スポンサーリンク
OWASP Top 10の基本概念と最新動向

【入門編】GCP Cloud Runにおけるサービス間認証とIAMロールの最小権限設定 – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。現場の最前線でセキュリティと格闘しているエンジニアの皆さん、お疲れ様です。今日は、GCP(Google Cloud Platform)の「Cloud Run」を使ったサービス間通信における、ちょっとだけ背筋が凍るような、でも絶対...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

「認証情報のハードコード」という遺物:AzureマネージドIDとKey Vaultによる「ゼロ・クレデンシャル」設計の深淵コードベースをスキャンした際、いまだに`appsettings.json`の片隅や、環境変数のダンプログから漏洩するD...
OWASP Top 10の基本概念と最新動向

【実務・中級編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

「コードに秘密を刻むな」― AzureマネージドIDで実現する、漏洩リスクゼロの認証設計現場でインシデント対応をしていると、決まって遭遇する光景がある。「急いでいたから」「開発環境だし」という甘い言葉と共に、ソースコードの中に鎮座するデータ...
OWASP Top 10の基本概念と最新動向

【入門編】Azure App ServiceにおけるマネージドIDを用いた認証情報のハードコード排除 – アプリケーションセキュリティ & 安全な開発防御ガイド

鍵を「玄関マットの下」に隠すのはもうやめよう:マネージドIDで実現する究極の認証セキュリティこんにちは!セキュリティの世界へようこそ。日々コードを書いていると、「データベースの接続情報」や「APIキー」をどこに書けばいいか、迷うことはありま...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットはなぜ「穴」になるのか?— 誤認を招く権限階層とIAMの境界防衛S3バケットの公開設定による情報漏洩は、もはや古典的な「人為的ミス」として語られることが多い。しかし、現場でインシデント対応に当たっていると、それが単なる「設定忘れ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットは「鍵をかける」だけでは足りない――エンジニアが陥る「公開設定」の罠と防衛術やあ。現場の最前線でコードを書き、夜中にアラートに飛び起きる諸君、お疲れ様。AWS S3のセキュリティ事故が後を絶たない。ニュースで「またか」と思うよう...
OWASP Top 10の基本概念と最新動向

【入門編】AWS S3バケットポリシーにおけるパブリックアクセス設定の誤りとIAMポリシーによる制限 – アプリケーションセキュリティ & 安全な開発防御ガイド

S3バケットは「玄関の鍵」と同じ!設定ミスで家の中をさらさないための防犯術こんにちは!セキュリティの世界へようこそ。今日は、AWSを触り始めたばかりの方が一度は必ず通る関門、「S3バケットの公開設定」についてお話しします。「S3バケットを公...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

Django ORMの「神話」と、生のSQLが暴く脆弱性の深淵多くのエンジニアが「Djangoを使っているからSQLインジェクションは大丈夫」と安易に信じ込んでいる。これは半分は正しく、半分は危険な誤解だ。確かに、DjangoのORM(Ob...
OWASP Top 10の基本概念と最新動向

【実務・中級編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

Django ORMの「魔法」を過信するな:SQLインジェクションの深淵と正しい武装術現場でコードレビューをしていると、「Djangoを使っているからSQLインジェクションなんて関係ないよね?」という、冷や汗が出るようなセリフを耳にすること...
OWASP Top 10の基本概念と最新動向

【入門編】DjangoのORMにおけるSQLインジェクション防止の仕組みと生のSQL実行時の注意点 – アプリケーションセキュリティ & 安全な開発防御ガイド

「Djangoなら絶対安全」という思い込みが危ない!ORMとSQLインジェクションの真実こんにちは。現場で泥臭いインシデント対応をしていると、「フレームワークを使っているからセキュリティ対策は万全だよね?」という声をよく耳にします。確かにD...
スポンサーリンク