REST Security - OWASP Cheat Sheet Series
REST Security Cheat Sheet¶ Introduction¶ REST (or REpresentational State Transfer) is an architectural style first described in Roy Fielding's Ph.D. dissertation on Architectural Styles and the Design of Network-based Software Architectures. It evolved as Fielding wrote the HTTP/1.1 and URI specs and has been proven to be well-suited for developing distributed hypermedia applications. While REST i
Manage API keys | Authentication | Google Cloud
Stay organized with collections Save and categorize content based on your preferences. This page describes how to create, edit, and restrict API keys. For information about how to use API keys to access Google APIs, see Use API keys to access APIs. Introduction to API keys There are two types of API keys: standard API keys, and API keys that have been bound to a service account. Standard API keys
expressにてCORSを許可する - Qiita
const express = require('express'); const app = express(); const port = 4000; // CORSを許可する app.use(function(req, res, next) { res.header("Access-Control-Allow-Origin", "*"); res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept"); next(); }); app.get('/', (req, res) => { res.send('hello'); }); app.listen(port); 何をしているか ご存知の通り、セキュリティの観点から、オリジン(htmlが置かれたサーバー)以外のサ
APIサーバを立てるためのCORS設定決定版 - Qiita
タイトルは釣り、かつ、自分のための備忘録です。 マイクロサービスアーキテクチャでサービスを構築すると、APIサーバをサービスごとに立てるわけですが、 ブラウザ上のJSエンジンからAPIサーバを叩く時に避けて通れないのが、Same-Origin Policy(同一生成元ポリシー)によるCORS (Cross-Origin Resource Sharing)制限です。 これを回避するには、APIサーバ側でAccess-Control-*ヘッダを適切に返す必要がありますが、どう設定するべきかの情報が意外と少ないので(自分的)これが決定版! という設定を考えてみました。 結論 nginxの場合の設定例です。 server { listen 80; server_name site.localhost; charset utf-8; root /var/www/app/public; locatio
Swaggerに深刻な脆弱性、NodeJS、PHP、Ruby、Javaなどのコードジェネレータに影響
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2016-06-24 10:29 「Swagger」の仕様に、NodeJS、PHP、Ruby、Javaのコードジェネレータツールに影響を及ぼす脆弱性が発見された。 Rapid7によれば、この脆弱性は、これらの言語用のSwagger Code Generatorを通じて生成された、インジェクション可能なコードペイロードに見つかった。この脆弱性が悪用されると、攻撃者は遠隔からクライアントまたはサーバ内でコードを実行して、サービスシステムの定義に干渉できる。 同様の他のプログラミング言語用のツールにも、同じ脆弱性が存在する可能性がある。 Swaggerの仕様は寄付され、現在はOpen API Initiative(OAI)の基盤となっており、REST APIの記述のベースとして使用されている。このフ
FuelPHPで開発したWebAPIをVAddyで脆弱性テストする話 - Qiita
FuelPHP Advent Calendar 2015 の18日目を担当します @hmukaida です。よろしくお願い致します。 今回は、FuelPHP で開発している WebAPI を VAddy というクラウド型Web脆弱性検査ツールを使ってテストする話をしたいと思います。FuelPHP 部分は弱めかと思いますが、18日目が空いていたので参加させていただきました。 はじめに フレームワークを使った開発では、ユニットテストやE2Eテストを行うのはもはや日常になってきているかと思います。当然私達の現場でも実施しています。 特にセキュリティ対策としては、各種サーバでの対策もそうですが、フレームワーク独自の対策を施したり、IPAの安全なウェブサイトの作り方を読み込み実践したりと様々取り組んできました。 しかし、数あるAPIの様々なリクエストにどれくらいの脆弱性が潜んでいるのか不安でなりませ
yahoo/fetchrを使う - Qiita
先日参加した、isomorphic tokyo meetupで紹介されていたfetchrが良さそうだったので、使ってみた。 fetchrが解決する課題 React+Fluxでサーバサイドレンダリング時に、superagentやaxios、isomorphic-fetchなどのIsomorphicなHTTPクライアントを使ってデータをフェッチするが、そのまま使うと下記のような課題にぶつかる。 ブラウザから直接BEのAPIにアクセスできない(またはさせたくない、外部のAPIでキー・シークレットをブラウザ側で持ちたくない)場合、そのAPIとProxyするエントリポイントを作る必要がある。 フェッチ部分のロジックが共有されるので、ブラウザではWeb API経由でフェッチして、サーバサイドレンダリング時は直接DBにクエリを叩きたい、みたいなのを自分で実装すると面倒。 fetchrはBEや外部のAPI
Garage RailsでOAuth認証付きのRest APIをお手軽開発!
CookpadさんがOSSで先日OSSで公開されたGarageはRestfulなAPI + OAuth(Doorkeeper)をワンストップで提供してくれるgemです。 ちょうど触る機会が出てきたので、今回四苦八苦しながら使ってみたのでそのメモです! 🎂 今回のサンプル実装今回はOAuthで認証して、次のシンプルなAPIにアクセスできるようにするまでのサンプルを作成します。 GET /v1/users => ユーザーのリスト出力 GET /v1/users/:id => 個々のユーザー情報の出力 🎃 Gemの追加Gemfileに以下を追加して、bundle install。 gem 'garage', github: 'cookpad/garage' gem 'responders', '~> 2.0' # If you use Rails4.2+ group :development
ASP.NET - ASP.NET Web API のセキュリティ フィルター
注意 このページにアクセスするには、承認が必要です。 サインインまたはディレクトリの変更を試すことができます。 このページにアクセスするには、承認が必要です。 ディレクトリの変更を試すことができます。 ASP.NET Web API のセキュリティ フィルター Badrinarayanan Lakshmiraghavan 認証と承認は、アプリケーション セキュリティの土台です。認証とは、指定された資格情報を検証することでユーザーの ID を確立することです。承認とは、ユーザーが要求した操作の実行を許可するかどうかを決定することです。セキュアな Web API は、要求を認証し、確立された ID を基に要求されたリソースへのアクセスを承認します。 ASP.NET Web API に認証を実装する場合、ASP.NET Web API パイプラインの中で利用可能な拡張ポイントを使用するか、ホスト
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
API Security Flight School – Aviata Cloud Solo Flight Challenge Chapter 7 | SANS Institute
Amazon.co.jp: ハッキングAPI ―Web APIを攻撃から守るためのテスト技法: Corey Ball (著), 北原憲 (監修), 洲崎俊 (監修), 石川朝久 (翻訳): 本
AES encryption of JSON messages in Elixir Phoenix and Ruby – Bernard Pietraga