securityintronational

スポンサーリンク
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

不安全なデシリアライズ:バイトストリームに潜む「実行可能な毒」の解剖学アプリケーションセキュリティの深淵を覗くとき、私たちはしばしば「信頼境界」の脆さに直面する。OWASP Top 10の常連でありながら、いまだに多くのエンタープライズシス...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ「デシリアライズ」はエンジニアを破滅させるのか? ― 現場で語られない真実やあ。今日も本番環境のログと睨めっこしているか? アプリケーションセキュリティの現場で、最も「静かに、だが確実に」システムを終わらせる脆弱性、それが不安全なデシリ...
OWASP Top 10の基本概念と最新動向

【入門編】Deserialization脆弱性(不安全なデシリアライズ)の仕組みと防御策 – アプリケーションセキュリティ & 安全な開発防御ガイド

悪魔の招待状を見抜く:不安全なデシリアライズという「見えない侵入」の正体こんにちは!現場で泥臭いインシデント対応を続けていると、たまに「なぜそんなところから?」と首を傾げたくなるような攻撃に出くわします。その代表格が、今回お話しする「不安全...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

SSRFの深淵:なぜ「バリデーション」は常に裏切られるのかSSRF(Server-Side Request Forgery)は、単なる「URLのバリデーション漏れ」ではない。それは、アプリケーションのサーバーを、攻撃者が遠隔操作するための「...
OWASP Top 10の基本概念と最新動向

【実務・中級編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

SSRFの恐怖:なぜ「URLのバリデーション」だけでは不十分なのか現場でインシデント対応をしていると、開発者が「URLを正規表現でチェックしているから大丈夫」と胸を張る場面によく遭遇する。だが、残念ながらその認識こそが、攻撃者の格好の餌食に...
OWASP Top 10の基本概念と最新動向

【入門編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。セキュリティの最前線で、日々「見えない泥棒」とチェスをしている者です。今日は、最近のアプリケーション開発で「一番やってはいけないミス」の一つ、SSRF(サーバーサイドリクエストフォージェリ)についてお話しします。難しそうな名前で...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「none」アルゴリズムという悪夢:検証ロジックを「性善説」で書くエンジニアへ認証プロトコル、特にJWT(JSON Web Token)を実装する際、多くのエンジニアが陥る「盲点」がある。それは、トークンの署名を検証するライブラリの...
OWASP Top 10の基本概念と最新動向

【実務・中級編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「none」脆弱性:なぜその実装は、玄関の鍵を自分で開けているのか現場でコードレビューをしていると、今でもたまに遭遇するんだ。「JWTの検証ライブラリを使っているから大丈夫だ」という慢心。だが、そのライブラリが「どのアルゴリズムを信...
OWASP Top 10の基本概念と最新動向

【入門編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

「鍵が開いているのに気づかない?」JWTのアルゴリズム「none」脆弱性から身を守る方法こんにちは!セキュリティの世界へようこそ。日々、脆弱性診断やインシデント対応の現場に立っていると、「なぜこんな単純なミスが?」と思うような穴が、意外と大...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

CSPを「ただの制約」と捉えるな:XSS防御の最前線で求められるアーキテクチャ思考多くの開発者がCSP(Content-Security-Policy)を「ブラウザのセキュリティ設定」という程度の認識で扱っている。だが、現場の最前線に立つ我...
スポンサーリンク