[B! セキュリティ] namutakaのブックマーク

OAuth 2.0 をかみくだく

Flink SQL: �the Challenges of Implementing a Streaming SQL Engine

namutaka 2017/06/05

リンク

OAuth for Native Apps | GREE Engineering

GREE Advent Calendar 9日目は @nov が担当します。僕は GREE ではセキュリティ部に所属しており、社外では OAuth や OpenID Connect などの Identity 関連技術についての翻訳や講演などを行ったりもしています。今日は GREE Advent Calendar ということで、Native App コンテキストでの OAuth の話を少し書いてみようと思います。はじめに Native App を開発していると、Backend Server とのやりとりや Facebook Login や Google Sign-in などで、必ずと言っていいほど OAuth 2.0 というのが出てきます。 OAuth 1.0 と異なりリクエストに署名が不要だったり、Client Secret (a.k.a Consumer Secret) 無しでも

namutaka 2016/04/25

リンク

色んなXSS – nootropic.me

2015/4/16(木)：ページの一番下に追記を記述しました。その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。一番上の「手法」はタイトルみたいなものだと思って下さい。二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ

namutaka 2015/04/14

リンク

例えば、Strutsを避ける

はじめに筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう」というイメージが強かったためです。最近はRuby on Rails等の影響を受けCoC(convention over configuration)を採り入れ、XML地獄もだいぶ解消したようです。 StrutsはJavaアプリケーションらしくない種類（任意のコード実行等）の脆弱性を連発することでも知られており、最近は我々の提供するSaaS型WAFサービス、Scutum(スキュータム)のお客様からも頻繁にStrutsについての問い合わせを受けるようになりました。また、去年見つかった任意のコード実行の脆弱性では、脆弱性の公表後すぐにPoCが出回り実際に攻撃が発生するなど、悪い意味で注目

namutaka 2014/04/24

リンク

Linuxセキュリティ標準教科書ダウンロード LinuCレベル3 303試験対応 | Linux技術者認定試験リナック | LPI-Japan

Linuxサーバの構築・運用に最低限必要なセキュリティの知識の学習に最適な教科書 LPI-Japanは、Linux/OSS技術者教育に利用していただくことを目的とした教材「Linux セキュリティ標準教科書」を開発し、無償にて公開しています。 Linuxは、多くのシステムにおいてサーバOSとして採用されるようになり、社会における重要な位置を任されるOSへと成長しました。同時に、標的型攻撃をはじめとしたサイバー攻撃は年々高度化しており、Linuxシステムにおいても高いセキュリティレベルの確保、またセキュアなLinuxシステムを構築することのできるスキルを持った人材の育成は優先度の高い課題の一つとなっています。本教材は、Linuxにおけるセキュリティを学習・再認識するために最低限必要となる知識を体系的にまとめた内容となっています。本教材が教育機関や企業研修でのLinux/OSSにおけるセキュリテ

namutaka 2013/10/02

リンク

Java コーディングスタンダード CERT/Oracle 版

Top へ AA参考情報 References (CERT Oracle Secure Coding Standard for Java のページにとびます) 『Java セキュアコーディング並行処理編』 Top へ BBGlossary Glossary (CERT Oracle Secure Coding Standard for Java のページにとびます) Top へ XXお問い合わせ本ページに関するご質問・お問い合わせは、secure-coding@jpcert.or.jp までメールにてお願いいたします。 Top へ

namutaka 2012/07/19

リンク

ローソンWi-Fiが誕生日と電話番号を誰かに伝えることを禁止！ - Togetter

先日始まった LAWSON Wi-Fi を利用するために必要なローソンアプリの利用規約がとんでもなかった件。アプリ利用中は誰の誕生日も電話番号も知らせてはいけないし、知ろうとしてもいけない！ Pontaカードを解約しようとしてもローソンアプリの規約で退会出来無い！詰んだ！【4/10 22:10】続きを読む

namutaka 2012/04/10

なんかPasmoを超えたひどいサービスになってるっぽい。 > ローソンWifi

セキュリティ

リンク

SE・プログラマが知ってると便利な脆弱性チェックツール 5 つ | バシャログ。

東京ラーメンショー2011 いきてーーー！みなさんこんにちは、nakamura です。今日はプログラマだったりサーバ管理者だったり（もしくはその両方だったり）する方にお勧めしたいサイトとツールをいくつかご紹介します。細かい脆弱性のチェック等どうしても手間が掛かるものが多いですが、今回ご紹介するツールをうまく使うとその辺りだいぶ効率よくできると思いますよ！ WEB アプリケーション関連 XSS Me XSS Me :: Add-ons for Firefox XSS のテストをある程度自動化してくれる Firefox のアドオンです。残念ながら Firefox3.0.* 系の頃に開発が止まってしまっているようですが、僕の環境では install.rdf の書き換えで問題なく動作しています。（Windows7 64bit + Firefox7.0.1） SQL Inject Me SQL I