タグ OWASP TOP
人気順 5 users 10 users 100 users 500 users 1000 usersサーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
2022/04/18
179 users
ステートレス
JWT
サーバサイド
グロ
徳丸さん
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(... 続きを読む
"JWT=ステートレス"から一歩踏み出すための考え方
2021/09/11
295 users
ステートレス
JWT
実装
個別
脆弱性診断
この話に乗っかっていきます。 3行で ログアウト時にJWTを無効化できない実装は今後脆弱性診断で「OWASP Top 10 2021違反」と指摘されるようになりそう(今も個別にされてるかもしれないけど) JWTは単純なフォーマットなので、ステートレスなセッション管理においてログアウトしたときに文字列自体を無効化できない件は独... 続きを読む
安全なWebアプリケーションの作り方2018
2018/12/15
373 users
Webアプリケーション
デシリアライゼーション
アジェンダ
安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む
安全なWebアプリケーションの作り方2018 - slideshare
2018/12/15
373 users
SlideShare
デシリアライゼーション
アジェンダ
安全なWebアプリケーションの作り方2018 1. 安全なWebアプリケーションの作り方2018 EG セキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近のウェブセキュリティを取り巻く話題 • OWASP Top 10 – 2017を巡る話題 – XXEとSSRF – 安全でないデシリアライゼーション • 割賦販売法改正・施行 • 安全なWebアプリ... 続きを読む
安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記
2018/03/06
742 users
徳丸浩
xxE
デシリアライゼーション
クリックジャッキング
徳丸本こと、「 体系的に学ぶ 安全なWebアプリケーションの作り方 」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む
「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ:特集:セキュリティリポート裏話(8) - @IT
2018/01/16
54 users
改訂
セキュリティリポート裏話
特集
事後対応に重きを置いた「サイバーセキュリティ経営ガイドライン」 経済産業省は2017年11月16日に「サイバーセキュリティ経営ガイドライン」の改訂版を発表した。メッセージは当初から一貫している。サイバーセキュリティを経営課題の1つとしてとらえ、「技術者任せ」「現場任せ」ではなく、経営者が責任を持って取り組んでほしい、というものだ。 ガイドラインではかねて、サイバー攻撃に備えた「防御」だけでなく、攻... 続きを読む
PHPプログラマのためのXXE入門 | 徳丸浩の日記
2017/12/24
78 users
徳丸浩
PHPプログラマ
CSRF
ニューラルネットワーク
この日記は PHP Advent Calendar 2017 の25日目です。前回は@watanabejunyaさんの「 PHPでニューラルネットワークを実装してみる 」でした。 OWASP Top 10 2017 が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XX... 続きを読む
Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls (1/3):CodeZine(コードジン)
2015/12/03
59 users
ガイドライン
CodeZine
脆弱性
前回
影響
前回の記事では、特に深刻な影響のある脆弱性をまとめた「OWASP Top 10」について紹介しました。本記事では、このOWASP Top 10で列挙した10の重大な脆弱性を作りこまないようにする事前の対策についてまとめたガイドライン「OWASP Top 10 Proactive Controls」を紹介します。"Proactive Control"とは"事前の対策"を意味します。このガイドラインに... 続きを読む
Web開発者であれば押さえておきたい10の脆弱性 ~セキュリティ学習の第一歩はここから踏み出そう (1/2):CodeZine(コードジン)
2015/10/29
87 users
CodeZine
ウェブアプリケーション
コードジン
脆弱性
本記事では、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」をご紹介します。OWASP Top 10は3年に1度のペースで改定されてきたドキュメントで、特にウェブアプリケーションにおける重要な脆弱性やその脆弱性を作りこまないようにする方法を示しています。これによりセキュリティ対策の基礎を効率的、効果的に学ぶことができるため、これからセキュリティに関する勉強を始めたい... 続きを読む
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
2012/03/27
117 users
脆弱性対策
入力値
考え方
OWASP
徳丸
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ~入力値の考え方~ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
2012/03/27
119 users
脆弱性対策
入力値
考え方
OWASP
徳丸
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ — Presentation Transcript ここが変だよ、 グローバルスタンダードの脆弱性対策 ~入力値の考え方~ 2012年3月27日 徳丸 浩 OWASP Japan 1st Local ChapterMeeting まことにおめでとうございます 2 OWASPと言えば・・・OWASP TOP 10 3 OWASP T... 続きを読む