はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 脆弱性診断

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 9 / 9件)
 

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ

2024/05/01 このエントリーをはてなブックマークに追加 169 users Instapaper Pocket Tweet Facebook Share Evernote Clip ベンダー セキュリテ セキュリティ セキュリティ知識 システム

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む

政府情報システムにおける 脆弱性診断導入ガイドライン

2022/06/30 このエントリーをはてなブックマークに追加 213 users Instapaper Pocket Tweet Facebook Share Evernote Clip 政府情報システム 令和 セキュリティ 脆弱性 デジタル庁

政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 このエントリーをはてなブックマークに追加 295 users Instapaper Pocket Tweet Facebook Share Evernote Clip ステートレス JWT OWASP TOP 実装 個別

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO

2020/09/10 このエントリーをはてなブックマークに追加 152 users Instapaper Pocket Tweet Facebook Share Evernote Clip ログインページ Dock 若槻 Zap OWASP ZAP

こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDock... 続きを読む

脆弱性診断につかえるツール集 - Qiita

2019/11/14 このエントリーをはてなブックマークに追加 275 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita ツール集

$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む

Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断 - Qiita

2019/08/26 このエントリーをはてなブックマークに追加 122 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita サル WordPress 脆弱性 思い出

個人的に大嫌いで嫌な思い出もあり、サルでも使える非エンジニア向けツール、Wordpressの脆弱性を診断し、セキュリティ面でどんなことに気をつければいいか考えます。 今回以下のサイトに掲載されているものを用いて、脆弱性診断を実施しました。参考にしてほしいみたいです。 ・サイト制作の参考にしたい!WordPressで... 続きを読む

CSRFトークン インタビューズ - Qiita

2016/12/22 このエントリーをはてなブックマークに追加 303 users Instapaper Pocket Tweet Facebook Share Evernote Clip VAddy インタビューズ フレームワーク CMS パラメータ

VAddyとCSRFトークン VAddy は脆弱性診断を実行する際に、CSRFトークンを最新のものに更新しながら動作します。そのため「どのパラメータがCSRFトークンか?」を判断するロジックが存在しています。最近あるフレームワーク(後述)について「CSRFトークンを正しく認識できない」というバグを修正したのですが、良い機会なのでメジャーなフレームワークやCMSを中心にCSRFトークンの実装をざっと... 続きを読む

LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 - エンジニアHub|若手Webエンジニアのキャリアを考える!

2016/12/08 このエントリーをはてなブックマークに追加 106 users Instapaper Pocket Tweet Facebook Share Evernote Clip メッセージングアプリ カンファレンス エンジニアHub 若手

2016 - 12 - 08 LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。 インタビュー ピックアップ LINE 連載「若手エンジニア、どんな活躍してますか?」 list Tweet 若手エンジニアの... 続きを読む

とある診断員とSQLインジェクション

2014/05/25 このエントリーをはてなブックマークに追加 691 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション セキュリティエンジニア 診断員 本題

とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介  セキュリティエンジニアやってます。  脆弱性診断業務を担当しており、専門はWebセキュリティです。  趣味で脆弱性の検証したり、最近はCTFイベントなどに参加して たりします。 TwitterID: tigerszk 本題に入るその前に 脆弱性診断って? FW Webサー... 続きを読む

 
(1 - 9 / 9件)