サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか？ - くろの雑記帳

2022/04/18 179 users ステートレス JWT サーバサイド グロ 徳丸さん

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか？」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」（... 続きを読む

"JWT=ステートレス"から一歩踏み出すための考え方

2021/09/11 295 users ステートレス JWT 実装 個別 脆弱性診断

この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む

安全なWebアプリケーションの作り方2018

2018/12/15 373 users Webアプリケーション デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

安全なWebアプリケーションの作り方2018 - slideshare

2018/12/15 373 users SlideShare デシリアライゼーション アジェンダ

安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む

安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記

2018/03/06 742 users 徳丸浩 xxE デシリアライゼーション クリックジャッキング

徳丸本こと、「 体系的に学ぶ 安全なWebアプリケーションの作り方 」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む

ここが変だよ、グローバルスタンダードの脆弱性対策～入力値の考え方～

2012/03/27 117 users 脆弱性対策 入力値 考え方 OWASP 徳丸

ここが変だよ、グローバルスタンダードの脆弱性対策～入力値の考え方～ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ～入力値の考え方～ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む

ここが変だよ、グローバルスタンダードの脆弱性対策～入力値の考え方～

2012/03/27 119 users 脆弱性対策 入力値 考え方 OWASP 徳丸

ここが変だよ、グローバルスタンダードの脆弱性対策～入力値の考え方～ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ～入力値の考え方～ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む