OWASP Global AppSec DC 2019 参加報告 | 技術者ブログ | 三井物産セキュアディレクション株式会社
9月12~13日に米国ワシントンDCで開かれたOWASPカンファレンスに参加しました。OWASPのカンファレンスにはRegionalとGlobalの2種類がありますが、今回参加したのは年に数回開かれるGlobalの一つで、世界中からWebセキュリティの研究者が会して発表を行う場です。 以下、筆者が参加した初日のセッションについて簡単に報告します。 ※ 各セッションの公式ページのURLを記していますが、そこにはスライドへのリンクはありません。スライドのURLが分かるものは、別途そのURLを記しています。 ■ A Structured Code Audit Approach to Find Flaws in Highly Audited Webapps https://globalappsecdc2019.sched.com/event/SJrY/a-structured-code-audit
OWASP Cheatsheetを参考にやられアプリ作ってみた
Jan 25, 2019Download as PPTX, PDF2 likes1,392 views
Retire.js
There is a plethora of JavaScript libraries for use on the web and in node.js apps out there. This greatly simplifies, but we need to stay update on security fixes. "Using Components with Known Vulnerabilities" is now a part of the OWASP Top 10 and insecure libraries can pose a huge risk for your webapp. The goal of Retire.js is to help you detect use of version with known vulnerabilities. Retire.
AWS WAFとLambda@edgeで理想のフルログはできるのか - セキュアスカイプラス
はじめに はじめまして、事業開発部と研究開発部に属している宇田川です。 AWS関連の新機能や新サービスに都度都度熱狂しておりますが、最近もっとも熱狂したニュースはこちら。 AWS WAF の包括的なログ記録機能が新たに利用可能に 早速、調査! だが、しかし、POSTリクエストのBodyは記録されず… 私が欲しい理想のフルログは、POSTリクエストのBodyのデータも出力されているログ。 で無ければ、AWS WAFで検知したとしても、正常な検知なのか誤検知なのか判断できません。 駄目なのか。。。 諦めかけていたそのとき、希望の光 Lambda@Edgeでrequest bodyが取得可能となりました!! Global Data Ingestion with Amazon CloudFront and Lambda@Edge そこで思い立つ AWS WAFとLambda@edgeをCloudF
XXE攻撃 基本編 | 技術者ブログ | 三井物産セキュアディレクション株式会社
先日 OWASP Top 10 - 2017 がついに公開されました。 このOWASP Top 10 とは、OWASP Top Ten Projectが最も重大と考えるセキュリティリスクの Top 10をまとめたものです。変更点はいくつかありますが、今回OWASP Top 10 - 2017 の中にXXE(XML External Entity)がランクインしていました。 XXEを用いた攻撃(以降 XXE攻撃)は、セキュリティ界隈においては、かなり昔から知られている攻撃手法ですが、開発者等にはあまり認知されていないと思われますので、あらためてこのXXE攻撃について解説を行っていきます。 今回触れていない攻撃手法については、またの機会に紹介をしたいと思っています。 XXEとは XXEとは XML External Entity の略称であり、外部実体参照を利用した脆弱性を指します。 ただし、
Web脆弱性診断スキルマップのシルバーランクを目指す - Money Forward Developers Blog
こんにちは。インターンの田邉です。 マネーフォワードのセキュリティを支えている「CISO室 セキュリティ推進グループ」に所属しています。 脆弱性診断の内製化 突然ですが、マネーフォワードでは脆弱性診断の内製化を進めています。 理由は下記の3点です。 1.提供サービス増加に伴うコスト高騰 第一の理由はコストです。 1サービスのWebアプリ脆弱性診断コストは限定的です。 しかし、マネーフォワードはB2C/B2Bの新サービスが続々とリリースしているため、トータルのWebアプリ脆弱性診断コストが(調整コストも含め)高まってきました。 2.レポートされる脆弱性の種類 第二の理由は、見つかる脆弱性の種類です。 コストの理由だけでは内製化に踏み切らなかったかもしれません。 重大な脆弱性が見つかるのであれば、それは必要コストです。 しかし、過去に実施したWebアプリ脆弱性診断において、報告される脆弱性の種
2017 OWASP World Tour Tokyo - あしのあしあと
久しぶりの Web。周回遅れになっているので、情報収集のために参加した。思っていたのとは、ちょっと違った*1が、参加してよかった。充実した 1 日になった。 案内 https://www.owasp.org/index.php/2017_OWASP_World_Tour_Tokyo 詳細 Opening "OWASP Project Overview for Developers" Training 1 "OWASP TOP 10 を用いた脆弱性対応" Training 2 "最小権限の具体的な実現方法" Training 3 "開発者・運用担当者に向けた、OWASP ZAP を用いた脆弱性診断手法" Training 4 "OWASP BWA を用いた学生および職員向けトレーニング" Training 5 "開発プロジェクトの現状を把握する OWASP SAMM の活用" Closing
OWASP World Tour 2017レポート - Qiita
こんにちは、ひろかずです。 OWASP World Tour 2017に行ってきたので、一筆書きます。 会場は、東京工業大学 大岡山キャンパス サイバーセキュリティ特別専門学修プログラムが開講されるなど、セキュリティの熱量が高さが伺えます。 なんと、東京工業大学は、OWASPアカデミックパートナーに申請されるそうです。 認可が待ち遠しいですね! 会のスライドはこちらです。 例によって、リアルタイムで執筆しているので、表記ゆれ、誤字、脱字、記載漏れはご容赦ください。 お品書き OWASP Top10を用いた脆弱性対応 最小権限の具体的な実現方法 開発者・運用社に向けたOWASP ZAPを用いた脆弱性診断手法 OWASP BWAを用いた学生及び職員向けトレーニング 開発ブロジェクトの現場を把握する ~OWASP SAMMを活用~ OWASP Top10を用いた脆弱性対応 オージス総研 安藤さん
忙しい人のための Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities メモ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? こんにちは、ひろかずです。 2017年7月に「Use AWS WAF to Mitigate OWASP’s Top 10 Web Application Vulnerabilities」が公開されました。 日本語翻訳されていないので、なかなか読めていない方もいると思います。 リリースから少し時間が経ってしまいましたが、読了したので一筆書きます。 #どんなドキュメントか OWASP Top10 で上っている各項目についての解説と、各項目についてAWS WAFでどのような対応ができるかを記載したもの。 Conditionを作る上でのアドバ
OWASP ZAP 簡単な使い方
2017/9/2 OWASP Kansai ローカルチャプターミーティング やられ教材サーバ(OWASP BWA)を用いた、OWASP ZAPの簡単な使い方紹介
OWASPが公開している”セキュアではない”Webアプリ「OWASP Juice Shop」を試してみる | DevelopersIO
森永です。 セキュリティ製品の検証などで脆弱性のあるWebアプリが欲しいということがあります。自分で作るのもいいのですが、手軽に使える"セキュアではない"Webアプリがないかを探してみました。Webアプリのセキュリティに関するコミュニティであるOWASP(Open Web Application Security Project)が「OWASP Juice Shop」という脆弱性のあるWebアプリを公開していたので試してみます。 OWASP Juice Shopとは OWASP(Open Web Application Security Project)が公開しているWebアプリです。OWASPはインパクトのある脆弱性をOWASP Top 10として発表しており、その脆弱性をふんだんに盛り込んだものとなっています。これを使ってセキュリティの検証をしたり、ハードニングのトレーニングをすること
モバイルアプリのセキュリティ検証標準であるOWASP MASVSについて | LAC WATCH
OWASP Mobile Securityプロジェクトが「OWASP Mobile Application Security Verification Standard」(以下、MASVS)を更新したため、MASVSやそれに関連するドキュメントについてご紹介したいと思います。 OWASP Mobile Securityプロジェクトは、以前ご紹介した「OWASP Top10 Mobile Risks 2016」で公開しているプロジェクトと同じプロジェクトです。 MASVSはこちらから無料で閲覧・ダウンロードすることができます。 MASVSとは MASVSは、iOSとAndroidのモバイルアプリケーションを設計、開発、テストするときに必要とされるセキュリティ要件のフレームワークを定めるための取り組みで、以下のような目標を考慮して作成されました。 評価基準としての使用:開発者とアプリケーション
セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリティ診断基準と診断サービスの選定ポイント) | NTTデータ先端技術株式会社
Tweet はじめに システムのセキュリティリスクを把握する一つの手段として、セキュリティ診断が有効だと言われています。セキュリティ診断の代表的なものに、サーバーやネットワーク機器を対象とするネットワーク診断、主に顧客が独自作成したWebアプリケーションを対象としたWebアプリケーション診断があります。当社でも、これらの診断サービスを提供しています。 診断サービスを選択する際に、重要な点として以下があります(費用は、以下の項目に応じて決まるため、観点から除いています)。 診断手法 診断対象 診断項目 Webアプリケーション診断に適用すると、具体的には以下のようになります。 1. 診断手法 スキャナーを利用するのか、診断員が手動オペレーションで診断するのかなどの診断の手法に関係するもの。 2. 診断対象 全てのページなのか、一部のページに限定するのか(例:同じ作りのページは代表的なページ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - OWASP/wpBullet
Faraday Security - Protect your business, scale your security.
脆弱性診断を通じて見えてくるWebセキュリティ
今夜わかるWebアプリケーション脆弱性診断 (OWASP Day 758 / 2018)
GitHub - LAC-Japan/OWASP-Mobile-Top-10-2016: OWASP Mobile Top 10 2016 日本語訳
Top10/2017/ja at master · OWASP/Top10
WebアプリをOWASP TOP 10に対応させよう / #shibuyaxss techtalk #10
