2024/10/5 YAPC::Hakodate 2024
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
Webセキュリティのあるきかた
2024/10/5 YAPC::Hakodate 2024
三井物産セキュアディレクション株式会社(本社:東京都中央区、代表取締役社長:鈴木大山、以下 MBSD) は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティに興味のある方など、自身のWebセキュリティに関する技術力を確かめるために無償で利用することができます。腕試し結果はスコアで表示され、他の参加者のスコアと比較することができます。 ■MBSD Secu-ciseの概要 MBSD Secu-ciseはクラウド上に構築された環境となっており、インターネット経由で誰でも参加することが可能です。課題は全7問あり、課題の内容はWebアプリケーション診断の実案件で発生した事象を題材にしています。 ■開発者の想い この度公開さ
Webセキュリティ技術のキャッチアップ
[RSJ24] Task Success Prediction for Open-Vocabulary Manipulation Based on Multi-Level Aligned Representations
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
Product Security Casual Talk #1 - Datadog を使ったセキュリティモニタリングと 自動化の取り組み
マクロな視点から捉える Web セキュリティ / Web Security from the Macro Perspective
セキュリティ・キャンプ全国大会 2020 オンラインの 講義 B7 「マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価」のスライドです。 発表者の情報: https://shift-js.info Twitter: htt…
2022年12月26日 12時00分更新 文●EGセキュアソリューションズ株式会社 取締役CTO 徳丸 浩 編集●MOVIEW 清水 こんにちは。「KUSANAGI」の開発チームで取締役をしている相原です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のWebサイトを「KUSANAGI」で運用しています。 この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。 今年もあとわずかとなってきました。連載25回目は、Webセキュリティの大家でプライム・ストラテジーの顧問でもある徳丸 浩先生に「Webセキュリティの2022年の振り返り」と題して寄稿をいただきました。今年を振り返りつつ、来年からのセキュリティに
2020/10/18 @ SECCON Beginners Live
元記事 https://yamdas.hatenablog.com/entry/20210420/top-cybersecurity-experts Webセキュリティに関連して有益なことを日本語でTweetしてる/日本語で返事してくれる人たち。他にもたくさんいると思うけど。 @kazuho @kinugawamasato @kinyuka @flano_yuki @jovi0608 @ockeghem @agektmr @bulkneets @azu_re @lmt_swallow @Ga_ryo_ @tyage @knqyf263 @teppeis @shhnjk @jingbay「あの人が入ってない!」っていうのは、その思い描いた「あの人」がこの記事を書いたからです、きっと。
Webセキュリティ最大のリスクにAIで立ち向かう。Shisho Cloud 認可制御診断機能の技術的解説 - GMO Flatt Security Blog
はじめに GMO Flatt Security は2025年3月5日「認可制御不備を検知できる自動診断機能」をリリースしました。 「Shisho Cloud byGMO」の認可制御診断でできること ロールベースアクセス制御も、マルチテナントアプリケーションの認可制御も、Shisho Cloudで自動診断 認可制御診断のセットアップはShisho AIで一瞬 Shisho AIがアプリケーションの仕様を把握し、権限ごとに可能な操作を一覧化した権限マトリクスを自動で作成 認可制御不備にすぐ気付ける 見つかった認可制御不備がダッシュボードで一目で分かる 新規アラートのSlack通知も可能 開発サイクルに合わせた頻度で継続的に診断 アジャイル開発で随時追加・変更されていく機能にも、正しく認可制御を実装できているかを、機能リリースの度に洗い出し可能 従来の認可制御診断と新世代の認可制御診断 従来の認
おうちでキャンプ: 2019 年全国大会「体系的に学ぶモダン Web セキュリティ」 - セキュリティ・キャンプ ブログ
はじめに セキュリティ・キャンプ協議会企画グループの米内です。 今回はおうちでキャンプの第二段として、セキュリティ・キャンプ全国大会 2019 で提供した講義「体系的に学ぶモダン Web セキュリティ」を少しだけアップデートしたものを公開します。 ぜひ自宅での学習にご利用ください。 なお本資料・演習は一部攻撃手法の歴史に関する言及を含んでいます。 しかしこれは Web クライアントサイドにおけるセキュリティ機能の必要性をよりよく理解していただくためのものです。 当然ながら違法行為を助長するものではありません。 本資料・演習がよりセキュアな世の中を作っていくための一助となるのであれば幸いです。 公開物 先だっての講義で使用したスライドに一部修正を加えたものを以下にて公開しました。 このスライドは主に Web クライアントサイドの基礎的なセキュリティ機能・攻撃技術の発展を大まかに眺めていく、と
DevSecOps勉強会はアプリケーションセキュリティに関する知見やノウハウ共有の場です。第1回目はyamoryチームの佐々木氏がセキュアにすることを容易にするツールであるOWASP ASVSについて解説とトライを共有しました。 Webセキュリティのモヤモヤを解消する佐々木 氏(以下、佐々木):それでは始めます。本日は「セキュアなWebアプリケーションとは何か?」について、私佐々木から発表いたします。 前半は、なぜこのテーマを取り上げたのかという背景と目的を説明します。その上で、セキュアにすることがなぜ難しいのかということについて考察した結果を共有します。後半はセキュアにすることを容易にするツールであるOWASP ASVSについて解説し、実際に始めてみるということに関して、yamoryでのトライを簡単に共有します。 それではさっそく本題に入ります。まず、なぜこのテーマを取り上げたのかについ
お久しぶりです。最近セキュリティ・キャンプ全国大会 2022 オンラインという合宿イベントの中の、1 つのクラス(Web セキュリティクラス)の †プロデューサー† をしたのですが、思い出せる範囲で、このクラスに関する種々の記録を残しておこうという気分になりました。推敲は特にしないままで公開するので、誤字脱字やぶち壊れた論理などにはご容赦ください。 セキュリティ・キャンプ全国大会の概要 セキュリティ・キャンプ全国大会とは、「次代を担う情報セキュリティ人材を発掘・育成」を目的として、一般社団法人セキュリティ・キャンプ協議会と独立行政法人情報処理推進機構(IPA)が中心となって実施しているイベントです。 このイベントは参加枠が限られており、参加のためには例年高倍率の選考をくぐり抜ける必要があります。その代わりに、受講料や教材費などの負担なく、業界の先端に立つプレイヤーから質の高い講義を受けられ
初心者に優しいWebセキュリティの学習方法まとめ!参考書籍やサイトを厳選して紹介 - paiza times
法人や個人を問わず、当然のようにWebサイトが利用される時代となりました。しかし、セキュリティのリスクが存在しており、仕事でWebセキュリティの知識が求められるケースは珍しくありません。今回は、初心者に優しいWebセキュリティの学習方法をご紹介していきます。 Webセキュリティの学習ロードマップ 機械学習の学習ロードマップ 初心者が知っておきたいWebセキュリティの基礎知識 基礎知識(1)Webセキュリティの重要性 基礎知識(2)Webセキュリティを活かせる仕事 初心者におすすめのWebセキュリティの学習方法①:Webサイトで学ぶ 初心者の学習におすすめのWebサイト(1)paizaラーニング 初心者の学習におすすめのWebサイト(2)国民のための情報セキュリティサイト 初心者の学習におすすめのWebサイト(3)RedSecurity 初心者におすすめのWebセキュリティの学習方法②:入門
【開催報告】最新のサイバー攻撃の現状と Web セキュリティ対策 (WAF/DDoS 対策) 実例セミナー (2023年版) | Amazon Web Services
Amazon Web Services ブログ 【開催報告】最新のサイバー攻撃の現状と Web セキュリティ対策 (WAF/DDoS 対策) 実例セミナー (2023年版) 2023/08/10 に「最新のサイバー攻撃の現状と Web セキュリティ対策 (WAF/DDoS対策) 実例セミナー」を開催いたしました。このセミナーでは最新のサイバー攻撃の現状および AWS が提供する Web セキュリティ対策サービスを AWS からご紹介し、AWS のサービスを組み合わせて、どのように Web セキュリティ対策を講じたかをお客様よりご説明いただきました。 それではここから当日のセッション内容について簡単にご紹介していきます。 2023第一四半期サイバー攻撃動向アップデート : 動画 アマゾン ウェブ サービス ジャパン合同会社 Edge Services ソリューションアーキテクト マネージャー
IT Leaders トップ > テクノロジー一覧 > セキュリティ > 市場動向 > PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 セキュリティ セキュリティ記事一覧へ [市場動向] PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 2020年7月15日(水)日川 佳三(IT Leaders編集部) リスト 一般社団法人BOSS-CON JAPANの内部組織であるPHP技術者認定機構は2020年7月15日、Webセキュリティの実務知識を問う試験「ウェブ・セキュリティ実務知識試験」(通称:徳丸実務試験)を2021年4月から開始すると発表した。本試験に先立ち、ベータ試験を2020年12月に実施する。試験問題はEGセキュアソリューションズ(代表:徳丸浩)が作成する。 ウェブ・セキュリティ実務知識試験は、Webセキュリティの実務知識を問
徳丸先生に聴く!Webセキュリティの学び方
徳丸さん (@ockeghem) と一緒に、セキュリティの学び方、個人開発時の注意点、Ruby on Rails の特長、SPA の話などをしました! 👤 ゲスト:徳丸 浩さん https://twitter.com/ockeghem 🦻 聴き手:安川 要平 https://twitter.com/yasulab 📜 note記事で読む → https://note.com/yasslab/n/nd514c04e1849 ↓ 徳丸先生のYouTubeチャンネルはコチラから! https://www.youtube.com/channel/UCLNW6Bo_YU3TxnzsII2gEDA EGセキュアソリューションズ株式会社 https://www.eg-secure.co.jp/ 【動画目次】 0:00 はじめに 0:22 徳丸先生の学び歴 2:03 徳丸先生との関わり 4:
【開催報告】最新のサイバー攻撃の現状とWebセキュリティ対策(WAF/DDoS対策)実例セミナー | Amazon Web Services
Amazon Web Services ブログ 【開催報告】最新のサイバー攻撃の現状とWebセキュリティ対策(WAF/DDoS対策)実例セミナー 2022/09/15 に「最新のサイバー攻撃の現状と Web セキュリティ対策 (WAF/DDoS対策) 実例セミナー」を開催いたしました。このセミナーでは最新のサイバー攻撃の現状および AWS が提供する Web セキュリティ対策サービスを AWS からご紹介し、AWSのサービスを組み合わせて、どのように Web セキュリティ対策を講じたかをお客様よりご説明いただきました。 それではここから当日のセッション内容について簡単にご紹介していきます。 2022 年上半期における DDoS/Web アプリケーションに対する攻撃動向 アマゾン ウェブ サービス ジャパン合同会社 Edge Services ソリューションアーキテクト マネージャー 中谷
Qiitaで「MozillaのWebセキュリティガイドラインが中々良かった話」という記事を書きました - Sassyブログ
どうもSassyです。 最近Qiita始めました。(今更という感じですが…) 最近はWebセキュリティを勉強したくて色々キャッチアップしたりしてまして、 MozillaのWebセキュリティガイドラインを読み中々よかったので記事にしてみました。 qiita.com 良ければ読んでください。
4月27日〜『Wizard Bible事件から考えるサイバーセキュリティ』という新しい本のクラウドファンディングが始まります。同人誌『Webセキュリティのミライ 不正指令電磁的記録問題に寄せて』を大幅バージョンアップし書籍化するプロジェクト。今回の本は私と @ipusiron さんの共著企画です! #技術書典
齊藤貴義@サイバーメガネ@練馬区光が丘と福島県相馬市で働くWebエンジニア@ChatGPT開発受託中 @miraihack 単著『スクレイピング・ハッキング・ラボ』(インプレスR&D) 職歴:メディカルネット→ティーカップ→インフォバーン→feedpath→オールアバウト→手嶋屋→ライブドア→enish→フルスピード→他。高校生クイズ選手権全国大会出場。Linuxユーザー。はてなブロガー。バツイチ。渋谷と福島県相馬市の2拠点生活。 hatebu.jp 齊藤貴義@サイバーメガネ@練馬区光が丘と福島県相馬市で働くWebエンジニア@ChatGPT開発受託中 @miraihack インプレスR&D『スクレイピング・ハッキング・ラボ』本日より発売となりました。AmazonのKindle版もダウンロードできる状態です。同人誌版より更に画像のスクレイピング、プロキシやTorを使った匿名スクレイピング、P
実演動画あり!CORS設定の不備によって起きる問題とは | クラウド型Webセキュリティ診断ツール - Securify
CORSとは? CORSとは、オリジン間リソース共有(Cross-Origin Resource Sharing)の略称で、異なるオリジン間でデータや画像、およびスクリプトファイルなどを共有する仕組みです。なお、CORSはオリジン(Origin)単位でコントロールします。このオリジンはURLやドメイン名と混合しやすいため、間違えて解説などに使われているケースがありますが、正しくは以下の通りとなります。 URL scheme://host:port/path/file Origin scheme://host:port URLはリソースの位置を表すため、該当ファイルのパス名までを含みますが、オリジンは通信ルールおよびホスト名(インターネット上に公開している場合はドメイン名)とポート番号までの組み合わせを単位とします。 また、CORSでは基本的に同一のオリジンか、そうでないかの差異によってコン
10月3日15時プレミア公開:「デジタルの日」賛同企画~WEBセキュリティ専門家・徳丸浩が最近のセキュリティトピックに対する考え方を語る~ - YouTube
「デジタルの日」の今年のテーマは「ふれよう!#デジタルのチカラ」。 そこで最新のセキュリティニュースやトレンドに触れながら、セキュリティの最新知識を学ぶとともに、昨今のセキュリティトピックに対しWEBセキュリティ専門家・徳丸浩が何を思っているのか、考え方に触れる動画を配信いたします。 セキュリティフリーライターの高橋睦美様をお迎えし、それぞれの考え方を語り合うライブ感あふれる動画を公開いたします。事前収録動画の配信となりますが、当日はYouTubeのプレミア公開を行い、リアルタイムで視聴者の皆様の質問にもお答えしますので、ぜひご参加ください! 10月3日(月) 14:58まで 予告編 14:58~15:00 カウントダウン 15:00~プレミア公開 おおまかなアジェンダ - セキュリティはイタチごっこって本当か? - 中小企業のセキュリティ対策どうしたらいい? - コンプライアンス偏重
インジェクション 「インジェクション」は、URLやWebサイトの文字入力欄(ログイン欄・検索窓など)に、OSコマンドやSQL文等の各種実行文を紛れ込ませるかたちで入力し、Webアプリケーションが意図せず実行してしまう攻撃手法を指す。攻撃を受けると、データベース内の情報が攻撃者の画面に表示されてしまったり、サービスが停止してしまったり、ということが考えられる。 徳丸氏は「インジェクション攻撃の多くはSQLインジェクションが占める」としたうえで、対策として「安全な開発用APIを使用することを推奨する」と述べた。具体的にはプレースホルダを使うことやORMライブラリを使用すること、文字列結合でSQL文を作成しないことなどが対策になるとした。 安全でない設計 「安全でない設計」のカテゴリーは、さまざまなシチュエーションが考えられるが、徳丸氏はOWASPに記載されている「攻撃シナリオの例」から次の3つ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webセキュリティ腕試しサイトを無償公開 | News | 三井物産セキュアディレクション株式会社
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
![[MCP再入門]「MCPはAIアプリにとってのUSB-C」がしっくりこなかったあなたに - Qiita](https://b.st-hatena.com/036900490fafa305b37072668999e0f3ab077a5f/images/v4/public/common/noimage.png)
Web セキュリティ研修 / GMO ペパボ 新卒研修 2021
Webセキュリティの2022年の振り返り
Beginners CTF 2020で学ぶWebセキュリティ(入門編)
TwitterでフォローすべきWebセキュリティの専門家リストを日本で選ぶなら?
Webセキュリティの“モヤモヤ”の正体はなに? セキュアの共通認識を形成する「OWASP ASVS」 | ログミーBusiness
セキュリティ・キャンプ全国大会2022オンライン Web セキュリティクラスのプロデュース後日談
PHP技術者認定機構、Webセキュリティの実務知識試験を2021年4月に開始 | IT Leaders
OWASP Top 10からひも解くリスクを専門家が解説 - Webセキュリティ担当者必見!
www.yomiuri.co.jp
www.smartnews.com
news.yahoo.co.jp
kabutan.jp
www.newsweekjapan.jp/headlines
kabutan.jp