とある診断員とSQLインジェクション

2014/05/25 691 users SQLインジェクション セキュリティエンジニア 診断員 本題

とある診断員とSQLインジェクション Presentation Transcript SQLインジェクション 自己紹介  セキュリティエンジニアやってます。  脆弱性診断業務を担当しており、専門はWebセキュリティです。  趣味で脆弱性の検証したり、最近はCTFイベントなどに参加して たりします。 TwitterID: tigerszk 本題に入るその前に 脆弱性診断って？ ＦＷ Webサー... 続きを読む

CSRFトークン インタビューズ - Qiita

2016/12/22 303 users VAddy インタビューズ フレームワーク CMS パラメータ

VAddyとCSRFトークン VAddy は脆弱性診断を実行する際に、CSRFトークンを最新のものに更新しながら動作します。そのため「どのパラメータがCSRFトークンか？」を判断するロジックが存在しています。最近あるフレームワーク（後述）について「CSRFトークンを正しく認識できない」というバグを修正したのですが、良い機会なのでメジャーなフレームワークやCMSを中心にCSRFトークンの実装をざっと... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT OWASP TOP 実装 個別

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

脆弱性診断につかえるツール集 - Qiita

2019/11/14 275 users Qiita ツール集

$ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ----------------------------------------------... 続きを読む

政府情報システムにおける 脆弱性診断導入ガイドライン

2022/06/30 213 users 政府情報システム 令和 セキュリティ 脆弱性 デジタル庁

政府情報システムにおける 脆弱性診断導入ガイドライン 2022（令和 4）年 6 月 30 日 デジタル庁 〔標準ガイドライン群ＩＤ〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改... 続きを読む

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリテ

2024/05/01 169 users ベンダー セキュリテ セキュリティ セキュリティ知識 システム

WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か... 続きを読む

Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | Developers.IO

2020/09/10 152 users ログインページ Dock 若槻 Zap OWASP ZAP

こんにちは、CX事業本部の若槻です。 Webアプリケーション向けのセキュリティ診断ツールの定番として、OWASP ZAPというオープンソースツールがよく使われています。 https://owasp.org/www-project-zap 今回は、Docker版のOWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDock... 続きを読む

Wordpressがいかに脆いツールかKali Linuxを使い説明 - 脆弱性診断 - Qiita

2019/08/26 122 users Qiita サル WordPress 脆弱性 思い出

個人的に大嫌いで嫌な思い出もあり、サルでも使える非エンジニア向けツール、Wordpressの脆弱性を診断し、セキュリティ面でどんなことに気をつければいいか考えます。 今回以下のサイトに掲載されているものを用いて、脆弱性診断を実施しました。参考にしてほしいみたいです。 ・サイト制作の参考にしたい！WordPressで... 続きを読む

LINEの脆弱性診断を新卒エンジニアも担当！──LINEセキュリティ室の熱い「師弟関係」 - エンジニアHub｜若手Webエンジニアのキャリアを考える！

2016/12/08 106 users メッセージングアプリ カンファレンス エンジニアHub 若手

2016 - 12 - 08 LINEの脆弱性診断を新卒エンジニアも担当！──LINEセキュリティ室の熱い「師弟関係」 巨大メッセージングアプリ「LINE」のセキュリティ室にも、新卒エンジニアは配属されます。若手をカンファレンスに送り出すLINEの「師弟関係」に迫りました。 インタビュー ピックアップ LINE 連載「若手エンジニア、どんな活躍してますか？」 list Tweet 若手エンジニアの... 続きを読む

メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力２階建

2022/06/30 97 users メタップス 知見 改ざん 市況かぶ全力２階建 テクノロジー

もうり@mourinista07お金2.0＝流出リスクにさらすこと 2022/02/28 11:53:35 ※メタップス、テクノロジーで世界を解き放つはずがクレカ情報最大46万件を世界に解き放ってしまいお詫び（2022/02/28） ろうちく🔰労畜@rebreb01541メタップスの人、技術的知見でチヤホヤされていた感あったけど、会社がグダグダで、そもそも知... 続きを読む

なぜ自社で脆弱性診断を行うべきなのか

2017/02/06 88 users 自社 Profile Sen UENO 専攻 上野

なぜ自社で脆弱性診断を行うべきなのか 1. なぜ自社で脆弱性診断を 行うべきなのか 株式会社トライコーダ 上野 宣 2017年2月6日 https://tricorder.jp/ (c) 2017 Tricorder Co. Ltd. 1 2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術大学院大学で情報セキュリティを専攻、eコマース開... 続きを読む

脆弱性診断を内製化してみてわかったこと| KDL BLOG

2019/04/15 66 users 内製化 ターゲット 要件定義 既存 セキュア開発

KDLはシステムの要件定義、設計、開発段階から脆弱性を作りこまない「セキュア開発」に取り組んでいます。主に既存のシステムをターゲットとした脆弱性診断やさまざまな対策支援サービスを展開しているKDLが、なぜ「セキュア開発」に取り組むようになったのか？ きっかけとなったのは、納品前の脆弱性診断を開発側で内製... 続きを読む

OWASP ZAPでWebアプリケーション脆弱性診断 | GMOアドパートナーズグループ TECH BLOG byGMO

2018/12/11 61 users GMOアドマーケティング Advent Calendar

このエントリーは、GMOアドマーケティング Advent Calendar 2018の 【12/12】 の記事です。 GMOアドマーケティングとしては初のAdvent Calendar参戦です。 こんにちは。GMOアドマーケティングのN.Sです。 この度Webアプリケーションの脆弱性診断について研修を受けたので、内容について共有します。 OWASP ZAPという自動... 続きを読む

そろそろ脆弱性診断についてひとこと言っておくか | Webセキュリティの小部屋

2015/03/04 51 users ひとこと Webセキュリティ セキュリテ 小部屋 策定

なにやら脆弱性診断が熱いっぽいので、ユーザー企業のセキュリティ担当だった立場から、ぼちぼち述べてみます。 脆弱性診断その前に Web 診断業者に、脆弱性診断を頼む前にユーザー企業で取り組んでおくべきことがあります。 これを抜きにして脆弱性診断を行っても、時間とお金ばかりかかって成果を上げられません。 セキュリティ標準の策定 ユーザー企業でまず行わなければいけないのは、経営層を巻き込んだ「セキュリテ... 続きを読む

News ＆ Trend - 世界初の資格化を目指す、「脆弱性診断士」の取り組みが始まる：ITpro

2015/03/12 47 users ソフトウェア 有志 trend 明文化 ITpro

近年、広く使われているソフトウエアやWebサイトなどに相次いで脆弱性が見つかり、サイバー攻撃に悪用されている。このため、脆弱性の有無を診断して適切に対応できる技術者のニーズは高まる一方だ。 そこで、セキュリティ専門家の有志が、脆弱性診断を実施する技術者を「脆弱性診断士」と名付け、必要なスキルを明文化する取り組みを開始した。将来的には、脆弱性診断士の資格化も目指す。取り組みの第一弾が、2014年12... 続きを読む

脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck

2018/09/18 38 users Speaker Deck Webセキュリティ

All slide content and descriptions are owned by their creators. 続きを読む

診断文字列を打ち込まずにPHPのバージョンを推測する | EGセキュアソリューションズオフィシャルブログ

2017/09/07 38 users Apache 秘伝 PHP 感情 外部

脆弱性診断においてApacheのバージョンを外部から調べる方法を複数の専門家がブログ記事に書いておられます。 Apache HTTP Serverのバージョンを当てる方法 僕が調べたApacheバージョン判定の小ネタ いずれも大変興味深いものですが、ApacheでできるのであればPHPはどうだろうかと気になる方も多いと思います。これは人間の自然な感情だと思うのです。 このあたり、各診断会社の「秘伝... 続きを読む

LLVMを用いたチート対策ツールを作っている話 - Technology of DeNA

2018/12/23 36 users LLVM 泰一 小竹 傍ら チート対策

この記事はDeNA Advent Calendar 2018の24記事目です。 こんにちは、セキュリティ部セキュリティ技術グループ ツール開発チームの小竹 泰一(aka tkmru)です。 脆弱性診断業務の傍ら、ツール開発チームでは、パッチ管理ツールやチート対策、脆弱性診断のためのツール開発を行っています。 この記事では開発中のLLVMを用い... 続きを読む

AWSの侵入テストを同一VPCで完結したい場合の申請方法 - Qiita

2015/07/08 34 users Qiita destination AWS security

AWSで脆弱性診断を行うときには「ちゃんと意図してやってますよ、sourceもdestinationも特定してますよ」ということを申請する必要があります。 http://aws.amazon.com/jp/security/penetration-testing/ 今回同一VPCで完結した侵入テストを行う申請をしましたが、外部からの侵入テストとはすこし違う申請方法が必要でしたのでまとめます。 注意... 続きを読む

デジタル庁の現役ハッカーですが、デジタル庁で一緒に戦ってくれるハッカーを募集しています「これはかっこいい！」「待遇はどうなるんだろう？」

2022/09/03 27 users ハッカー 待遇 lumin デジタル庁 脆弱性

lumin @lumin デジタル庁の現役ハッカーですが。デジタル庁で一緒に戦ってくれるハッカーを募集しています。トップレベルのOSINT技術と脆弱性診断等の環境を整えています。 様々な脆弱性を発見し被害の発生を抑えていますがまだまだです。 腕があって興味ある方はDMください。直接応募は herp.careers/v1/digitalsaiy… 2... 続きを読む

第1回　DevOpsからDevSecOpsへの近道（前編）：コードの安全性・安定性を高める開発サイクル ～テスト管理の効率を上げ，脆弱性診断を自動で行う～｜gihyo.jp … 技術評論社

2019/06/18 25 users DevSecOps 近道 gihyo.jp 開発サイクル 効率

はじめに 連載「業務を改善する情報共有の仕掛け」の第11回と第12回では，Alfrescoによる「業務自動化プラットフォーム」についてお話をしました。Alfresco Content Service Version 6から，Docker，Kubernetesに対応することになり，コンテナ技術を使った自動デプロイは，すでに身近に感じています。 早期リリースが注... 続きを読む

仮想通貨取引所のセキュリティ分析をまとめて実行するスクリプト作った - 野良ジニアのスクラップブック

2018/03/07 21 users 野良ジニア GAS bot スクリプト スクラップブック

2018 - 03 - 07 仮想通貨取引所の脆弱性診断をまとめて実行するスクリプト作った 仮想通貨 技術関連 あとで読む シェアする B! FB Twitter Pocket Feedly こんにちわ、野良エンジニアです。 こちらのツイートを見て、 取引所の 脆弱性 診断を定期実行 する スクリプト (GAS)を作りました。 「仮想通貨交換業者は無職業者 BOT と今すぐ顧問契約を結ぶべきだとい... 続きを読む

この人に聞きたい! 辻伸弘のセキュリティサイドライト (1) 脆弱性診断に必要なモノは"コミュ力"と"倫理観"? | マイナビニュース

2015/09/28 21 users 辻伸弘 倫理観 コミュ力 マイナビニュース

標的型攻撃や内部犯による情報漏えい、漏えいしたアカウント/パスワードによるリスト攻撃など、近年のセキュリティ事情はますます混迷を極めています。 マイナビニュースでは、"セキュリティ三銃士"のソフトバンク・テクノロジーの辻 伸弘氏にコラム「セキュリティのトビラ」を連載しています。ただ、辻氏によるとセキュリティ界隈においては一流の"プロフェッショナル"なセキュリティ人材がまだまだ埋もれているとのこと。... 続きを読む

ウェブサーバーのセキュリティ対策はどうすればいい？　さくらインターネットらが解説　セミナーを実施、最新のセキュリティ動向と脆弱性診断など

2023/12/28 19 users ウェブサーバー セキュリティ動向 セミナー セキュリティ対策

続きを読む

動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？ | Flatt Security

2021/11/16 16 users tebiki Flatt Security 実践 内製

この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業... 続きを読む