posted articles:nginx:60%Security:60%Config:47%CTF:40%writeup:27%
完成しました。ルールは以下。 公共性の高いものを載せています WGや研究会の純粋な活動報告書、個別のインシデント・脆弱性は載せていません ちゃんと読んだものについては、以下のようなメモも公開しています。 security.nekotricolor.com 政府機関 METI 文書タイトル 公開日 メモ 秘密情報の保護ハンドブック~企業価値向上に向けて~ 2016/02/08 メモ 情報セキュリティ管理基準(平成28年改正版) 2016/03/01 - 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 2016/03/24 - サイバーセキュリティ経営ガイドライン Ver1.1 2016/12/08 総務省 文書タイトル 公開日 不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 2016/03/19 Wi-Fi提供者向け セキュリティ対策の
出典:徳丸浩のWebセキュリティ教室(日経BP社) (記事は執筆時の情報に基づいており、現在では異なる場合があります) Webサイトへの不正アクセスが相次いでいる。企業としては対策が急務だが、攻撃者の手口は“進化”を続けている。被害に遭わないためには、最新の手口や対策に関する情報を常時チェックして備える必要がある。そこで、企業のセキュリティ担当者はもちろん、一般の従業員や経営陣なども知っておくべき、「Webセキュリティの新常識」について、Webセキュリティの第一人者である徳丸浩氏が解説する。 徳丸浩氏に聞くWebセキュリティ対策の進むべき方向(その2) 発注者は最低限の知識と十分な予算を! 企業のWebサイトを狙ったサイバー攻撃が後を絶たない。攻撃の手口は常に進化し、対策は常に後追いのように見えてくる。しかし、本当にそうなのだろうか? Webセキュリティの第一人者である徳丸浩氏に、開発者や
ウェブサイトの脆弱性や運用管理の不備を悪用された情報漏えいやウェブページの改ざんなどの被害が多数発生しています。情報漏えいやウェブページの改ざんなどの被害が発生すると、ビジネスやサービスの中断、停止、またそれによって生じた損失への補償など、事業に直接的な影響が生じる恐れがあります。 安全にウェブサイトを運用管理するためには、下記図が示す対象ごとに適切な対策を実施することが必要です。どれが欠けても、ウェブサイトの安全性は確保できません。 ウェブサイト運営者、システムおよびネットワーク管理者は、下記の「ウェブサイトのセキュリティ対策のチェックポイント20ヶ条」を確認し、対策がとられていない項目があった場合には早急に対策をしてください。 ウェブサイトのセキュリティ対策のチェックポイント20ヶ条 ここに記載されている対策は、定期的に確認する必要があります。 1.ウェブアプリケーションのセキュリティ
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの?」みたいなリクエストもあればぜひ言って下さいませ。 JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013) HTML5セキュリティ その1:基礎編、XSS編 (2013-06-13 OWASP Night 6th) Web::Security beyond HTML5 (2012-09-28 YAPC::Asia 2012) HTML5時代のWebセキュリティ (2012-09-15 第5回愛媛情報セキュリティ勉強会) Same-Origin Policy とは何なのか。 - 葉っぱ日記 XMLHttpRequestを使ったCSRF対
第一次論争 XSSのホワイトリスト防御について 2008年2月 ホワイトリストはどう作る?(大垣さん) 徳丸コメント:XSSの攻撃方法を出発点として「ホワイトリスト」を検討するのはおかしいと思います。 2008年7月 ホワイトリスト方式の優位は神話(徳丸) 2008年8月 プログラミングではホワイトリスティングが基本(大垣さん) 徳丸コメント:バリデーションの基準は、「ホワイトリスト」(って何?)ではなくアプリケーションの仕様が基準 プログラミングではホワイトリスティングが基本ではない(徳丸) ホワイトリストとブラックリスト(SAWA, Izumiさん) 今こそXSS対策についてまとめよう(徳丸) 続・ホワイトリストとブラックリスト(SAWA, Izumiさん) 第二次論争 バリデーションは「セキュリティ対策なのか」 2011年12月 妥当性とは仕様の所作 - SQLインジェクション対策と
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 上から重要な順。★がとりあえず読んどけ、の必須。必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。 徳丸本は今年は必須かな。電子書籍版もあるから、スマホに常備できるし。 あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。ここはツール情報を定期的にポストしようと思うので、キャンプ生はチェックしておいて欲しい。 ★Webサイト構築 安全な
さくらのVPSやら、ServersMan@VPS やらの出現で、やたらと敷居のさがった感のある VPS 。 かく言うこのサーバもめ組VPSで運用されてるわけですが、VPSを既存のレンサバ感覚で使ってる人にせめてこれくらいのセキュリティ設定はやっておいたほうが良いよっていうお話です。 今回、対象にする OS は CentOS です。 さくらVPS 借りて Ubuntu とか、別の OS で運用するような中上級者は自分でできるよね。 リモートからの root ログインを無効にする ssh 経由で root でログインして作業したりしてませんか? これ root パスワードが破られたら、サーバが乗っ取られちゃうので、大変に危険です。 root ログインを無効にして、権限のあるユーザでログインしてから sudo or su して作業するようにしましょう。 root ログインを無効にする方法は、こん
_今こそXSS対策についてまとめよう 沢出水(さわ いずみ)さんからトラックバックを頂戴した。 元々はホワイトリスト方式の優位は神話というエントリでホワイトリストはどう作る?を引用(批判)した事が発端の模様です。 一見真っ向対決しているようなので興味深く読ませていただいたのですが、正直、両者の主張の違いがわかりません。 どちらもXSS等インジェクション系の対策としてはアプリケーションで入力値が正しい形式の範囲内かチェックし、出力時に必要なエスケープ処理を行う、という結論に思えるんですけど… [ホワイトリストとブラックリストより引用] ご指摘の通りで、XSS対策は入り口でのバリデーションと表示(HTML組み立て)時のエスケープだ。しかし、元ブログの主題はホワイトリストとブラックリストの比較なので、「ただ、表面的に文章を追っただけでは『何をホワイトリストと呼ぶのか』という部分がだいぶ違う印象を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く