スポンサーリンク
OWASP Top 10の基本概念と最新動向

【入門編】ログ出力における個人情報(PII)のマスキングと機密情報の除外 – アプリケーションセキュリティ & 安全な開発防御ガイド

ログは「家ののぞき穴」?あなたの家の鍵が丸見えになっていませんか?こんにちは。セキュリティの世界で長く戦っていると、「完璧なシステムなんて存在しない」という現実に突き当たります。でも、だからといって無防備でいいわけじゃありませんよね。今日は...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】APIレート制限(Rate Limiting)の実装によるブルートフォース攻撃対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

APIレート制限の「形骸化」を突破する—Redis層での防御と、その裏側に潜むアーキテクチャの陥穽「レート制限を入れました。RedisでIPごとに回数制限しています」コードレビューでこの言葉を耳にするたび、私は苦笑いを禁じ得ない。それは盾を...
OWASP Top 10の基本概念と最新動向

【実務・中級編】APIレート制限(Rate Limiting)の実装によるブルートフォース攻撃対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

APIレート制限を「おまじない」で終わらせるな:ブルートフォースを無力化する実戦的アーキテクチャ現場でインシデント対応をしていると、よく耳にするセリフがある。「レート制限は実装済みです。WAFで弾いていますから」。残念だが、それは半分正解で...
OWASP Top 10の基本概念と最新動向

【入門編】APIレート制限(Rate Limiting)の実装によるブルートフォース攻撃対策 – アプリケーションセキュリティ & 安全な開発防御ガイド

玄関の鍵を1秒に100回ガチャガチャされたら?APIレート制限で守る「システムの治安」こんにちは。セキュリティの現場で日々、防御の最前線に立っている者です。今日は、開発者なら必ず一度は耳にする「レート制限(Rate Limiting)」につ...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワードハッシュの「正解」を求めて:Argon2が制する現代の防御レイヤ多くのエンジニアが「パスワードはハッシュ化しているから大丈夫」と安堵するが、実務の現場でインシデント対応をしていると、その「大丈夫」が実に脆い砂上の楼閣であることを痛...
OWASP Top 10の基本概念と最新動向

【実務・中級編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワード保護の「終わりのない戦い」:Argon2とbcryptで防御の要を固める現場でインシデント対応をしていると、「パスワードはハッシュ化しています」という言葉をよく耳にする。だが、その中身を覗いてみると、いまだにMD5やSHA-1、あ...
OWASP Top 10の基本概念と最新動向

【入門編】パスワードハッシュ化における適切なソルトとストレッチング(Argon2/bcrypt) – アプリケーションセキュリティ & 安全な開発防御ガイド

パスワードは「ただの鍵」じゃない。泥棒に合鍵を作らせないための「ハッシュ化」入門こんにちは。セキュリティの世界へようこそ。あなたは、自分の家の鍵を道端に落としてしまったらどうしますか? 鍵を拾った泥棒は、それを複製していつでもあなたの家に忍...
OWASP Top 10の基本概念と最新動向

【入門編】HTTP Strict Transport Security (HSTS) による中間者攻撃の防止 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ、あなたのウェブサイトは「鍵をかけたはず」なのに盗聴されるのか?こんにちは。セキュリティの現場で日々、見えない脅威と戦っているエンジニアです。今日は、Web開発を始めたばかりの皆さんが必ずぶつかる壁であり、かつ「実は一番怖い」と言っても...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

セッション固定攻撃の深淵:ログイン後の「ID再生成」をサボるなセキュリティの現場で長年戦っていると、いまだに「なぜセッションIDを再生成しないのか?」という根本的な設計ミスに遭遇する。これはOWASP Top 10の古典的項目だが、現代の複...
OWASP Top 10の基本概念と最新動向

【実務・中級編】セッション固定攻撃を防ぐためのログイン後のセッションID再生成 – アプリケーションセキュリティ & 安全な開発防御ガイド

認証の「通過儀礼」を忘れるな:セッション固定攻撃を根絶するセッション再生成の技術現場でコードレビューをしていると、未だに「認証さえ通ればあとは安全」という甘い認識に足をすくわれるケースをよく目にする。特に、認証の前後でセッションIDを使い回...
スポンサーリンク