はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 脆弱性診断

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 14 / 14件)
 

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ

2024/05/01 このエントリーをはてなブックマークに追加 169 users Instapaper Pocket Tweet Facebook Share Evernote Clip ベンダー セキュリテ セキュリティ セキュリティ知識 システム

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む

メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力2階建

2022/06/30 このエントリーをはてなブックマークに追加 97 users Instapaper Pocket Tweet Facebook Share Evernote Clip メタップス 知見 改ざん 市況かぶ全力2階建 テクノロジー

もうり@mourinista07お金2.0=流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び(2022/02/28) ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む

政府情報システムにおける 脆弱性診断導入ガイドライン

2022/06/30 このエントリーをはてなブックマークに追加 213 users Instapaper Pocket Tweet Facebook Share Evernote Clip 政府情報システム 令和 セキュリティ 脆弱性 デジタル庁

政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 このエントリーをはてなブックマークに追加 295 users Instapaper Pocket Tweet Facebook Share Evernote Clip ステートレス JWT OWASP TOP 実装 個別

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO

2020/09/10 このエントリーをはてなブックマークに追加 152 users Instapaper Pocket Tweet Facebook Share Evernote Clip ログインページ Dock 若槻 Zap OWASP ZAP

こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDock... 続きを読む

脆弱性診断につかえるツール集 - Qiita

2019/11/14 このエントリーをはてなブックマークに追加 275 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita ツール集

$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む

Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断 - Qiita

2019/08/26 このエントリーをはてなブックマークに追加 122 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita サル WordPress 脆弱性 思い出

個人的に大嫌いで嫌な思い出もあり、サルでも使える非エンジニア向けツール、Wordpressの脆弱性を診断し、セキュリティ面でどんなことに気をつければいいか考えます。 今回以下のサイトに掲載されているものを用いて、脆弱性診断を実施しました。参考にしてほしいみたいです。 ・サイト制作の参考にしたい!WordPressで... 続きを読む

脆弱性診断を内製化してみてわかったこと| KDL BLOG

2019/04/15 このエントリーをはてなブックマークに追加 66 users Instapaper Pocket Tweet Facebook Share Evernote Clip 内製化 ターゲット 要件定義 既存 セキュア開発

KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか? きっかけとなったのは、納品前の脆弱性診断を開発側で内製... 続きを読む

OWASP ZAPでWebアプリケーション脆弱性診断 | GMOアドパートナーズグループ TECH BLOG byGMO

2018/12/11 このエントリーをはてなブックマークに追加 61 users Instapaper Pocket Tweet Facebook Share Evernote Clip GMOアドマーケティング Advent Calendar

このエントリーは、GMOアドマーケティング Advent Calendar 2018の 【12/12】 の記事です。 GMOアドマーケティングとしては初のAdvent Calendar参戦です。 こんにちは。GMOアドマーケティングのN.Sです。 この度Webアプリケーションの脆弱性診断について研修を受けたので、内容について共有します。 OWASP ZAPという自動... 続きを読む

なぜ自社で脆弱性診断を行うべきなのか

2017/02/06 このエントリーをはてなブックマークに追加 88 users Instapaper Pocket Tweet Facebook Share Evernote Clip 自社 Profile Sen UENO 専攻 上野

なぜ自社で脆弱性診断を行うべきなのか 1. なぜ自社で脆弱性診断を 行うべきなのか 株式会社トライコーダ 上野 宣 2017年2月6日 https://tricorder.jp/ (c) 2017 Tricorder Co. Ltd. 1 2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開... 続きを読む

CSRFトークン インタビューズ - Qiita

2016/12/22 このエントリーをはてなブックマークに追加 303 users Instapaper Pocket Tweet Facebook Share Evernote Clip VAddy インタビューズ フレームワーク CMS パラメータ

VAddyとCSRFトークン VAddy は脆弱性診断を実行する際に、CSRFトークンを最新のものに更新しながら動作します。そのため「どのパラメータがCSRFトークンか?」を判断するロジックが存在しています。最近あるフレームワーク(後述)について「CSRFトークンを正しく認識できない」というバグを修正したのですが、良い機会なのでメジャーなフレームワークやCMSを中心にCSRFトークンの実装をざっと... 続きを読む

LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 - エンジニアHub|若手Webエンジニアのキャリアを考える!

2016/12/08 このエントリーをはてなブックマークに追加 106 users Instapaper Pocket Tweet Facebook Share Evernote Clip メッセージングアプリ カンファレンス エンジニアHub 若手

2016 - 12 - 08 LINEの脆弱性診断を新卒エンジニアも担当!──LINEセキュリティ室の熱い「師弟関係」 巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。 インタビュー ピックアップ LINE 連載「若手エンジニア、どんな活躍してますか?」 list Tweet 若手エンジニアの... 続きを読む

そろそろ脆弱性診断についてひとこと言っておくか | Webセキュリティの小部屋

2015/03/04 このエントリーをはてなブックマークに追加 51 users Instapaper Pocket Tweet Facebook Share Evernote Clip ひとこと Webセキュリティ セキュリテ 小部屋 策定

なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「セキュリテ... 続きを読む

とある診断員とSQLインジェクション

2014/05/25 このエントリーをはてなブックマークに追加 691 users Instapaper Pocket Tweet Facebook Share Evernote Clip SQLインジェクション セキュリティエンジニア 診断員 本題

とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介  セキュリティエンジニアやってます。  脆弱性診断業務を担当しており、専門はWebセキュリティです。  趣味で脆弱性の検証したり、最近はCTFイベントなどに参加して たりします。 TwitterID: tigerszk 本題に入るその前に 脆弱性診断って? FW Webサー... 続きを読む

 
(1 - 14 / 14件)