REST セキュリティに関するチートシート - OWASP
REST (REpresentational State Transfer) は、システム内のエンティティを URL パス要素によって表現するための手段です。REST は、アーキテクチャを指す言葉ではなく、Web 上のサービスを構築する際のアーキテクチャスタイルを指す言葉です。REST による Web ベースのシステムとの対話では、複雑なリクエスト本文や POST パラメーターを使わず、簡素化された URL を使用してシステム上のエンティティを指定することを可能にします。このドキュメントは、REST ベースのサービスに役立つベストプラクティスのガイドとして使用できます。 認証とセッション管理 RESTful Web サービスでは、POST によってセッショントークンを確立するか、または POST 本文の引数や Cookie として API キーを使用することによって、セッションベースの認証
REST Security - OWASP Cheat Sheet Series
REST Security Cheat Sheet¶ Introduction¶ REST (or REpresentational State Transfer) is an architectural style first described in Roy Fielding's Ph.D. dissertation on Architectural Styles and the Design of Network-based Software Architectures. It evolved as Fielding wrote the HTTP/1.1 and URI specs and has been proven to be well-suited for developing distributed hypermedia applications. While REST i
CVE - CVE
TOTAL CVE Records: 225772 NOTICE: Transition to the all-new CVE website at WWW.CVE.ORG and CVE Record Format JSON are underway. NOTICE: Legacy CVE download formats deprecation is now underway and will end on June 30, 2024. New CVE List download format is available now. The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
パスワード不要のログイン方法「WebAuthn」がウェブ標準になる
World Wide Webで使用される各種技術の標準化を推進するWorld Wide Web Consortium(W3C)が、パスワード不要のログイン方法「Web Authentication(WebAuthn)」を新たなウェブ標準のログイン方法とすることを決定しました。これにより、多くのウェブブラウザやウェブサービスが、パスワードを使わない認証方法に対応するとみられています。 W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins - FIDO Alliance https://fidoalliance.org/w3c-and-fido-alliance-finalize-web-standard-for-secure-passwordless-logins/ W3C finalizes
インテルx86マシンの奥深くでは人知れず「MINIX 3」が動作しており、脆弱性を作り出している。Googleらはそれを排除しようとしている - Publickey
インテルx86マシンの奥深くでは人知れず「MINIX 3」が動作しており、脆弱性を作り出している。Googleらはそれを排除しようとしている インテルのx86プロセッサを用いたシステムでは、その奥深くで人知れずMINIX 3を含む2つほどのカーネルがプロセッサ上で稼働しているOSとは別に作動しており、それが脆弱性を作り出しているとGoogleのエンジニアらが警告し、それを取り除こうという動きを見せています。 それが、10月23日から26日までチェコ共和国のプラハで行われたOpen Source Summit EuropeでGoogleのRonald Minnich氏のセッション「Replace Your Exploit-Ridden Firmware with Linux」(脆弱性にまみれたファームウェアをLinuxで置き換える)のセッションで説明されたことでした。 これを、海外のメディア
SHA1でハッシュ化したパスワードは危険になった
(Last Updated On: 2018年4月3日)パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 Slashdot.orgにまた載っているので更に高速化できた、ということか? 参考: RainbowテーブルによるMD5ハッシュのクラック(英語) RainbowテーブルによるSHA1ハッシュのクラック(英語) 前のエントリ PostgreSQLでSHA1 でPostgreSQLでSHA1を使う方法の一つを紹介していますが可能であればSHA512など、より強いハッシュ関数を利用したり、Saltを利用する、等の方法を採用した方が良いと思います。 備考:
Paros使ってみた - Do You PHP はてブロ
プロキシ型脆弱性スキャナの1つであるParosを使ってみました。 We wrote a program called "Paros" for people who need to evaluate the security of their web applications. It is free of charge and completely written in Java. Through Paros's proxy nature, all HTTP and HTTPS data between server and client, including cookies and form fields, can be intercepted and modified. Parosがチェックする内容は、ユーザーガイドによると以下の通りです。 HTTP PUT allowed - chec
2008-11-02
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
お前このサブネットでも同じ事言えんの? - 知らないけどきっとそう。
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
RealVNC® - Remote access software for desktop and mobile | RealVNC
Secure to the core Keep your systems safe with full session encryption, granular permission controls, and authentication options that ensure complete control of remote access. Get Started Now A single solution for every device Simplify your setup and consolidate tools with one solution that works across major desktop and mobile operating systems. Get Started Now Customized to your needs Meet the d
自宅サーバーを構築しよう
当サイトは、「自宅でサーバーを構築する(windows)」という事に焦点をおいて自宅サーバー構築の手順を説明していきます。サーバーを構築するなると一見、難しそうに思えるかもしれませんが、実はそんなに難しいことではありません。ちょっと気になる維持費なども電気代を除けば一切かからず、サーバーウェアも全てフリーで利用できるので個人でも比較的、容易にサーバーを構築することができます。もはや、今となってはサーバー構築の敷居は格段に低くなってきたのです。とは言っても、サーバーを構築をするためには、「サーバーの仕組み」、「セキュリティ対策」、「ネットワーク(TCP/IP)」についての最低限の知識が不可欠です。また、インターネット犯罪に巻き込まれないためにも、セキュリティ対策にも真剣に取り組まなくてはなりません。特にネットワークの基礎がしっかりできていれば、トラブルシューティングにも断然強くなります。当サ
ハイパーボックス、ケータイサイトの「暗号の2010年問題」影響解析サービス
ハイパーボックスは4月23日、「暗号の2010年問題」の影響範囲を解析する「モバイルアクセス解析サービス」の提供を開始した。 暗号の2010年問題とは、米国立標準技術研究所(NIST)が2010年末に実施を予定する暗号技術の安全性基準の変更により想定されるセキュリティ製品への影響のこと。 暗号化の基準であるRSA鍵が1024bitから2048bitへの変更されることで、NTTドコモの第2世代端末(mova)ではSSL暗号化通信の処理に問題が発生し、約240万人のmova利用者がネットに接続できなくなる可能性があるという。また、ソフトバンクの3G端末の一部でも、SSL暗号化通信が利用不可となる見通しだ。 今回のモバイルアクセス解析サービスでは、自社サイトに携帯電話からアクセスしているユーザーの中で、暗号の2010年問題の影響を受けるユーザーがどの程度存在するかなどを測定できるという。サービス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AMI-based product requirements - AWS Marketplace
Google Code Archive - Long-term storage for Google Code Project Hosting.
データベースセキュリティガイドライン 第2.0版
The History of the URL: Path, Fragment, Query, and Auth - Eager Blog