脆弱性てんこ盛りのやられアプリ Bad TodoをWindows10にインストールする様子を動画で説明します。 ・本日お伝えしたいこと - 徳丸作成の「やられアプリ」 Bad TodoをWindows10に導入する方法を説明します - 具体的には以下を導入します Docker Desktop(動画上省略…下記過去動画を参照) https://www.youtube.com/watch?v=07k-7Q2xGzY Git for Windows Bad Todoコンテナ Burp Suite Community Edition ※ Docker Desktopは個人での利用は無償ですが、企業などの利用は有償となる場合があるので適宜ご確認ください ◎ ダウンロードURL Git for Windowsのダウンロード https://gitforwindows
⏳ プログラム 0:00 待ち時間 2:52 オープニング 6:10 基調講演「フレームワークで脆弱性対策されているのに現実のアプリケーションに脆弱性が減らないワケ」徳丸 浩 氏 54:33 事例講演「プロダクト開発の落とし穴?アジャイル開発に求められるセキュリティ」手塚 卓也 氏 1:23:44 視聴者Q&Aパネルトーク 徳丸 浩 氏 × 手塚 卓也 氏 × Forkwell河又 📙 イベントレポートも公開中! フレームワークで脆弱性対策されているのに現実のアプリケーションに脆弱性が減らないワケ 徳丸 浩 | エンジニアの生き様をウォッチするメディア https://pr.forkwell.com/event/security-study-01/?utm_source=forkwell_youtube&utm_medium=youtube?argument=249xHStF&dma
「デジタルの日」の今年のテーマは「ふれよう!#デジタルのチカラ」。 そこで最新のセキュリティニュースやトレンドに触れながら、セキュリティの最新知識を学ぶとともに、昨今のセキュリティトピックに対しWEBセキュリティ専門家・徳丸浩が何を思っているのか、考え方に触れる動画を配信いたします。 セキュリティフリーライターの高橋睦美様をお迎えし、それぞれの考え方を語り合うライブ感あふれる動画を公開いたします。事前収録動画の配信となりますが、当日はYouTubeのプレミア公開を行い、リアルタイムで視聴者の皆様の質問にもお答えしますので、ぜひご参加ください! 10月3日(月) 14:58まで 予告編 14:58~15:00 カウントダウン 15:00~プレミア公開 おおまかなアジェンダ - セキュリティはイタチごっこって本当か? - 中小企業のセキュリティ対策どうしたらいい? - コンプライアンス偏重
PHP Conference Japan 2022 のセッション動画です。 2022/09/25(60分) スピーカー: 徳丸浩 ( @ockeghem ) タイトル: SPAセキュリティ超入門 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説
DNSリバインディングの脅威について説明します。動画の後半では、イントラネット内のWordPressサイトに対して実際に侵入してリバースシェル経由でデータベースの情報を盗むことを実演しています。 この動画は「DNS Summer Day 2022」での講演を2分割して再構成したものの前編です。 https://dnsops.jp/event20220624.html ・本日お伝えしたいこと - 再び注目を集めるDNS Rebinding - DNS Rebindingはどのような攻撃か - イラトラネット内のWordPressサイトに外部から侵入するデモ 講演資料 https://www.docswell.com/s/ockeghem/Z181PK-How-to-defend-against-DNS-rebinding 参考URL: DNSリバインディングによるルータへの侵入実験 h
Server Side Request Forgery(SSRF)は、2021年版にて初めてOWASP Top 10にランクインするなど、比較的最近重要視されている脆弱性・攻撃手法です。このSSRF攻撃の代表的な事例が、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出です。 この動画では、Capital Oneサイトの内部で起こったと推定されるオープンPROXYにおけるSSRF攻撃の様子を再現し、攻撃方法の詳細について解説します。 ※ この動画は、参考URL末尾に紹介した動画の前半を再編集したものになります。より詳細に関心のある方はフル版をご視聴ください。 参考URL: SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記 https://blog.tokumaru.org/2018/12/introduct
🎹 楽譜「トルコ行進曲(日本音階アレンジ)」 ご購入はこちら:https://kokomu.jp/sheet-music/61239 🎹 Sheet Music (English Only) Available here : https://mymusic.st/canacanafamily/174729 トルコ行進曲を日本音階でアレンジしてみたら、全くトルコでなくなりました 笑!! 無性に、小鼓を鳴らしたくなりますのでご注意ください笑( ̄∇ ̄) 歌舞伎座でモーツァルトが着物を着てコンサートしてるような、妄想をしてしまった私です笑 みなさんはどんな妄想を繰り広げていてるか覗いてみたい、、♡ 原曲のトルコ行進曲はこちら♪ https://youtu.be/exhiil4J5NU 🎹 楽譜(CANACANA familyの楽譜です♪) ▶︎https://www.kokomu
公衆無線LANは盗聴の危険に加えてウイルス感染やパソコンのファイル盗難の危険性があると言われていますが、どのような状況でこれらの脅威が生じるでしょうか。 この動画では偽のアクセスポイントを使ってしまった利用者を想定して、利用者のパソコンがウイルス感染するシナリオについて解説します。 具体的には、有名なランサムウェアWannaCryが悪用するWindowsの脆弱性 MS17-010 の攻撃が偽アクセスポイント利用者に対して可能であることを示し、パーソナルファイアウォールの設定によりこの攻撃が防げることをデモで示します。 また、このような攻撃にあわないための利用者側の対策についてまとめています。 ◎ 参考URL 前回動画: 偽Wi-Fiアクセスポイントで本当にパスワードは盗聴できるか試してみた https://www.youtube.com/watch?v=k0xBCjWPqcU 無線L
公衆無線LANは盗聴の危険があると言われていますが、常時SSLが普及した現在どのような状況で盗聴される可能性があるでしょうか。 この動画では偽のアクセスポイントを使ってしまった利用者を想定して、かつサイトのドメイン名は本物であるという前提での盗聴を実演を交えて解説します。 また、背景知識として、いわゆる「ウェブ認証」などで用いられるCaptiveポータル(俗に「ホテルページ」などとも呼ばれる)についても解説しています。 この動画では、利用者が正しくない利用法をすることによりオンラインバンキングのID・パスワードを盗聴されていますが、サイトに脆弱性があるわけではありません。 この動画の末尾では、このような攻撃にあわないためのサイト側、利用者側双方の対策について解説しています。 ※ 注意 ・動画中の解説では80/TCPのみBurp Suiteにリダイレクトしていますが、実演では443/TC
2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に改定され、その一節がPHPerたちを激しく刺激することになりました。 例えば、PHPを避ける PHPをこよなく愛する立場から見ても、今から振り返ればそう言われる理由もあったような、いやいや、それは誤解だ、その理由は…という感じではありますが、YouTubeライブでまったりと当時を懐かしみましょう。 参考: 『例えば、PHPを避ける』以降PHPはどれだけ安全になったか https://blog.tokumaru.org/2014/12/phpphp.html 重要情報説明: ライブの前後でEGセキュアソリューションズ株式会社からのお知らせを実施します。徳丸浩はEGセキュアソリューションズ株式会社の取締役CTOです。 式次第 12月22日(水) 18:20 プレ開演、EGセキュアソ
ケータイウェブの先駆けとして世界に冠たるとも言われたiモードですが、スマホ、とりわけiPhoneの普及により、あっさりと表舞台から姿を消すことになりました。その潜在的な原因として、iモードに元々存在した根深いセキュリティ上の制約があると考えます。 このライブでは、iモードの根幹であった「認証」の仕組みと、その問題について解説します。 重要情報説明: ライブの前後でEGセキュアソリューションズ株式会社からのお知らせを実施します。徳丸浩はEGセキュアソリューションズ株式会社の取締役CTOです。 式次第 12月16日(木) 12:20 プレ開演、EGセキュアソリューションズからのお知らせ 12:30 開演 13:00 質疑応答、質問を待っている時間にEGセキュアソリューションズからのお知らせ 13:15 終演 ※ 質問はYouTubeのチャットにて受け付けます 【PR】 【キャンペーン】ウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く