スポンサーリンク
OWASP Top 10の基本概念と最新動向

【入門編】JWTの安全なストレージ:LocalStorage vs HttpOnly Cookie – アプリケーションセキュリティ & 安全な開発防御ガイド

「JWTはどこに置くのが正解?」XSSとCookieの攻防を、家の鍵に例えて解説しますこんにちは。セキュリティの世界へようこそ。システム開発をしていると、「JWT(JSON Web Token)」という言葉、一度は耳にしますよね。ログインし...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】JWTの脆弱性:アルゴリズム「none」の悪用と鍵混同攻撃の防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの脆い要塞:`alg: none`と鍵混同が生む「認証の虚無」を解剖するJWT(JSON Web Token)を単なる「便利なセッション管理トークン」と認識しているなら、それは大きな誤解だ。JWTは、暗号学的な制約と、それを実装するラ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】JWTの脆弱性:アルゴリズム「none」の悪用と鍵混同攻撃の防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTは「魔法の杖」ではない:alg: "none" と鍵混同攻撃から身を守るための実戦的防衛術やあ。現場で泥をかぶっているエンジニア諸君、お疲れ様。今日はJSON Web Token(JWT)の話をしよう。「ログイン状態を保持するのに便利...
OWASP Top 10の基本概念と最新動向

【入門編】JWTの脆弱性:アルゴリズム「none」の悪用と鍵混同攻撃の防御 – アプリケーションセキュリティ & 安全な開発防御ガイド

JWTの「魔の扉」をどう守る?初心者でもわかるアルゴリズム悪用と鉄壁の防御策こんにちは!セキュリティの世界へようこそ。日々、開発の現場でコードを書いていると、「JWT(JSON Web Token)」という言葉を耳にすることがあるはずです。...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】OpenID ConnectにおけるIDトークンの検証項目と署名検証のベストプラクティス – アプリケーションセキュリティ & 安全な開発防御ガイド

認証の深淵:OpenID Connect(OIDC)実装における「想定内」の脆弱性を排除するIDトークンを検証する際、多くのエンジニアは「署名を検証し、`exp`をチェックする」という表面的な処理で満足しがちだ。しかし、現場で数多のインシデ...
OWASP Top 10の基本概念と最新動向

【実務・中級編】OpenID ConnectにおけるIDトークンの検証項目と署名検証のベストプラクティス – アプリケーションセキュリティ & 安全な開発防御ガイド

IDトークン検証は「性善説」で書くな。OIDC実装で死なないための鉄則現場でコードレビューをしていると、未だに「とりあえずJWTをデコードして、中身のユーザーIDだけ見てログインさせる」という、セキュリティの地雷を踏み抜くような実装を見かけ...
OWASP Top 10の基本概念と最新動向

【入門編】OpenID ConnectにおけるIDトークンの検証項目と署名検証のベストプラクティス – アプリケーションセキュリティ & 安全な開発防御ガイド

こんにちは。現場の最前線でセキュリティと格闘しているエンジニアの皆さん、お疲れ様です。今日は「OpenID Connect(OIDC)」という、今のWeb開発では避けて通れない「IDの受け渡し」についてお話しします。難しそうな名前ですが、要...
OWASP Top 10の基本概念と最新動向

【テクニカル・上級編】OAuth 2.0における認可コード横取り攻撃(Authorization Code Interception)の防止策 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0の「認可コード横取り」をPKCEで封殺する:アーキテクトが理解すべき「信頼の鎖」の再構築OAuth 2.0が登場した当初、我々セキュリティエンジニアは「クライアントサイド(モバイルアプリ等)での認可コードの安全な受け渡し」...
OWASP Top 10の基本概念と最新動向

【実務・中級編】OAuth 2.0における認可コード横取り攻撃(Authorization Code Interception)の防止策 – アプリケーションセキュリティ & 安全な開発防御ガイド

OAuth 2.0の「認可コード横取り」を許すな:PKCE実装で守る認証の最前線現場で多くのインシデントを見てきたが、未だに「OAuthはライブラリを入れて終わり」と考えているエンジニアが多すぎる。特にモバイルアプリやSPA(Single ...
OWASP Top 10の基本概念と最新動向

【入門編】OAuth 2.0における認可コード横取り攻撃(Authorization Code Interception)の防止策 – アプリケーションセキュリティ & 安全な開発防御ガイド

「認可コードが盗まれる!?」OAuth 2.0の落とし穴と、PKCEで鉄壁のガードを固める方法こんにちは!セキュリティの世界へようこそ。日々開発や運用に励んでいると、「OAuth 2.0」という言葉を耳にする機会は多いですよね。Google...
スポンサーリンク