タグ「yamory Blog」 - はてブログ

タグ yamory Blog

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 20 / 20件)

yamory を使って脆弱性管理をしてみよう！ -導入編- | yamory Blog

2021/01/27 10 users yamory 脆弱性管理導入編

ソフトウェアを開発されている方は、オープンソース・ソフトウェア（OSS）を利用して開発することが多いと思います。 OSS の導入時には最新のバージョンのものを利用するため脆弱性が含まれていなかったとしても、時間が経つにつれ脆弱性が新たに公開され、セキュリティリスクが高まることがあります。自分たちが使って... 続きを読む

実践！安全ではないデシリアライゼーションの攻撃手法 | yamory Blog

2021/01/15 8 users デシリアライゼーション DOS オブジェクト改ざん直列化

安全でないデシリアライゼーション（Insecure Deserialization）とは、多くのプログミング言語に存在するバイト列等の表現で直列化されたデータを元のオブジェクトに変換する処理で発生する脆弱性です。攻撃者がこの脆弱性を悪用することにより、DoS や状態の改ざん、最悪の場合は任意のコード実行を引き起こす可能性が... 続きを読む

様々なサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング | yamory Blog

2020/12/04 16 users サイバー攻撃 PoC HackerOne http 解釈

CVE-2019-15605 は、Node.js で使われている http-parser、llhttp の Transfer-Encoding の解釈の部分に問題があるために、HTTP リクエストスマグリングを引き起こす可能性があるとされています。こちらの HackerOneのレポートに詳細に解説された PDF と再現させるための PoC コードが用意されています。 PoC コードの... 続きを読む

フィッシングや情報漏洩に繋がる攻撃オープンリダイレクトの概要と対策 | yamory Blog

2020/11/20 9 users フィッシングリダイレクト攻撃ユーザリダイレクト処理

オープンリダイレクト（Open Redirect）攻撃は、リダイレクト処理の実装不備を悪用し、被害者となるユーザを意図しない URL に誘導をする攻撃手法・脆弱性です。意図しないリダイレクトを発生させるだけですと、大きな問題は起こせないと思われるかもしれませんが、正規ドメインから悪性ドメインへ意図しない誘導を行... 続きを読む

脆弱性レジリエンスを高めるための Clean Architecture | yamory Blog

2020/11/13 19 users Clean Architecture

ソフトウェアを開発するときに、気軽に OSS ライブラリを導入していませんか？ OSS ライブラリは大変便利なものですが、ライブラリをプロジェクトに導入することは、そのライブラリが依存する他のライブラリを導入することにも繋がり、脆弱性のリスクを高めることを意味しています。一方で、OSS 利用に伴うリスクを避け... 続きを読む

Web アプリ開発者も他人事じゃないバッファオーバーフロー攻撃の概要と対策 | yamory Blog

2020/10/16 14 users バッファオーバーフロー攻撃他人事 web 概要対策

バッファオーバーフローとは、攻撃者によってメモリ上に確保したバッファを超えて書き込みが行われる問題（脆弱性）であり、この問題を利用した攻撃手法を指します。別名としてバッファオーバーランとも呼ばれます。バッファオーバーフローの脆弱性を軽減するには、攻撃者がどのようにして悪用するのか、またどのよう... 続きを読む

あなたのアカウントは大丈夫？リバースブルートフォース攻撃の概要とWebアプリにおける対策 | yamory Blog

2020/09/17 23 users リバースブルートフォース攻撃ブルートフォース攻撃概要

リバースブルートフォース攻撃（逆総当たり攻撃、リバースブルートフォースアタック）とは、不正ログインを目的とする攻撃手法で、パスワードなどを固定して、ID 部分を変えながら総当たり的にログイン認証を繰り返していく攻撃です。「ブルートフォース攻撃（総当たり攻撃）」という攻撃も存在していますが、リバース... 続きを読む

yamory がサービスリリースから 1 周年を迎えました | yamory Blog

2020/08/27 9 users サービスリリース yamory 皆さまおかげリリース

yamory は、2020 年 8 月 27 日をもちましてリリースから 1 周年を迎えました。ここまでご愛顧いただいているのは、yamory をご利用いただいている企業さま・ユーザーさまをはじめ、yamory に関わってくださっている皆さまのご支援のおかげです。心より感謝申し上げます。 yamory は 2019 年 8 月 27 日に、「すべての... 続きを読む

ログミーTech に DevSecOps 勉強会 #1 の登壇レポートをご掲載いただきました | yamory Blog

2020/08/21 5 users DevSecOps アプリケーションセキュリティ知見

エンジニア向けイベントに特化した書き起こしメディア「ログミーTech」に、yamory 主催 DevSecOps 勉強会 #1 の登壇レポートを掲載いただきました。「DevSecOps勉強会 #1」は、アプリケーションセキュリティに関する知見やノウハウを共有する場として 2020 年 4 月 22 日にオンラインで開催しました。勉強会では、yamo... 続きを読む

2020 年脆弱性管理レポート | yamory Blog

2020/08/14 20 users

2020 年も半ばを過ぎましたがみなさまいかがお過ごしでしょうか。 yamory は 2019 年 8 月 27 日にサービスをリリースし、まもなく 1 年が経とうとしています。この 1 年を振り返ると、Go 言語のサポートやIPA のセキュリティ製品の有効性検証の試行において対象製品に選ばれたり、オートトリアージ機能の特許取得、イ... 続きを読む

改行コードに要注意！ HTTP ヘッダインジェクションの概要と対策 | yamory Blog

2020/07/17 13 users http 要注意改行コードレスポンスヘッダ概要

HTTP ヘッダインジェクション（HTTP Header Injection）は、ユーザーから受け取ったデータを Web アプリケーション側で適切にチェックせずに、HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。改行コードが起因となることから、CRLF インジェクション（CRLF Injection）とも呼ばれていま... 続きを読む

URL の取り扱いには要注意！ SSRF の攻撃と対策 | yamory Blog

2020/07/03 23 users SSRF フォージェリパク要注意サーバー

SSRF （Server Side Request Forgery : サーバーサイド・リクエスト・フォージェリ）は、外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。この一言だけではリスクの大きさや、この問題がなぜ発生するのかが想像しづらいと思います。そこで本記事では... 続きを読む

その正規表現の書き方で大丈夫？ ReDoS 攻撃の怖さと対策方法 | yamory Blog

2020/06/19 9 users ReDoS DOS 略称攻撃正規表現

ReDoS とは、Regular expression Denial of Service の略称で脆弱な正規表現を利用することで起こる DoS のひとつです。正規表現は利用者からの入力値の検証など色々な場面で利用されていますが、正規表現の記述は難しく、誤った記述をしてしまうと ReDoS の影響を受ける恐れがあります。本記事では ReDoS の概要から... 続きを読む

OS コマンドインジェクションその危険性と対策 | yamory Blog

2020/06/05 26 users OS コマンドインジェクション危険性対策ゴマンコマンド

OS コマンドインジェクション（OS Command Injection）は、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。コマンド注入攻撃、コマンドインジェクションとも呼ばれます。 Web アプリケーションのコードに OS コマンドの呼び出し処理があり、ユーザーが入力したデータがコマン... 続きを読む

Java を使った Web アプリにおける脆弱性対策 | yamory Blog

2020/05/22 13 users Java 堅牢ライブラリアプリケーションプラットフォーム

Java は業務システムをはじめ、Web アプリケーション、Android アプリの開発等で世界中で幅広く使われている言語です。プラットフォームに依存しない環境と堅牢さ、ライブラリの多さ、需要の多さから、大規模システム、エンタープライズ向けアプリケーションの開発でも多く採用されています。実際に業務において Java ... 続きを読む

油断できないSQLインジェクション。その種類とWebアプリにおける対策 | yamory Blog

2020/03/06 11 users SQLインジェクション SQLi SQLクエリ略称種類

SQLインジェクション（SQL Injection、略称: SQLi）は、バックエンドにおけるデータベース操作に悪意のあるSQLクエリを注入して、意図していないデータにアクセスできる脆弱性および攻撃手法です。データベースには、企業の機密情報や顧客の個人情報などが保存されているため、攻撃者はこの機密情報を狙って取得を試み... 続きを読む

Go言語のサポートを始めました！ | yamory Blog

2020/03/05 10 users Go言語サポート yamory ミッション経緯

こんにちは、yamoryでプロダクトマネージャーをしている今井こと＠まいまいです。今回は私がプロダクトマネージャーとして、Go言語をサポートするまでの経緯や想いについてお話したいと思います。 yamoryが目指す世界 yamoryは「安心してテクノロジーを活用できる世界を実現する」というミッションを掲げて開発している... 続きを読む

なぜ、オープンソースの脆弱性管理と対策が重要なのか | yamory Blog

2020/02/06 14 users オープンソース脆弱性管理対策

こんにちは、脆弱性自動管理ツール「yamory」の起案からサービス全体のディレクションに携わっている、サイバーセキュリティ事業部プロダクト開発部部長の鈴木康弘（やっぴー）です。前回の記事「yamoryの今までを振り返り、2020年に目指すこと」では、「yamory」の開発背景といったストーリーをお伝えしました。ニュ... 続きを読む

PHPにおける脆弱性との向き合い方とその対策方法 | yamory Blog

2020/01/30 21 users PHP 脆弱性向き合い方 Joomla CMS

PHPはWebサイト、Webアプリケーション、CMS（コンテンツ管理システム）等で、広く使われている言語です。習得コストが比較的低く始めやすいために、実際に業務でもPHPを用いて開発・運用しているプロジェクトも多いのではないでしょうか。またWebアプリケーションのみならず、WordPressやJoomla!といったPHPによるCMS... 続きを読む

yamoryの今までを振り返り、2020年に目指すこと | yamory Blog

2019/12/28 9 users yamory 起案ディレクション鈴木康弘部長

はじめにはじめまして。脆弱性自動管理ツール「yamory」の起案からサービス全体のディレクションに携わっているサイバーセキュリティ事業部プロダクト開発部部長の鈴木康弘（やっぴー）です。 2019年も終わりに差し掛かり、2020年が始まろうとしているので、このタイミングで「yamory」のこれまでを振り返りながら、... 続きを読む

(1 - 20 / 20件)