securityと聞いて脆弱性診断のイメージを持たれる方も多いのではないでしょうか。その脆弱性診断を提供しているのが当事業部です。これまで当事業部の活動を紹介することが少なかったこともあり、まず当事業部とこれまでの活動を紹介し、そして当事業部の新たな取り... 続きを読む

脆弱性診断はするかしないかで悩むものではない　ハードルを下げて「何もやっていない」からの脱却を - ITmedia NEWS

2021/09/27 10 users 脱却ハードル ITmedia News

情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。そんな情シスにとって大きな負担となるのが脆弱（ぜいじゃく）性... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT OWASP TOP 実装個別

この話に乗っかっていきます。 3行でログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

Railsで作った脆弱性をBurp Suiteで診断してみる | GMOアドパートナーズグループ TECH BLOG byGMO

2021/05/28 11 users SQLインジェクション Rails byGMO 複数テスト用

こんにちは、GMOアドマーケティングのR.Yです。今回はBurp Suiteによる脆弱性診断をしていきます。前回OWASP ZAPを使って自動でテスト用のサイトを診断し、複数の脆弱性を確認することができました。そして、今回はそこで検出された「SQLインジェクション」の脆弱性についてBurp Suiteを使って詳しく確認していきます。... 続きを読む

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO

2020/09/10 152 users ログインページ Dock 若槻 Zap OWASP ZAP

こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。なぜDock... 続きを読む

$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む

(1 - 25 / 40件)

次の25件 »