securityintronational

スポンサーリンク
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワードハッシュの「正解」を求めて:Argon2が制する現代の防御レイヤ多くのエンジニアが「パスワードはハッシュ化しているから大丈夫」と安堵するが、実務の現場でインシデント対応をしていると、その「大丈夫」が実に脆い砂上の楼閣であることを痛...
OWASP Top 10の基本概念と最新動向

【実務・中級編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワード保護の「終わりのない戦い」:Argon2とbcryptで防御の要を固める現場でインシデント対応をしていると、「パスワードはハッシュ化しています」という言葉をよく耳にする。だが、その中身を覗いてみると、いまだにMD5やSHA-1、あ...
OWASP Top 10の基本概念と最新動向

【入門編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワードは「ただの鍵」じゃない。泥棒に合鍵を作らせないための「ハッシュ化」入門こんにちは。セキュリティの世界へようこそ。あなたは、自分の家の鍵を道端に落としてしまったらどうしますか? 鍵を拾った泥棒は、それを複製していつでもあなたの家に忍...
OWASP Top 10の基本概念と最新動向

【入門編】HTTP Strict Transport Security (HSTS) による中間者攻撃の防止 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ、あなたのウェブサイトは「鍵をかけたはず」なのに盗聴されるのか?こんにちは。セキュリティの現場で日々、見えない脅威と戦っているエンジニアです。今日は、Web開発を始めたばかりの皆さんが必ずぶつかる壁であり、かつ「実は一番怖い」と言っても...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

セッション固定攻撃の深淵:ログイン後の「ID再生成」をサボるなセキュリティの現場で長年戦っていると、いまだに「なぜセッションIDを再生成しないのか?」という根本的な設計ミスに遭遇する。これはOWASP Top 10の古典的項目だが、現代の複...
OWASP Top 10の基本概念と最新動向

【実務・中級編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

認証の「通過儀礼」を忘れるな:セッション固定攻撃を根絶するセッション再生成の技術現場でコードレビューをしていると、未だに「認証さえ通ればあとは安全」という甘い認識に足をすくわれるケースをよく目にする。特に、認証の前後でセッションIDを使い回...
OWASP Top 10の基本概念と最新動向

【入門編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵を渡す「ふり」をする泥棒?セッション固定攻撃の正体こんにちは。セキュリティの世界に足を踏み入れた皆さん、ようこそ。今日は、Webアプリ開発の現場で「絶対に忘れてはいけない」基本中の基本、セッション固定攻撃(Session Fixat...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

認可コードの「通り道」を塞げ:OAuth 2.0 リダイレクトURI検証の深淵OAuth 2.0は、現代のID基盤の要石だが、その仕様の柔軟さが裏目に出るケースが後を絶たない。特に、認可コードフローにおけるリダイレクトURIの検証不備は、単...
OWASP Top 10の基本概念と最新動向

【実務・中級編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0の「リダイレクトURI」を甘く見るな――その一行の妥協が、ユーザーを地獄へ引きずり込むエンジニア諸君、今日もセキュアなコードを書いてるか?「OAuth 2.0の実装なんてライブラリを使えば一発だよ」なんて考えているなら、今...
OWASP Top 10の基本概念と最新動向

【入門編】OAuth 2.0におけるリダイレクトURIの厳密な検証とオープンリダイレクト対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵を「だいたい合っていればOK」にしていませんか?OAuthの「リダイレクトURI」で絶対に守るべき鉄則こんにちは。セキュリティの現場で日々、泥臭いインシデントと格闘しているエンジニアです。今日は、OAuth 2.0という「便利な鍵の...
スポンサーリンク