Web脆弱性スキャナーをAIの力を借りて作って脆弱性を見つけてIPAに報告した - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに こんにちは。 最近、業務で脆弱性診断はほぼ行っておらず、プライベートでもバグバウンティしていない。微妙な脆弱性なのか判断しづらいものを報告したりはしているのだが、反応はない。 何もしてないように見えるのも良くない気がしてきたので、プライベートで受理されやすそうな脆弱性を探して、IPAに報告しようかと思ったのだが、普通に探すのも面白くない。同じようなことをやる気はなかなか起きないのだ。 何か目先を変えるべく、脆弱性スキャナーを使って探すことにした。Burp Proを使えばいいのだが、プライベートの一円にもならないもののために貴重
APIがサイバーセキュリティにもたらすリスクと対策
The Hacker Newsは10月2日(現地時間)、「APIs: Unveiling the Silent Killer of Cyber Security Risk Across Industries」において、API(Application Programming Interface)がサイバーセキュリティにもたらす重大な課題、その理由、それら課題を解決するための対策について伝えた。 近年のクラウドコンピューティング、モバイルアプリケーション、モノのインターネット(IoT: Internet of Things)の普及により、APIの導入は加速している。APIによりサードパーティサービスの統合、機能の強化、革新的なソリューションを迅速に開発することが可能となり、今日のデジタルライフにおいて必要不可欠な技術とされている。 APIはその普及と共にサイバー攻撃の標的となっており、さまざま
APIトークン認証の論理設計
SPAやモバイルアプリから利用するAPIを開発する際の、トークン認証のお話です。 どの認証ライブラリを使うべきという話ではなく、トークン認証の論理的な設計について考察します。 私自身も結論が出ていないので、色んな意見が聞けると嬉しいです。 出発点 ユーザテーブルにアクセストークンを持つのが最も安直な発想だと思います。 ログイン成功時にアクセストークンを発行し、該当ユーザレコードにセット。 同時に有効期限もセットします。 認証時には、アクセストークンが存在し有効期限内であれば、認証を通過させ、 そうでなければ認証失敗とします。 ログアウト時には、該当ユーザレコードのアクセストークンを空にします。 発行日時を持ち、システム内に定義された有効期間をもとに、認証時に計算する方法もあると思います。 Laravel Sanctum 等はそういう実装です(しかもデフォルトでは有効期限なし)。 有効かどう
ウェブサイトを保護する「WAF」と次世代型ソリューション「WAAP」はどこが違うのか
日常生活やビジネスで必要不可欠な存在となっているインターネット。その利便性を高めるために、ウェブアプリケーション、ウェブサイト間でAPI連携するケースが増えている。この記事では、ウェブアプリケーション、ウェブサイトを保護するためのソリューションであるWAFと次世代型のWAAPについて、それぞれの機能と違いを解説する。 WAFとは? 日常生活やビジネスにおいてインターネットは必要不可欠になっており、SNSや動画視聴、オンラインバンキングをはじめとした利便性の高いウェブアプリケーションが数多く提供されている。そうしたウェブアプリケーションをサイバー攻撃から保護するのがWAFだ。 WAFは「Web Application Firewall」の頭文字からなる略称であり、ウェブアプリケーションの防御を目的とするファイアウォールである。ハードウェア、あるいはソフトウェアとして導入することで、SQLイン
[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行う必要があり、そのために必要な情報がすべて記載されている。また、実習のためのツールと「やられサイト」を複数紹介し、具体的なトレーニング方法を解説している。単にツールやサイトの使い方の説明にとどまらず、本格的なペネトレーションテストの考え方を説明している。 本書の想定読者はAPIのペネトレーションテストを実施するペンテスター及びペンテスターを目指す人であるが、API開発者やウェブアプリケーション脆弱性診断員にとっても有益な内容を多く含む。 重要事項説明 本書の監修者の一人(洲崎俊氏)と評者は知人関係にある 評者が読んだ書
Web API の CSRF 対策まとめ【追記あり】 - Qiita
セキュリティ脆弱性診断などでたまに CSRF について指摘されることがあります。 今まではトークン発行して対応すれば良いんでしょ? と思ってましたが、SPA のように非同期通信が前提の場合はどう対処するべきなんだろう、と疑問が出たりしたので、調べてみた結果をまとめてみました。 CSRFとは Cross Site Request Forgeries(クロスサイトリクエストフォージェリ)の略で、 サービス利用者の正規権限を利用して、意図しないタイミングでサービスの機能を実行させる攻撃手法のことを指します。 2005年に mixi 日記で発生した「ぼくはまちちゃん」で一躍有名になりました。 大量の「はまちちゃん」を生み出したCSRFの脆弱性とは? - ITmedia エンタープライズ CSRF が発生する原因 サービスの機能を実行するプログラムへのリクエストの検証が権限情報のみであった場合に発生
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュアなWeb APIの作り方 / Secure Web API