スポンサーリンク
OWASP Top 10の基本概念と最新動向

【入門編】SSRF(サーバーサイドリクエストフォージェリ)を防ぐためのURLバリデーションと許可リスト – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。セキュリティの最前線で、日々「見えない泥棒」とチェスをしている者です。今日は、最近のアプリケーション開発で「一番やってはいけないミス」の一つ、SSRF(サーバーサイドリクエストフォージェリ)についてお話しします。難しそうな名前で...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「none」アルゴリズムという悪夢:検証ロジックを「性善説」で書くエンジニアへ認証プロトコル、特にJWT(JSON Web Token)を実装する際、多くのエンジニアが陥る「盲点」がある。それは、トークンの署名を検証するライブラリの...
OWASP Top 10の基本概念と最新動向

【実務・中級編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「none」脆弱性:なぜその実装は、玄関の鍵を自分で開けているのか現場でコードレビューをしていると、今でもたまに遭遇するんだ。「JWTの検証ライブラリを使っているから大丈夫だ」という慢心。だが、そのライブラリが「どのアルゴリズムを信...
OWASP Top 10の基本概念と最新動向

【入門編】JWTの署名アルゴリズム「none」脆弱性と検証時のアルゴリズム固定 – アプリケーションセキュリティ & 安全な開発防御ガイド

「鍵が開いているのに気づかない?」JWTのアルゴリズム「none」脆弱性から身を守る方法こんにちは!セキュリティの世界へようこそ。日々、脆弱性診断やインシデント対応の現場に立っていると、「なぜこんな単純なミスが?」と思うような穴が、意外と大...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

CSPを「ただの制約」と捉えるな:XSS防御の最前線で求められるアーキテクチャ思考多くの開発者がCSP(Content-Security-Policy)を「ブラウザのセキュリティ設定」という程度の認識で扱っている。だが、現場の最前線に立つ我...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

「CSPは設定しただけで満足?」――XSSを無効化する現場の生存戦略こんにちは。セキュリティチームのチーフです。日々、国内外のインシデント事例を分析していると、「あぁ、またか」とため息が出る瞬間があります。それは、アプリケーション層でXSS...
OWASP Top 10の基本概念と最新動向

【入門編】Content-Security-Policy (CSP) のscript-srcディレクティブによるXSS防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

あなたのWebサイトが「泥棒の温床」にならないために。CSPでXSS攻撃を封じ込める方法こんにちは!セキュリティの現場で日々、防御の最前線に立っているエンジニアです。皆さんは「XSS(クロスサイトスクリプティング)」という言葉を聞いたことは...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

境界防御の終焉と「IDこそがネットワーク」である現実かつて我々は、境界ファイアウォールという名の「城壁」の中にいれば安泰だという幻想を抱いていた。しかし、クラウドネイティブの時代において、その城壁は塵と化した。Cloud Runという抽象化...
OWASP Top 10の基本概念と最新動向

【実務・中級編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

なぜ「Cloud Runのデフォルト設定」が、攻撃者の格好の入り口になるのか?現場でコードをレビューしていると、いまだに「Cloud Runのサービス間通信で、APIキーを環境変数にベタ書きしている」ケースや、「IAMロールを『プロジェクト...
OWASP Top 10の基本概念と最新動向

【入門編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。現場の最前線でセキュリティと格闘しているエンジニアの皆さん、お疲れ様です。今日は、GCP(Google Cloud Platform)の「Cloud Run」を使ったサービス間通信における、ちょっとだけ背筋が凍るような、でも絶対...
スポンサーリンク