Webサービスの認可制御の不備によって起こる仕様の脆弱性と対策 - Flatt Security Blog

2022/04/27 24 users 認可制御 本稿 Flatt Security Blog 村上

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「認可制御」で気をつけなければいけない「仕様の中で起きうる脆弱性」とその対策について解説していきます。 どういったアプリケーションであれ認可制御は何らかの形で行われてい... 続きを読む

Webサービスにおけるファイルアップロード機能の仕様パターンとセキュリティ観点 - Flatt Security Blog

2022/02/17 11 users セキュリティ観点 Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上です。セキュリティ・キャンプ卒業後、新卒入社組としてFlatt Securityでセキュリティエンジニアをしています。 本稿では、Webアプリケーション上で実装される「ファイルアップロード機能」の実装パターンをいくつか示し、「開発者が設計をする... 続きを読む

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog

2022/01/25 626 users セキュリティ観点 Flatt Security Blog

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケー... 続きを読む

3Dアバターモデルを簡単にWebアプリケーション上で扱える 開発者向けライブラリ「pixiv three-vrm」をオープンソース化 ~3Dアバタープラットフォーム「VRoid Hub」で活用された技術を公開~｜ピク

2019/09/12 29 users ピグ VRoid Hub 以下ピクシブ 3Dアバターモデル

3Dアバターモデルを簡単にWebアプリケーション上で扱える 開発者向けライブラリ「pixiv three-vrm」をオープンソース化 ~3Dアバタープラットフォーム「VRoid Hub」で活用された技術を公開~ ピクシブ株式会社（本社：東京都渋谷区、代表取締役：國枝信吾、以下ピクシブ）は、3Dアバターモデルを用いたWebアプリケーション... 続きを読む

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

2015/12/25 503 users XSS Electron 根性 気合い うち

そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。 これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。し... 続きを読む