securityintronational

スポンサーリンク
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットはなぜ「穴」になるのか?— 誤認を招く権限階層とIAMの境界防衛S3バケットの公開設定による情報漏洩は、もはや古典的な「人為的ミス」として語られることが多い。しかし、現場でインシデント対応に当たっていると、それが単なる「設定忘れ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットは「鍵をかける」だけでは足りない――エンジニアが陥る「公開設定」の罠と防衛術やあ。現場の最前線でコードを書き、夜中にアラートに飛び起きる諸君、お疲れ様。AWS S3のセキュリティ事故が後を絶たない。ニュースで「またか」と思うよう...
OWASP Top 10の基本概念と最新動向

【入門編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットは「玄関の鍵」と同じ!設定ミスで家の中をさらさないための防犯術こんにちは!セキュリティの世界へようこそ。今日は、AWSを触り始めたばかりの方が一度は必ず通る関門、「S3バケットの公開設定」についてお話しします。「S3バケットを公...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

Django ORMの「神話」と、生のSQLが暴く脆弱性の深淵多くのエンジニアが「Djangoを使っているからSQLインジェクションは大丈夫」と安易に信じ込んでいる。これは半分は正しく、半分は危険な誤解だ。確かに、DjangoのORM(Ob...
OWASP Top 10の基本概念と最新動向

【実務・中級編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

Django ORMの「魔法」を過信するな:SQLインジェクションの深淵と正しい武装術現場でコードレビューをしていると、「Djangoを使っているからSQLインジェクションなんて関係ないよね?」という、冷や汗が出るようなセリフを耳にすること...
OWASP Top 10の基本概念と最新動向

【入門編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

「Djangoなら絶対安全」という思い込みが危ない!ORMとSQLインジェクションの真実こんにちは。現場で泥臭いインシデント対応をしていると、「フレームワークを使っているからセキュリティ対策は万全だよね?」という声をよく耳にします。確かにD...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Express.jsにおけるhelmet.jsを用いたHTTPレスポンスヘッダーの堅牢化 – アプリケーションセキュリティ & 安全な開発防御ガイド

Helmet.jsの「お守り」化を防ぐ:HTTPヘッダーの深層とアーキテクチャの生存戦略多くの開発者が`helmet.js`を`app.use(helmet())`の一行で済ませ、それを「セキュリティ対策完了」のスタンプとして扱っている。だ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Express.jsにおけるhelmet.jsを用いたHTTPレスポンスヘッダーの堅牢化 – アプリケーションセキュリティ & 安全な開発防御ガイド

「設定したつもり」が一番危ない:Helmet.jsで防ぐWebアプリの“玄関先”の死角現場でインシデント対応をしていると、決まって「なぜこんな初歩的な攻撃を通したんだ」と悔やむケースに出くわす。その多くは、SQLインジェクションや高度なゼロ...
OWASP Top 10の基本概念と最新動向

【入門編】Express.jsにおけるhelmet.jsを用いたHTTPレスポンスヘッダーの堅牢化 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵をかけずに家を出ますか?Express.jsを守る「helmet.js」の魔法こんにちは!セキュリティの世界へようこそ。あなたがもし、自宅の玄関に鍵をかけず、さらに「私はここに住んでいます。貴重品はここです」と書いた看板を掲げて外出...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Spring SecurityにおけるCSRFトークン生成と検証の自動化実装 – アプリケーションセキュリティ & 安全な開発防御ガイド

CSRFは「死んだ」のか?:Spring Securityの自動保護が隠蔽する境界線多くのエンジニアが「Spring Securityを入れておけばCSRF対策は万全だ」と安直に考えている。しかし、現場でインシデントレスポンスを担当している...
スポンサーリンク