タグ「Flatt Security Blog」

タグ Flatt Security Blog

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 18 / 18件)

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

2024/01/31 110 users okazu_dm CSRF HSTS 文脈挙動

こんにちは、 @okazu_dm です。この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上でのSameSite属性の扱いについて触れ... 続きを読む

GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog

2023/07/24 136 users GitLab 脆弱性注意点

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理... 続きを読む

Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog

2023/06/20 116 users 脆弱性 Firebase Sz4rny 本稿筆者

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生... 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users XSS auth セキュリティエンジニアアクセストークン

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Auth0のアクセストークンをLocal Storageに保存するのは安全？メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

2022/08/02 138 users auth セキュリティエンジニアアクセストークン切り口

はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む

Amazon S3の脆弱な利用によるセキュリティリスクと対策 - Flatt Security Blog

2022/07/26 160 users セキュリティリスクセキュリティエンジニア森岡本稿視点

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。 Flatt Security は専門家の視点でセキュリティリスクを調査するセキュリティ診断を提... 続きを読む

仕様起因の脆弱性を防ぐ！開発者向けセキュリティチェックシート(Markdown)を公開しました - Flatt Security Blog

2022/07/04 165 users Markdown 脆弱性

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェッ... 続きを読む

Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog

2022/06/27 295 users セキュリティ観点仕様 WEBサービスマイページ XSS

はじめにこんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性... 続きを読む

Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - Flatt Security Blog

2022/04/19 255 users IDaaS セキュリティエンジニア落とし穴脆弱性本稿

はじめにこんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿... 続きを読む

Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog

2022/04/18 837 users ウェブサイト Web開発者作り方セキュリティエンジニア

画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。本稿では、独立行政法人情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。「安全なウェブサイトの作り方」は、無料で公開されているにも関わ... 続きを読む

サーバーレスのセキュリティリスク - AWS Lambdaにおける脆弱性攻撃と対策 - Flatt Security Blog

2022/03/16 220 users セキュリティリスクサーバーレスセキュリティエンジニア

はじめにこんにちは、株式会社Flatt Security セキュリティエンジニアの森岡(@scgajge12)です。本稿では、AWS Lambda で起こりうる脆弱性攻撃やリスク、セキュリティ対策を解説し、サーバーレスにおけるセキュリティリスクについて紹介します。はじめに AWS Lambda についてサーバーレスにおけるセキュリティリスク ... 続きを読む

セキュリティエンジニアが本気でオススメする開発者向けコンテンツ 20選 - Flatt Security Blog

2022/03/08 672 users セキュリティエンジニア

画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショットはじめにこんにちは。株式会社Flatt Securityの @toyojuni です。突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する「セキュリティ診断」にお... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users XSS クロスサイトスクリプティング本稿攻撃リスク

はじめにこんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

2022/02/16 398 users SQLインジェクション MySQL MySQLパッケージ

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こ... 続きを読む

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog

2022/01/25 626 users セキュリティ観点仕様 WEBサービスログイン機能ＴＯＢ

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。「ログイン機能」はToB、ToC問わず多くのWebアプリケー... 続きを読む

Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました - Flatt Security Blog

2021/10/11 190 users ケンロー KENRO toyojuni 商談トライアル

こんにちは、Flatt Security執行役員の @toyojuni です。弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を無償・期間無制限で一般開放することとしましたので、そのお知らせ... 続きを読む

セキュアにGoを書くための「ガードレール」を置こう - 安全なGoプロダクト開発に向けた持続可能なアプローチ - Flatt Security Blog

2021/02/24 224 users セキュアガードレール持続アプローチ

The Go gopher was designed by Renee French. (http://reneefrench.blogspot.com/) The design is licensed under the Creative Commons 3.0 Attributions license. 種々の linter が様々なプロダクトの品質を高めてきた、というのは疑う余地のない事実です。実装の初歩的な問題をエディタ内や CI/CD パイプライン中で... 続きを読む

AWS 診断を事例としたクラウドセキュリティ。サーバーレス環境の不備や見落としがちな Cognito の穴による危険性 - Flatt Security Blog

2020/11/18 188 users Cognito パプリセキュリティエンジニア AWS 事例

こんにちは。本ブログに初めて記事を書く、株式会社 Flatt Security セキュリティエンジニアの Azara(@a_zara_n)です。普段は Web やプラットフォームの診断やクラウド周りの調査、Twitter ではご飯の画像を流す仕事をしています。よろしくお願いします。クラウドサービスが発展し続ける今日この頃、多くの企業がパブリ... 続きを読む

(1 - 18 / 18件)