タグ 脆弱性診断
人気順 5 users 10 users 100 users 500 users 1000 usersWEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む
メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建
もうり@mourinista07お金2.0=流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び(2022/02/28) ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む
政府情報システムにおける 脆弱性診断導入ガイドライン
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む
"JWT=ステートレス"から一歩踏み出すための考え方
この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む
Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO
こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDock... 続きを読む
脆弱性診断につかえるツール集 - Qiita
$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む
Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断 - Qiita
個人的に大嫌いで嫌な思い出もあり、サルでも使える非エンジニア向けツール、Wordpressの脆弱性を診断し、セキュリティ面でどんなことに気をつければいいか考えます。 今回以下のサイトに掲載されているものを用いて、脆弱性診断を実施しました。参考にしてほしいみたいです。 ・サイト制作の参考にしたい!WordPressで... 続きを読む
脆弱性診断を内製化してみてわかったこと| KDL BLOG
KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか? きっかけとなったのは、納品前の脆弱性診断を開発側で内製... 続きを読む
OWASP ZAPでWebアプリケーション脆弱性診断 | GMOアドパートナーズグループ TECH BLOG byGMO
このエントリーは、GMOアドマーケティング Advent Calendar 2018の 【12/12】 の記事です。 GMOアドマーケティングとしては初のAdvent Calendar参戦です。 こんにちは。GMOアドマーケティングのN.Sです。 この度Webアプリケーションの脆弱性診断について研修を受けたので、内容について共有します。 OWASP ZAPという自動... 続きを読む
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか 1. なぜ自社で脆弱性診断を 行うべきなのか 株式会社トライコーダ 上野 宣 2017年2月6日 https://tricorder.jp/ (c) 2017 Tricorder Co. Ltd. 1 2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開... 続きを読む
CSRFトークン インタビューズ - Qiita
VAddyとCSRFトークン VAddy は脆弱性診断を実行する際に、CSRFトークンを最新のものに更新しながら動作します。そのため「どのパラメータがCSRFトークンか?」を判断するロジックが存在しています。最近あるフレームワーク(後述)について「CSRFトークンを正しく認識できない」というバグを修正したのですが、良い機会なのでメジャーなフレームワークやCMSを中心にCSRFトークンの実装をざっと... 続きを読む
LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 - エンジニアHub|若手Webエンジニアのキャリアを考える!
2016 - 12 - 08 LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。 インタビュー ピックアップ LINE 連載「若手エンジニア、どんな活躍してますか?」 list Tweet 若手エンジニアの... 続きを読む
そろそろ脆弱性診断についてひとこと言っておくか | Webセキュリティの小部屋
なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「セキュリテ... 続きを読む
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介 セキュリティエンジニアやってます。 脆弱性診断業務を担当しており、専門はWebセキュリティです。 趣味で脆弱性の検証したり、最近はCTFイベントなどに参加して たりします。 TwitterID: tigerszk 本題に入るその前に 脆弱性診断って? FW Webサー... 続きを読む