securityintronational

スポンサーリンク
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

CSPを「ただの制約」と捉えるな:XSS防御の最前線で求められるアーキテクチャ思考多くの開発者がCSP(Content-Security-Policy)を「ブラウザのセキュリティ設定」という程度の認識で扱っている。だが、現場の最前線に立つ我...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

「CSPは設定しただけで満足?」――XSSを無効化する現場の生存戦略こんにちは。セキュリティチームのチーフです。日々、国内外のインシデント事例を分析していると、「あぁ、またか」とため息が出る瞬間があります。それは、アプリケーション層でXSS...
OWASP Top 10の基本概念と最新動向

【入門編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

あなたのWebサイトが「泥棒の温床」にならないために。CSPでXSS攻撃を封じ込める方法こんにちは!セキュリティの現場で日々、防御の最前線に立っているエンジニアです。皆さんは「XSS(クロスサイトスクリプティング)」という言葉を聞いたことは...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

境界防御の終焉と「IDこそがネットワーク」である現実かつて我々は、境界ファイアウォールという名の「城壁」の中にいれば安泰だという幻想を抱いていた。しかし、クラウドネイティブの時代において、その城壁は塵と化した。Cloud Runという抽象化...
OWASP Top 10の基本概念と最新動向

【実務・中級編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ「Cloud Runのデフォルト設定」が、攻撃者の格好の入り口になるのか?現場でコードをレビューしていると、いまだに「Cloud Runのサービス間通信で、APIキーを環境変数にベタ書きしている」ケースや、「IAMロールを『プロジェクト...
OWASP Top 10の基本概念と最新動向

【入門編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。現場の最前線でセキュリティと格闘しているエンジニアの皆さん、お疲れ様です。今日は、GCP(Google Cloud Platform)の「Cloud Run」を使ったサービス間通信における、ちょっとだけ背筋が凍るような、でも絶対...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

「認証情報のハードコード」という遺物:AzureマネージドIDとKey Vaultによる「ゼロ・クレデンシャル」設計の深淵コードベースをスキャンした際、いまだに`appsettings.json`の片隅や、環境変数のダンプログから漏洩するD...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

「コードに秘密を刻むな」― AzureマネージドIDで実現する、漏洩リスクゼロの認証設計現場でインシデント対応をしていると、決まって遭遇する光景がある。「急いでいたから」「開発環境だし」という甘い言葉と共に、ソースコードの中に鎮座するデータ...
OWASP Top 10の基本概念と最新動向

【入門編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

鍵を「玄関マットの下」に隠すのはもうやめよう:マネージドIDで実現する究極の認証セキュリティこんにちは!セキュリティの世界へようこそ。日々コードを書いていると、「データベースの接続情報」や「APIキー」をどこに書けばいいか、迷うことはありま...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットはなぜ「穴」になるのか?— 誤認を招く権限階層とIAMの境界防衛S3バケットの公開設定による情報漏洩は、もはや古典的な「人為的ミス」として語られることが多い。しかし、現場でインシデント対応に当たっていると、それが単なる「設定忘れ...
スポンサーリンク