Cloud Controls Matrix and CAIQ v4 | CSA
The Cloud Controls Matrix (CCM) is a cybersecurity control framework for cloud computing aligned to the CSA best practices, that is considered the de-facto standard for cloud security and privacy. The accompanying questionnaire, CAIQ, provides a set of “yes or no” questions based on the security controls in the CCM. You can now download the CCM and CAIQ together.
Building resilient private APIs using Amazon API Gateway | Amazon Web Services
AWS Compute Blog Building resilient private APIs using Amazon API Gateway This post written by Giedrius Praspaliauskas, Senior Solutions Architect, Serverless. Modern architectures meet recovery objectives (recovery time objective, RTO, and recovery point objective, RPO) by being resilient to routine and unexpected infrastructure disruptions. Depending on the recovery objectives and regulatory req
OSCP: ペネトレーションテストの実践的な資格を取った話 - ommadawn46's blog
はじめに 本記事は Recruit Engineers Advent Calendar 2020 の6日目にあたる記事です。 先日、Offensive Security Certified Professional (OSCP) という倫理的ハッキング技術に関する資格を取得しました。最近、日本でもこの資格の人気が高まっているような印象を受けますが、OSCPに関する日本語の情報はまだまだ少ないようです。今後受ける人の参考になればと思い、本記事ではOSCPに関する以下の事項についてお話したいと思います。 PWKコースとOSCP試験がどういう内容で、どんな人におすすめか 受ける前にどんな準備をすれば良いか 実際にPWK / OSCPを進める際に役に立つ情報 筆者のOSCP受験記 この記事では、まず「OSCPとは何か」を知りたい人のために一般的な説明をしています。その後、「OSCPを受けようか悩ん
GitHub - aquasecurity/tfsec: Security scanner for your Terraform code
As part of our goal to provide a comprehensive open source security solution for all, we have been consolidating all of our scanning-related efforts in one place, and that is Trivy. Over the past year, tfsec has laid the foundations to Trivy's IaC & misconfigurations scanning capabilities, including Terraform scanning, which has been natively supported in Trivy for a long time now. Going forward w
OWASP「アプリケーションセキュリティ検証標準 4.0」の日本語邦訳文書公開について | CSAJ 一般社団法人コンピュータソフトウェア協会
一般社団法人コンピュータソフトウェア協会(東京都港区赤坂、会長:荻原紀男、株式会社豆蔵ホールディングス 代表取締役会長兼社長、以下「CSAJ」)は、Software ISAC(代表:萩原健太、グローバルセキュリティエキスパート株式会社)で実施した「OWASP アプリケーションセキュリティ検証標準4.0」の日本語邦訳文書を公開しました。 OWASPアプリケーションセキュリティ検証標準(以下「ASVS」)は、アーキテクト、開発者、テスター、セキュリティ専門家、ツールベンダ、アプリケーション利用者などが、最新のWebアプリケーションおよびWebサービスを設計、開発、テストする際に必要となる、機能的および非機能的なセキュリティ対策の定義に焦点を当てた、セキュリティ要件や対策の枠組みを確立するためのドキュメントです。 OWASPの長年にわたる取り組みとASVSを利用する業界からのフィードバックの集大
セキュアな Web アプリケーションを作るには? Vol.01 OWASP ASVS 4.0.1 編 | yamory Blog
セキュアな開発推進の助けになる「ASVS」の概要と yamory の見解についてご紹介します。
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
ブラウザ セキュリティの近状
7月中旬からEdgeのセキュリティの仕事を始めて、各ブラウザごとに面白いセキュリティの対策をしていることを学んだのでまとめてみる。ちなみに、僕が担当しているのはSOPバイパスなどのデザインレベルのバグですが、最近のブラウザ セキュリティで各社アツいのは「メモリ破壊を使った攻撃を設計レベルでどの様に悪用出来なくするか」という点なのでそこをまとめます。専門ではないので広く浅く(笑) Chrome Chromeはブラウザのサンドボックスに力を入れているブラウザです。Chromeの報奨金制度でもサンドボックスのバイパスが最高額で、レンダラRCEの倍額であることからも見てとれます。Chromeはそのサンドボックス技術を使ったSite Isolationという保護機能を開発しています。 Site Isolation Chromeにはレンダラプロセスというウェブページを処理し表示するプロセスと、ブラウザ
Site Isolation
Overview Site Isolation is a security feature in Chrome that offers additional protection against some types of security bugs. It uses Chrome's sandbox to make it harder for untrustworthy websites to access or steal information from your accounts on other websites. Websites are typically not allowed to access each other's data inside the browser, thanks to code that enforces the Same Origin Policy
A year with Spectre: a V8 perspective · V8
Show navigation On January 3, 2018, Google Project Zero and others disclosed the first three of a new class of vulnerabilities that affect CPUs that perform speculative execution, dubbed Spectre and Meltdown. Using the speculative execution mechanisms of CPUs, an attacker could temporarily bypass both implicit and explicit safety checks in code that prevent programs from reading unauthorized data
Protect your resources from web attacks with Fetch Metadata | Articles | web.dev
Protect your resources from web attacks with Fetch Metadata Stay organized with collections Save and categorize content based on your preferences. Why should you care about isolating your web resources? Many web applications are vulnerable to cross-origin attacks like cross-site request forgery (CSRF), cross-site script inclusion (XSSI), timing attacks, cross-origin information leaks or speculativ
OAuth 2.0 Security Best Current Practice
Web Authorization Protocol T. Lodderstedt Internet-Draft yes.com Intended status: Best Current Practice J. Bradley Expires: January 9, 2020 Yubico A. Labunets Facebook D. Fett yes.com July 8, 2019 OAuth 2.0 Security Best Current Practice draft-ietf-oauth-security-topics-13 Abstract This document describes best current security practice for OAuth 2.0. It updates and extends the OAuth 2.0 Security T
Web Mitigation Metrics
§ Content Security Policy We believe that a carefully-crafted Content Security Policy can help protect web applications from injection attacks that would otherwise lead to script execution. Strict CSP is a reasonable approach, one which we'd like to encourage. The data below is gathered from Chrome's usage statistics, and represents the percentage of Chrome page loads that use CSP at all, that def
JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方 - r-weblife
こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。 とりあえずライブラリ使えで終わりでは? JWTを扱うためには 各種暗号化処理 JSON, Base64URLエンコード/デコード あたりの処理が必要です。 関連仕様がRFC化されてからある程度時間も経っており、各言語で仕様を忠実に実装されたものから自身が使う機能をピンポイントで抽出して実装したものまで様々なライブラリが存在します。 ここで、 仕様に忠実に、全ての暗号化処理をサポートするライブラリ を使うだけで、誰もが安心、安全に利用できるかと言うと、そうでもないことは想像できるでしょう。 JWTの各種仕様とは別で最近RFC化された "
GitHub - prowler-cloud/prowler: Prowler is an Open Source Security tool for AWS, Azure, GCP and Kubernetes to do security assessments, audits, incident response, compliance, continuous monitoring, hardening and forensics readiness. Includes CIS, NIST 800,
Prowler is an Open Source Security tool for AWS, Azure, GCP and Kubernetes to do security assessments, audits, incident response, compliance, continuous monitoring, hardening and forensics readiness. Includes CIS, NIST 800, NIST CSF, CISA, FedRAMP, PCI-DSS, GDPR, HIPAA, FFIEC, SOC2, GXP, Well-Architected Security, ENS and more
GitHub - sundowndev/hacker-roadmap: A collection of hacking tools, resources and references to practice ethical hacking.
Infosec: Information security, which is the practice of preventing unauthorized access, use, disclosure, disruption, modification, inspection, recording or destruction of information. The information or data may take any form, e.g. electronic or physical. Infosec can also be a person who practices ethical security. Wikipedia Opsec: Operations security, which is a process that identifies critical i
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - messense/nh3: Python binding to Ammonia HTML sanitizer Rust crate
ちいさな Web ブラウザを作ってみよう
Alexander Clouter / oauth2-worker
GitHub - google/tsunami-security-scanner: Tsunami is a general purpose network security scanner with an extensible plugin system for detecting high severity vulnerabilities with high confidence.
