YAPC::Hakodate 2024でゲストスピーカーとして登壇しました - アリ

2024/10/07 5 users YAPC スライド ゲストスピーカー アリ 近年

YAPC::Hakodate 2024に参加してきました。近年のYAPCでは参加するだけで登壇していなかったのですが、今回はゲストとして呼んでいただいたので、40分枠で自分の仕事に少し関係ありそうな技術ネタみたいなものを話させてもらいました。 speakerdeck.com スライドを作る上で、めんどうくさいWebセキュリティを久々に読み直... 続きを読む

Webセキュリティのあるきかた

2024/10/05 320 users

2024/10/5 YAPC::Hakodate 2024 続きを読む

SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog

2024/03/28 20 users コマンドインジェクション 本稿 OWASP TOP 文書 横串

こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より... 続きを読む

Webセキュリティ腕試しサイトを無償公開｜MBSD｜三井物産セキュアディレクション株式会社

2023/04/24 122 users MBSD 無償 本社 Webアプリケーション セキュリティ

三井物産セキュアディレクション株式会社（本社：東京都中央区、代表取締役社長：鈴木大山、以下 MBSD） は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティ... 続きを読む

Webセキュリティの2022年の振り返り

2022/12/26 13 users

2022年12月26日　12時00分更新 文●EGセキュアソリューションズ株式会社　取締役CTO 徳丸 浩　編集●MOVIEW 清水 こんにちは。「KUSANAGI」の開発チームで取締役をしている相原です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただく... 続きを読む

相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー　見過ごされてきた“死角”への対策は

2021/10/01 16 users SaaSベンダー 死角 CDN 漏えい事件 中西一博氏

コンテンツデリバリーネットワーク（CDN）サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載：迷惑bot事件簿 狙われたExchange Se... 続きを読む

スマホアプリの“目立たぬ弱点”　分かっていても対策が難しいワケ：「見えないWeb攻撃」──情報漏えい対策の盲点（1/2 ページ） - ITmedia NEWS

2021/05/21 7 users 盲点 中西一博氏 API 弱点 アカマイ・テクノロジーズ

スマホアプリの“目立たぬ弱点”　分かっていても対策が難しいワケ：「見えないWeb攻撃」──情報漏えい対策の盲点（1/2 ページ） スマホアプリなどの隠れた弱点となっているAPIを狙う攻撃の現状と対策上の課題について、アカマイ・テクノロジーズでWebセキュリティを追う中西一博氏が解説する。 Webアプリケーションへの攻... 続きを読む

TwitterでフォローすべきWebセキュリティの専門家リストを日本で選ぶなら?

2021/04/20 17 users Twitter entry https com たくさん

元記事　https://yamdas.hatenablog.com/entry/20210420/top-cybersecurity-experts Webセキュリティに関連して有益なことを日本語でTweetしてる/日本語で返事してくれる人たち。他にもたくさんいると思うけど。 @kazuho @kinugawamasato @kinyuka @flano_yuki @jovi0608 @ockeghem @agektmr @bulkneets @azu_re @lmt_sw... 続きを読む

Beginners CTF 2020で学ぶWebセキュリティ(入門編) - Speaker Deck

2020/10/18 14 users Speaker Deck 入門編

Transcript � � � � � � � � � � 4&$$0/�#FHJOOFST�� 5TVCBTB� !4[�SOZ #FHJOOFST�$5'������ͰֶͿ� 8FCηΩϡϦςΟ ೖ໳ฤ 4&$$0/�#FHJOOFST�-JWF #ctf4b ക಺�ཌྷ� 6NFVDIJ�5TVCBTB � � ��!4[�SOZ� ॴଐ� � 4&$$0/�#FHJOOFST�ӡӦνʔϜ� � ๺཮ઌ୺Պֶٕज़େֶӃେֶ�ઌ୺Պֶٕज़ݚڀՊ� � 'MBUU�4FDVSJUZ�*OD�� ڵຯྖҬ� � ΫϥΠΞϯταΠυͷ8FCηΩϡϦςΟ� � N#BB4� � Ծ૝Խɾίϯςφٕज़� � $... 続きを読む

社内で好評だったSQLインジェクションの資料を公開します – Webセキュリティの小部屋

2020/03/15 552 users SQLインジェクション スライド 割合 脆弱性 好評

先日(2020年2月21日)に、社内のとある会議でSQLインジェクションについてプレゼンしてきたのですが、割合と好評だったようなのでここでも公開してみます。 スライドのタイトルをクリックすると拡大したスライドで見ることができます。 実際には、SQLインジェクションの脆弱性があるとアカウント情報が漏洩して、システム... 続きを読む

企業が持つべきセキュリティ意識とは？EGSS徳丸浩氏、細野英朋氏×クラスメソッドエンジニア座談会 ｜ DevelopersIO

2019/07/22 23 users DevelopersIO クラウドサービス トピック 一方

日本でもクラウドサービスの充実や大規模採用が進み、企業のクラウド環境導⼊は今やスタンダードな選択肢となりました。その一方でセキュリティ上の課題は現在も大きなトピックとして日々話題に上がります。 企業として考えなければならないWebセキュリティとはどういったものでしょう。徳丸浩氏が代表を務めるEGセキュ... 続きを読む

クレジットカード情報を「非保持化」してもなぜ漏れてしまったのか - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2019/03/06 48 users 第一人者 聖教新聞 徳丸浩 徳丸浩氏 伊織

2018年前半に浮き上がった事例で見逃せないのがクレジットカード情報の流出事件だ。聖教新聞、伊織、ウエストという3件の事例がある。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。3回にわけて掲載する。 カード情報非保持だけでは不十分 今回はお題は2つあって、どちらからいきま... 続きを読む

Webアプリケーションで安全なパスワード保存には専用のハッシュ関数を使う時代になった | Webセキュリティの小部屋

2019/02/12 66 users ハッシュ関数 Webアプリケーション ストレッチング 専用

はじめに Web アプリケーションで安全にパスワードを保存するためには、ソルト＋ハッシュ＋ストレッチングという実装方法が2013年頃から啓蒙されてきていましたが、Webセキュリティの大家である徳丸浩さんによると独自実装は既に時代遅れであるようです。 ソルト付きハッシュとストレッチングというのは原理の話で、PBKD... 続きを読む

脆弱性診断を通じて見えてくるWebセキュリティ - Speaker Deck

2018/09/18 38 users Speaker Deck 脆弱性診断

All slide content and descriptions are owned by their creators. 続きを読む

「ウイルス法」のあいまいな適用がセキュリティ意識を萎縮させる - 徳丸浩のWebセキュリティ事件簿：日経 xTECH Active

2018/09/14 16 users 徳丸浩 Coinhive 日経 xTECH Active

2018年前半に浮き上がった事例で見逃せないのが「Coinhive」で逮捕者が出た事件と「Wizard Bible」削除の事件だ。どちらも件もいわゆる「ウイルス法」が関係している。Webセキュリティの第一人者である徳丸浩氏に、これらの事件について語ってもらった。 「不正指令電磁的記録」の乱用ではないのか 前回のおさらいをしま... 続きを読む

徳丸本こと「安全なWebアプリケーションの作り方 第２版」はWeb開発者必読の書として更なる進化をとげていた | Webセキュリティの小部屋

2018/07/16 259 users Webアプリケーション 進化 小部屋 Twitter 作り方

はじめに 2018年6月に、Webアプリケーション開発のセキュリティの必読書である、いわゆる「徳丸本」の第2版が発売になりました。 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 この徳丸本第2版ですが、発売日前にフライングゲットしたという情報が Twitter で流れ、私も本屋... 続きを読む

#3　teratailのQ&Aから学ぶWebセキュリティの現状：エンジニアが今いちばん知りたいことに答えるイベント「MANABIYA -teratail Developer Days-」レポート｜gihyo.jp … 技術評論社

2018/05/10 21 users teratail 徳丸 主題 基調講演 セッション

ITエンジニア特化型Q&Aフォーラム teratail が主催となり， 2018年3月24， 25日の2日間に渡り開催された 「 MANABIYA -teratail Developer Days- 」 ではITエンジニアの問題解決カンファレンスをテーマに 「疑問」 を主題としたセッションが多く実施されました。その中から， 徳丸 浩さんによる基調講演 「teratailのQ&Aから学ぶWebセキュ... 続きを読む

SiteGuard Lite(WAF)がStruts2の脆弱性S2-045,046に迅速に対応していた | Webセキュリティの小部屋

2017/04/03 18 users WAF piyolog SiteGuard Lite 脆弱性

自分のサイトの WAF (Web Application Firewall) を SiteGuard Lite にしていたので、情報を調べていたところ、巷で問題になっている Struts 2 の脆弱性である S2-045、S2-046 に関する情報を見つけました。 piyolog さんの情報によると、S2-045 の情報が公開されたのは2017年3月7日時点とのことです。S2-046の公開は201... 続きを読む

さくらVPSの2Gプランに移行してWordPressがサックサックになった | Webセキュリティの小部屋

2017/02/26 16 users さくらVPS WordPress 小部屋 IOPS 2Gプラン

このサイトは、さくらVPSの1Gプラン（メモリ1GB、HDD）で４年間ほど運用してきましたが、ここ１年くらいは毎日といっていいくらい応答なしになり、サーバーの管理画面で強制再起動をかけていました。 原因はディスクI/Oの多さにあるようで、IOPS 制限でサーバーが落ちてしまうことが頻発していました。しかし、どの程度ディスクI/Oがあると制限がかかるのかさくらインターネットは公開しておらず不満が募っ... 続きを読む

SSLはなぜ会社によって値段が違うの！？今さら聞けないSSLの仕組みと導入のメリット

2016/04/05 192 users SSL 導入 値段 メリット 会社

皆さん、こんにちは。 京都のWebマーケティングチーム「ウェブライダー」の松尾です。 某社からCPIサーバーに乗り換えたことがきっかけで、このコラムを書かせていただく機会を得ました。 CPIの専用サーバーを使い始めて2年目に突入しましたが、とても快適です。 前回、 Webセキュリティに関する記事 を書きました。 その流れで、今回はWebセキュリティを強化するための 「SSL（Secure Sock... 続きを読む

無料SSL証明書の Let’s Encrypt が公開されたので実際に試してみた | Webセキュリティの小部屋

2015/12/04 466 users Let’s Encrypt 無料SSL証明書 小部屋 実際

はじめに 先日の記事でもご紹介しましたが、無料で SSL 証明書を発行してくれる Let’s Encrypt がパブリックベータとなり、誰でも利用することができるようになったので、CentOS 6.7 + Apache で SSL証明書の作成と設定を試してみました。 CentOS 6.7 では、何かとひっかかる部分が多かったので参考になれば幸いです。 Let’s Encrypt の特徴 Let’s... 続きを読む

無料 SSL 証明書の Let’s Encrypt が 2015年12月3日からパブリックベータになり、誰でも利用可能に | Webセキュリティの小部屋

2015/11/30 191 users パブリックベータ Let's Encrypt 理念 SSL

ホーム > ブログ > 無料 SSL 証明書の Let's Encrypt が 2015年12月3日からパブリックベータになり、誰でも利用可能に Public Beta: December 3, 2015 全ての Web サイトを SSL 証明書で暗号化通信するという理念を持って、無料で SSL 証明書を発行してくれる Let’s Encrypt が、 2015年12月3日からパブリックベータに移... 続きを読む

Web アプリケーションのパスワード保存ロジック変更に対応可能な実装方法 | Webセキュリティの小部屋

2015/11/12 22 users アプリケーション web 実装方法 小部屋 ストレッチング

はじめに Web アプリケーションでは、パスワードを、ソルト＋ハッシュ化＋ストレッチングの手法で安全に保存されていると思います。もし、こうしたパスワードの保存方法を行っていない場合は、早急にパスワードの保存方法を改善することをお勧めします。パスワードが漏洩して信用を失ってからでは遅いですからね。 パスワードの安全な保存方法は、以下の記事を参考にしてください。PHP, Java, C#, VB.NE... 続きを読む

『徳丸浩のWebセキュリティ教室』を読んだ感想 | Webセキュリティの小部屋

2015/10/27 32 users 徳丸浩 Webセキュリティ教室 感想 小部屋

はじめに 待望の徳丸先生の新刊が発売になりましたね。 今まで定番だった徳丸本（『体系的に学ぶ 安全なWebアプリケーションの作り方』）にも載ってない内容があり、勉強になります。セキュリティ関連の本は随時アップデートが必要ですね。 本書の構成は、インタビュー、第一章で概要、第二章で攻撃手法、第三章で対策となっています。 インタビュー インタビューはかなり厳しい内容になっています。開発者はもっとセキュ... 続きを読む

徳丸浩の「Webセキュリティの新常識」 - 設計や仕様にも危険が潜む 脆弱性の本質を理解しよう：ITpro

2015/10/26 50 users 出典 ITpro 日経BP社 徳丸浩 サイバー攻撃

出典：徳丸浩のWebセキュリティ教室（日経BP社） （記事は執筆時の情報に基づいており、現在では異なる場合があります） Webサイトの「脆弱性」を狙ったサイバー攻撃が後を絶たない。Webサイトを運営する企業にとって、脆弱性を解消することは、必ず実施すべきセキュリティ対策の一つである。このことは、マネジャー層も当然認識しているだろう。 だが、脆弱性という言葉は、きちんと定義されずに使われることが多い... 続きを読む