APIセキュリティチェックリスト(APIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリスト) - もた日記
API Security Checklist github.com GitHubのトレンドリポジトリを眺めていたらAPIセキュリティチェックリストというものがあった。 日本語訳も最近追加されたみたい。 API-Security-Checklist/README-jp.md at master · shieldfy/API-Security-Checklist · GitHub 内容は、 API Security Checklist これはAPIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリストです。 認証(Authentication) Basic認証を使用してはならない。標準的な認証を使う。(例 JWT, OAuth) 認証, トークン生成, パスワードの保管において車輪の再発明をしてはならない。 最大ログイン試行回数 (Max Retry) と、jail fe
九三学社成都体育学院支社与高新委员会共同举办不忘合作初心,继续携手前进迎国庆70周年主题教育活动-188体育平台
11月12日晚7:00,备受关注的首届河南师范大学宿舍风采展演大赛决赛在我校学生处多功能报告厅隆重举行。要珍惜国家对教育的投入,精打细算,提高经费使用的效益,坚决反对讲排场、比阔气和铺张浪费。最后,王书记动情地说:同学们!河南的希望在于大家,中国的希望在于大家,民族的希望也在于大家!让我们勤奋学习,励志成才,为中华振兴、中原崛起奉献出激情燃烧的火焰般的年华!报告结束后,校党委书记林世选同志首先代表全校师生向王书记和各位领导多年来对师大的关心、支持和帮助表示最衷心的感谢。给当天举行的法制宣传日献上了一份特殊的厚礼。现将我校近期采取的主要措施、经验总结如下:一、成立防非典领导小组和防非典指挥部 根据防治非典型肺炎工作的形势发展和工作需要,我校先后成立了以两位副校长为组长的预防非典领导小组、以正校长为组长的防治非典领导小组和以校党委书记林世选为政委、王键吉校长为指挥长的防非指挥部,建立应急指挥
Kazuho@Cybozu Labs: はてな認証 API への攻撃シナリオ
« 秘密鍵を後置している MAC の危険性 | メイン | Re: 攻撃してください→はてな認証の仮想セッション » 2006年05月09日 はてな認証 API への攻撃シナリオ 少し方向を変えて、 cert の漏洩に関する話です。 はてな認証 API における cert の使用法においては、 条件A) cert が第三者に漏洩しない 条件B) cert を最初に使うのがサードパーティアプリケーションである のいずれかが満たされれば良いです。 しかし、実際のところ cert が漏洩した場合に条件 B を破る (攻撃者の ?cert=... リクエストが、正規ユーザーのリクエストよりも先に処理されるようにする) ような攻撃を構築することは可能なので cert が漏洩する=セッションハイジャックが可能注3になる、と考えなければなりません。 じゃあ、どういう場合に、cert が漏れるか、というこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20060507/p01/
