セキュリティを勉強しようと思い3ヶ月間で読んだ本の紹介と感想 - やる気 ない日記
直近3ヶ月ほどセキュリティを意識的に勉強してみようと思い、いくつか本を読んでみました。その読んだ本の紹介と簡単な感想を書きました。最後におまけで積読してる本も紹介しています。少しでも誰かの参考になれば幸いです。また「これもおすすめだよ!」ってものがあれば本に限らずぜひ教えてほしいです! まずはじめに、私の前提知識やそもそもどうしてセキュリティを意識的に勉強しようと思ったのか?を書いておきます。 筆者の前提知識 この程度の知識があった上で本を読んでます!という前提を書いておきます。本の感想はこれらをふまえた上でのものです。 これまでモバイルアプリ開発がメインだったので、フロントエンド・サーバーサイドの脆弱性などは「徳丸本読んでなんとなくこんなのがあるの知ってる!」くらいのレベル モバイルアプリ開発において意識すべきセキュリティはある程度理解して実践している(セキュアコーディングガイド読んで実
Action needed for GitHub Desktop and Atom users
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
iOSのURLスキームを乗っ取る攻撃手法について解説
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
Ameba広告配信管理画面への不正アクセスについて
当社が管理するシステムにおいて、不正アクセスにより一部の内部情報が一時的にインターネット上に公開していたことをご報告するとともに、お詫びいたします。 【概要】 当社が管理するAWS上のシステムで使用しているアクセスキーとシークレットが不正に使用され、本環境に保存されているデータが一時的にインターネットからアクセス可能な状態になっておりました。 現在は全ての設定の見直しを行い、不正に登録されたアクセス制御に関わる情報を元の状態に復旧済みです。 【期間】 2020/04/04 23:20 ~ 2020/04/05 01:45 2020/04/05 21:45 ~ 2020/04/05 21:54 【影響を受けたサービスと対象の情報】 ・該当ユーザ数 1,027ユーザ ○Ameba Infeed及びAmebaDSP ・ログインに必要なユーザ名とパスワードのハッシュ値 (パスワード自体はその対象で
HTML 本当は怖い target="_blank" 。rel="noopener" ってなに? - かもメモ
WordPressの投稿で別ウィンドウで開くリンクtarget="_blank"を作成すると、 <a href="{URL}" target="_blank" rel="noopener">LINK TEXT</a> のようなrel="noopener"属性を持ったaタグが出力されます。 rel="noopener" の意味 1. target="_blank" のセキュリティ上の脆弱性の問題を避ける Without this, the new page can access your window object via window.opener. Thankfully the origin security model of the web prevents it reading your page, but no-thankfully some legacy APIs mean it
GoogleのreCAPTCHAはどうやって人間とボットを見分けているのか?
Googleが開発を進めるウェブサイトの認証システム「reCAPTCHA」は、人間とボットを区別するためのシステムです。これまでの人間とボットを見分けるシステムの多くは歪んだ文字を読んで手入力したり、条件にふさわしい画像を複数選択したりといった作業で見分けられていましたが、こうしたテストはユーザーにとって非常に煩わしいもの。そこで、Googleはクリック一発で文字入力も画像選択も不要なreCAPTCHAを開発しています。reCAPTCHAがいったいどういった仕組みで人間とボットを見分けているのか、ソフトウェア企業のSilktideのCEOであるOliver Emberton氏が解説しています。 `Oliver Emberton's answer to Why can't bots check “I am not a robot” checkboxes? - Quora https://ww
2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ
株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ 漏洩した情報は以下のように発表されています。 クレジットカード番号 有効期限 セキュリティコード はてなブックマークやtwitterのコメントを見ていると、「セキュリティコードを保存していたのか」という意見が見えますが、おそらくセキュリティコードは保存されていなかったと推測します。 本稿では、この件を含め、本年の現時点までのウェブサイトからのクレジットカード情報漏えい事件についてまとめました。 事件の一覧 下表に本年(2019年)の現時点までに公表されたウェブサ
ZOZOTOWNにあったXSS - Qiita
以下のようなURLでXSSができた。 http://zozo.jp/search/?sex=kids&dstk='}}; (JavaScript); {{' 画像↑のXSSは以下のような感じでできた。 http://zozo.jp/search/?sex=kids&dstk='}};$('img').attr('src', 'https://www.google.co.jp/images/branding/googlelogo/2x/googlelogo_color_272x92dp.png');{{' ログイン中に踏んだら強制退会できたXSS↓ http://zozo.jp/search/?sex=kids&dstk='}}; $.ajax({ type: 'GET', url: 'http://zozo.jp/_member/leave/default.html?', success:
LINE、サイバーエージェント、メルカリが語る。最強のセキュリティ組織 | mercan (メルカン)
お客さまが安心、安全にサービスを使えるようにする。メルカリグループにとって「セキュリティの高さ」は非常に重要なひとつのファクターです。セキュリティを高め、安心、安全を提供できてこそ、私たちもGo Bold(大胆)にアクションを起こせるというもの。 2017年11月、セキュリティチームを本格的に立ち上げ、セキュリティの向上に努めること約1年。さらなる「最高のセキュリティ」を目指すべく、2018年10月に、CSO(Chief Security Officer)として伊藤彰嗣がジョインしました。 かつてはプロゲーマーを目指していたという異例の経歴を持つ伊藤。高校卒業後は専門学校でコンピューターサイエンスを学び、2006年にサイボウズへ入社。品質保証担当者、カスタマーサポート、システムエンジニアを経て、クラウドサービスの品質保証責任者になった後、2011年にサイボウズ CSIRT(Cy-SIRT)
SEOポイズニングの手法を使用した偽ECサイトについて - tike blog
はじめに 今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。 recruit-tech.co.jp 脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。 同様の試みは、現在も活発に行われています。 本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。 SEOポイズニングの手法について 偽ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。 検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、
マンガワンのチート事案についてまとめてみた - piyolog
2019年4月12日、小学館の漫画アプリ「マンガワン」のデータを改変し課金対象となっていた利用制限時間を大幅に引き延ばしていたとして男性が書類送検されました。ここでは関連する情報をまとめます。 被害を受けた漫画アプリ manga-one.com 小学館が提供するAndroid,iOS対応の漫画購読アプリ 2014年12月からサービス提供。 Android版のインストール端末数は100万件以上。*1 アプリ改変の内容 Android版アプリの利用可能時間を改変し、実質制限を無効化する。 当時Android版は一定時間(1日20分間)無料閲覧でき、その後課金し継続閲覧する仕様だった。 男性が紹介したのはアプリ内包のXMLファイルの特定値を改変する方法。 特定値はベタ書きで、数字を増やすだけで利用制限時間が引き延ばされた。 2017年12月アップデートでAndroid版も閲覧可能数に制限が変更さ
FOLIOの情報戦略のこれから_-_情報システムを添えて.pdf
https://folio.connpass.com/event/109213/
Adiantum : 低廉な端末でも効率的に使える暗号化技術
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
ハニーポットで見る攻撃の検知傾向 〜秘密のファイル〜
2019年2月16日 【第4回】サイバーセキュリティ勉強会2019 in 塩尻 @morihi_soc #shiojiri_oss https://connpass.com/event/109559/
GuardDutyを使ったサイバー攻撃の検出と分析.pdf - Speaker Deck
みなさん、SOC(Security Operation Center)という言葉をご存知でしょうか。映画やアニメでよくある怪獣から攻撃を受けた作戦本部をイメージしてください。SOCはサイバー攻撃のアラートを受けるそれのようなものです。しかし、単にアラートを受けるといっても中々ハードルが高いのが現実です。ざっと思いつくだけでも、以下を考えなければいけません。 (1)どのログをとるのか、(2)どうやってログをとるのか、(3)どこにログを収集するのか、(4)どういった条件を満たしたらアラートとなるのか、(5)アラートを何処に飛ばすのか、(6)アラートをどう分析するのか、(7)対応をどう監査するのか、こういったことを自前で考えられる組織は少なく、セキュリティベンダに高額でアウトソースしているところは多いと思います。 昨年のAWS re:inventで発表されたGuardDutyは、そういった面倒な
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
宅配便の不在通知を装うニセSMS、フィッシング対策協議会が注意喚起
ニュース: LINE URLスキームの「line://」は非推奨になりました
https://yasslab.jp/ja/news/secure-programming-with-rails
TechCrunch | Startup and Technology News
reCAPTCHA
