はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ OWASP TOP

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 16 / 16件)
 

SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog

2024/03/28 このエントリーをはてなブックマークに追加 20 users Instapaper Pocket Tweet Facebook Share Evernote Clip コマンドインジェクション 本稿 文書 発生原理 SQL

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より... 続きを読む

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳

2022/04/18 このエントリーをはてなブックマークに追加 179 users Instapaper Pocket Tweet Facebook Share Evernote Clip ステートレス JWT サーバサイド グロ 徳丸さん

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 このエントリーをはてなブックマークに追加 295 users Instapaper Pocket Tweet Facebook Share Evernote Clip ステートレス JWT 実装 個別 脆弱性診断

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

OWASP Top 10

2021/09/09 このエントリーをはてなブックマークに追加 16 users Instapaper Pocket Tweet Facebook Share Evernote Clip

Introduction to OWASP Top 10 2021 Welcome to the latest installment of the OWASP Top 10! The OWASP Top 10 2021 is all-new, with a new graphic design and an available one-page infographic you can print or obtain from our home page. A huge thank you to everyone that contributed their time and data ... 続きを読む

安全なWebアプリケーションの作り方2018

2018/12/15 このエントリーをはてなブックマークに追加 373 users Instapaper Pocket Tweet Facebook Share Evernote Clip Webアプリケーション デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

安全なWebアプリケーションの作り方2018 - slideshare

2018/12/15 このエントリーをはてなブックマークに追加 373 users Instapaper Pocket Tweet Facebook Share Evernote Clip SlideShare デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

スマホアプリ開発者必読! OWASP Mobile Top 10 2016 の日本語訳を公開 | セキュリティ対策のラック

2018/03/15 このエントリーをはてなブックマークに追加 12 users Instapaper Pocket Tweet Facebook Share Evernote Clip ラック セキュリティ対策 GitHub 日本語訳 公開

ラックの有志6名で OWASP Mobile Top 10 2016 の日本語訳 *1 を作成し、このほどGitHubで公開しました。 GitHub - LAC-Japan/OWASP-Mobile-Top-10-2016: OWASP Mobile Top 10 2016 日本語訳 OWASP Mobile Top 10 は、ざっくり言うと「OWASP Top 10 のモバイルアプリケーション版... 続きを読む

安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記

2018/03/06 このエントリーをはてなブックマークに追加 742 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 xxE デシリアライゼーション クリックジャッキング

徳丸本こと、「 体系的に学ぶ 安全なWebアプリケーションの作り方 」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む

OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ:特集:セキュリティリポート裏話(8) - @IT

2018/01/16 このエントリーをはてなブックマークに追加 54 users Instapaper Pocket Tweet Facebook Share Evernote Clip 改訂 セキュリティリポート裏話 特集

事後対応に重きを置いた「サイバーセキュリティ経営ガイドライン」 経済産業省は2017年11月16日に「サイバーセキュリティ経営ガイドライン」の改訂版を発表した。メッセージは当初から一貫している。サイバーセキュリティを経営課題の1つとしてとらえ、「技術者任せ」「現場任せ」ではなく、経営者が責任を持って取り組んでほしい、というものだ。 ガイドラインではかねて、サイバー攻撃に備えた「防御」だけでなく、攻... 続きを読む

PHPプログラマのためのXXE入門 | 徳丸浩の日記

2017/12/24 このエントリーをはてなブックマークに追加 78 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 PHPプログラマ CSRF ニューラルネットワーク

この日記は PHP Advent Calendar 2017 の25日目です。前回は@watanabejunyaさんの「 PHPでニューラルネットワークを実装してみる 」でした。 OWASP Top 10 2017 が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XX... 続きを読む

WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10 // Speaker Deck

2017/12/13 このエントリーをはてなブックマークに追加 45 users Instapaper Pocket Tweet Facebook Share Evernote Clip Speaker Deck Webアプリ

All slide content and descriptions are owned by their creators. 続きを読む

IoT時代において重要性が増すデバイスのセキュリティ (1/2):CodeZine(コードジン)

2017/11/01 このエントリーをはてなブックマークに追加 28 users Instapaper Pocket Tweet Facebook Share Evernote Clip ウェブサービス 本稿 CodeZine 脆弱性 IoT時代

本稿ではOWASPコミュニティから公開されているOWASP IoT Top 10をご紹介したいと思います。2014年に公開されたものですが、ウェブサービス(OWASP Top 10)やモバイル(OWASP Mobile Top 10)のセキュリティと並び重要なものとして、注意すべき脆弱性がまとまっています。 今後、“モノのインターネット”(Internet of Things/以降IoT)を活用す... 続きを読む

Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls (1/3):CodeZine(コードジン)

2015/12/03 このエントリーをはてなブックマークに追加 59 users Instapaper Pocket Tweet Facebook Share Evernote Clip ガイドライン CodeZine 脆弱性 前回 影響

前回の記事では、特に深刻な影響のある脆弱性をまとめた「OWASP Top 10」について紹介しました。本記事では、このOWASP Top 10で列挙した10の重大な脆弱性を作りこまないようにする事前の対策についてまとめたガイドライン「OWASP Top 10 Proactive Controls」を紹介します。"Proactive Control"とは"事前の対策"を意味します。このガイドラインに... 続きを読む

Web開発者であれば押さえておきたい10の脆弱性 ~セキュリティ学習の第一歩はここから踏み出そう (1/2):CodeZine(コードジン)

2015/10/29 このエントリーをはてなブックマークに追加 87 users Instapaper Pocket Tweet Facebook Share Evernote Clip CodeZine ウェブアプリケーション コードジン 脆弱性

本記事では、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」をご紹介します。OWASP Top 10は3年に1度のペースで改定されてきたドキュメントで、特にウェブアプリケーションにおける重要な脆弱性やその脆弱性を作りこまないようにする方法を示しています。これによりセキュリティ対策の基礎を効率的、効果的に学ぶことができるため、これからセキュリティに関する勉強を始めたい... 続きを読む

ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~

2012/03/27 このエントリーをはてなブックマークに追加 117 users Instapaper Pocket Tweet Facebook Share Evernote Clip 脆弱性対策 入力値 考え方 OWASP 徳丸

ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ~入力値の考え方~ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む

ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~

2012/03/27 このエントリーをはてなブックマークに追加 119 users Instapaper Pocket Tweet Facebook Share Evernote Clip 脆弱性対策 入力値 考え方 OWASP 徳丸

ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ~入力値の考え方~ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む

 
(1 - 16 / 16件)