securityintronational

スポンサーリンク
OWASP Top 10の基本概念と最新動向

【入門編】デシリアライゼーション脆弱性の仕組みと安全なデータ交換 – アプリケーションセキュリティ & 安全な開発防御ガイド

「あなたのプログラムが、知らない誰かに操られる?」デシリアライゼーションの恐怖と防御の基本こんにちは!セキュリティの世界へようこそ。日々、開発の現場でコードを書いていると、「データを保存したり、別のサーバーに送ったり」することは当たり前です...
OWASP Top 10の基本概念と最新動向

【入門編】XML外部エンティティ攻撃(XXE)の防御とパーサー設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは!セキュリティの世界へようこそ。日々、見えない脅威と戦うエンジニアの皆さん、あるいは「セキュリティって何から手をつければいいの?」と悩んでいる新人の皆さん、いつもお疲れ様です。今日は、少し古風だけど、今なお油断大敵な「XXE(XM...
OWASP Top 10の基本概念と最新動向

【入門編】安全なファイルアップロード機能の実装と検証 – アプリケーションセキュリティ & 安全な開発防御ガイド

「ファイルをアップロードしてね!」という入り口が、実は一番の落とし穴?こんにちは。セキュリティの世界で泥臭いインシデント対応を続けていると、つくづく思うことがあります。「最強のセキュリティ対策は、最強のエンジニアが書く完璧なコードよりも、『...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】不適切なアクセス制御(IDOR)の検知と認可ロジックの集中管理 – アプリケーションセキュリティ & 安全な開発防御ガイド

IDORの「本質」:なぜ認可ロジックは分散して死ぬのかIDOR(Insecure Direct Object Reference)を単なる「URLパラメータの書き換え」という初歩的な脆弱性と片付けているようでは、あなたの設計は遠からず侵害さ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】不適切なアクセス制御(IDOR)の検知と認可ロジックの集中管理 – アプリケーションセキュリティ & 安全な開発防御ガイド

IDORはなぜ消えないのか?「権限チェック漏れ」という名の爆弾を解体する現場でコードレビューをしていると、必ずと言っていいほど遭遇するのが「IDOR(Insecure Direct Object Reference:不適切なアクセス制御)」...
OWASP Top 10の基本概念と最新動向

【入門編】不適切なアクセス制御(IDOR)の検知と認可ロジックの集中管理 – アプリケーションセキュリティ & 安全な開発防御ガイド

「自分の鍵で他人の家に入れる?」Webアプリの致命的な盲点、IDORを攻略しようこんにちは。セキュリティの現場で日々、複雑な攻撃と対峙していると、時々「基本中の基本」が一番恐ろしい事態を招いていることに気づかされます。今日お話しするのは、I...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】CSRFトークンの生成と検証におけるアンチパターン – アプリケーションセキュリティ & 安全な開発防御ガイド

CSRFの死と再生:トークン実装における「負の遺産」とアーキテクチャの進化巷に溢れるセキュリティガイドラインは、CSRFを「Cookieベースの認証を悪用した踏み台」と教える。だが、現場で死線を潜り抜けてきた我々からすれば、それはあまりにも...
OWASP Top 10の基本概念と最新動向

【実務・中級編】CSRFトークンの生成と検証におけるアンチパターン – アプリケーションセキュリティ & 安全な開発防御ガイド

CSRFは「死んだ」わけじゃない。なぜ今、トークン実装で致命傷を負うのか「最近はSPA(Single Page Application)だからCSRF対策は不要ですよね?」コードレビューで後輩からそう言われ、私は思わず苦笑いした。確かに、J...
OWASP Top 10の基本概念と最新動向

【入門編】CSRFトークンの生成と検証におけるアンチパターン – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ「あなたの知らない間に」銀行振込が?CSRFという名の「なりすまし」を防ぐ極意こんにちは。現場で泥臭いインシデント対応をしていると、「まさか、そんな単純なことで?」という攻撃にさらされているシステムをたくさん目にします。今日は、Webセ...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】安全なセッション管理:Cookie属性の最適化 – アプリケーションセキュリティ & 安全な開発防御ガイド

セッション管理の死角:Cookie属性の「なんとなく設定」が招く壊滅的インシデントこんにちは。現場で泥をかぶり続けていると、痛感することがある。「脆弱性とは、ソフトウェアのバグではなく、仕様の隙間を縫うエンジニアの油断から生まれる」という事...
スポンサーリンク