手動診断による脆弱性診断スキルを獲得する、「Webアプリケーション脆弱性診断ガイドライン」公開!! #owaspjapan
JNSAのセキュリティオペレーションガイドラインWG(WG1)とOWASPJapan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」から「Webアプリケーション脆弱性診断ガイドライン」が4月24日に公開されました。 Webアプリケーションの脆弱性診断は、自動診断ツールを使った脆弱性診断だけでは十分な診断結果が得られず、手動診断を併用することが望ましいと考えられています。 とはいえ、手動診断は脆弱性診断士の経験やスキルによる診断能力の差違が生じてしまっているのが現状です。 そこで、脆弱性診断士スキルマッププロジェクトでは、最低限必要な診断項目や手順を定義することで、一定レベルの手動診断による脆弱性診断を行うことができるようになるための、「Webアプリケーション脆弱性診断ガイドライン」を公開しています。 脆弱性診断士スキルマッププロジェクトWebアプリケーション脆弱性
脆弱性検査・管理・評価ツールのF-Secure Radarの紹介 | DevelopersIO
こんにちは、臼田です。 先日セキュリティベンダーであるエフセキュア株式会社様が当社パートナー企業になりました。 エフセキュア様は様々なセキュリティ商材を取り扱っており、弊社では以前Windows サーバ セキュリティ スタンダードを利用したことがありました。 F-Secure Windows サーバ セキュリティ スタンダードをEC2 Windowsへ導入して、検知テストしてみた。 そして、今回はエフセキュア様の新しい製品であります F-Secure Radarを検証しておりますので、こちらをご紹介したいと思います。 F-Secure Radarとは Radarは脆弱性検査のツールです。 しかしただ脆弱性が検査できるだけではなく、脆弱性を管理・評価することも出来ます。 といってもよくわからないと思いますので、下図をご覧ください。 こちらはRadarの検知している脆弱性の推移のグラフです。
新入社員のためのWAF(Web Application Firewall)入門 | DevelopersIO
佐々木です。クラスメソッドも4月から新しい仲間が増えました。今日はWAF(Web Application Firewall)の基本的な知識を整理してみました。 基礎知識 WAFとは WAF(Web Application Firewall)とは、Webアプリケーションの脆弱性を狙う悪意ある通信(攻撃)から、Webアプリケーションを保護するものです。本来論で言えば、Webアプリケーションに脆弱性があるのであればWebアプリケーションを修正するのが正しい対応です。しかし未知の脆弱性があったり、修正コストが大きくWebアプリケーションでの対応が難しい場合や、緊急度が高くすぐに防御しなければならないが修正が間に合わない場合も、残念ながらあります。ユーザーとWebアプリケーションの間にWAFを入れることで、悪意ある通信を防ぐことが出来ます。 ファイアウォールとは ファイアウォールは、IPヘッダやTC
情報セキュリティポリシーサンプル改版
情報セキュリティポリシーサンプル改版(1.0版) (西日本支部 中小企業向け情報セキュリティポリシーサンプル作成ワーキンググループ) はじめに 情報セキュリティポリシーサンプル0.92a版は、2002年の作成から12年以上を経過して今なお、JNSAの公開サイトへのアクセスが毎月 1000件を超えており、改訂の要望が多く寄せられています。 また、スマートデバイスやクラウド、SNSといった新しい技術やサービスの登場や、国際標準のISO/IEC27001:2013、ISO/IEC27002:2013の更新など、環境が変化している現状から、JNSA西日本支部では情報セキュリティポリシーサンプルの0.92a版を元に改訂作業を行い、情報セキュリティポリシーサンプル1.0版として公開いたします。 情報セキュリティポリシーサンプル改版(1.0版)概要 今回の情報セキュリティポリシーサンプル改版のポイントお
OWASP DAY 2016 Spring MINI Hardening writeup(?) - yuta1024's diary
同期から教えてもらって Hardening に参加できたらいいなー, と思ってポチったら無事当選でき参加してきた. チーム 4人1チームだったのだけれど,1人は最初からメールの返信もなく,当日も現れなかった…. 偶然なのか何なのか同じ会社の人もチームメンバーでとても驚いた. シナリオ 与えられたシナリオは簡単にはざっと以下のような感じ(足りないとこもありそう). LAMP 環境の Web サイトが与えられる Web サイトは Wordpress で構築されている FTP を使ってサイトのファイルを更新している IT 担当のアカウントが3つ転がっている 競技者は unyou アカウント or 自分で作ったアカウントを利用する 採点は, ftp や http などが上がってるかどうかで(全部で4つあった), 前のスクリーンに映しだされていたが,小さくてよく見えなかった. とりあえず自分のチーム
OWASP ZAPではじめる2016年のウェブアプリケーションセキュリティ | gihyo.jp
新年明けましておめでとうございます。昨年は年金機構への標的型攻撃による個人情報の漏えいを筆頭に、セキュリティに関する報道が毎日のように世間を騒がしていました。特にウェブにおいてはHTTP.sysの脆弱性やFlashの脆弱性などが発見されたり、継続して標的型攻撃やパスワードリスト攻撃などの攻撃も繰り返されています。 ウェブの普及に伴い、攻撃を受ける可能性のあるインタフェースが増加し、その攻撃対象も企業から個人まで幅広くなりつつあります。これらの攻撃による情報漏えいやインシデント等の発生から身を守る術、すなわち情報セキュリティを身につけ、自らの情報を自らの手で守り抜くことが求められています。全ての人にとって情報セキュリティへの理解を深めることは課題であると言えます。 OWASPとは このような背景の下、ウェブアプリケーションを作成する開発者や、ウェブアプリケーションに関わる意思決定を行う方々に
ハードニングプロジェクト - Hardening Project | Hardening Project
Hardening Project – 「衛る技術」の価値を最大化することを目指す、10年続くセキュリティ・プロジェクト Hardening Project(ハードニングプロジェクト)とは、セキュリティ堅牢化競技会である「ハードニング競技会」をデザインし、実現するボランティア・プロジェクトです。2012年を皮切りに、毎年継続して開催してきました。 このプロジェクトは、サイバー攻撃により不安に満ちたインターネット社会において、最高の「衛る」ための施策、すなわち技術面と適用の施策を見極める目を持つスペシャリストを発掘・顕彰してきました。サイバーセキュリティの実践力を強力に向上することが目的です。 ハードニング競技会 – 未知の課題を解決する個々の力を引き出し、かつ全体の学びを最大化するためのデザイン ハードニング競技会は、脆弱性の潜むビジネスシステム(ECサイトなど)へのハードニング(堅牢化)
「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目
「これさえしておけば助かったのに……」を避けるため、今すぐ確認すべき7項目:川口洋のセキュリティ・プライベート・アイズ(52)(1/2 ページ) 全国各地から寄せられるセキュリティインシデントに関する相談の中には「これさえ設定していれば軽い被害で済んだのに」「ここだけでも把握できていれば早く対応できたのに」というケースが数多くあります。そうした残念な状況に陥らないようにするための7つのポイントを紹介しましょう。 連載目次 相変わらず絶えないセキュリティインシデントに関する相談 皆さんこんにちは、川口です。大変ご無沙汰しています。久々に書くコラムが、年を越して2015年になってしまいました。今年もよろしくお願いします。 相変わらず全国各地からセキュリティに関するお悩み相談を受けることが多く、世の中では今も多数のセキュリティインシデントが発生していることを痛感しています。その相談の中には「これ
5分でわかる正しい Web サイト常時 SSL 化のための基礎知識
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
Webプラットフォームのセキュリティ
4. 事前学習を振り返る • HSTSを元に次のような問題点を考察した その技術では解決できない問題 端末時刻の改ざんによるHSTSの強制失効 その技術の導入により新たに生じる問題 HSTSを用いたユーザー追跡 (HSTS Supercookies) 実装の誤りに起因する問題 指定を誤るとHTTPS非対応のサブドメインがアクセス不能に 仕様上既定されていない振る舞い HSTSはWebSocket(ws:)にも適用されるのか? CVE-2015-1244: Chrome でWebSocketにHSTSが適用されない HSTSはプライバシーモードにも引き継ぐのか? またその逆は? 7. 私の戦歴(参考) • 次のような仕様不備を脆弱性として指摘してきた ChromeのCSP違反レポートの送信先が<base>で制御できる https://crbug.com/431218 ChromeのHTML
ノートンブログ - ヒント、教育、FAQへの回答
若い世代を中心に人気のティックトック(Tik Tok)について、そこに潜んでいる危険性と、その危険性に適切に対処する方法を解説します。
あなたのWebサービスは狙われている!最低限押さえておきたいセキュリティ対策 | 株式会社LIG(リグ)|DX支援・システム開発・Web制作
最近上京してきたんだけど、入谷から会社までくるのに徒歩10分の道のりで迷子になっちゃって、なんか知らない間に浅草の方まで行っちゃって、会社に遅刻しちゃって、東京ってマジ迷路だよね。あ、どうも、僕です。 今日はWebサービスを開発する上で最低限おさえておきたいセキュリティ対策について書こうと思うよ! セキュリティホールって、 案外簡単な見逃しでできちゃうんだよね。 バリバリのハッカーしかハッキングなんてしないから、 うちのサイトは安全だなんて思ってたら大間違いだよ! 今回は、その攻撃方法と、 それを防ぐための対策方法をセットにして書こうと思うよ! 最低限、これだけは守っとかないと、 あなたのWebサービス、攻撃されちゃうよ! ちなみに、言語はPHPを例とするよ! ほかの言語にも当てはまるから、 攻撃方法と対策をセットで頭に入れておくこと! クロスサイトスクリプティング (XSS) よくきくよ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
被害の前に!Macを買ったら絶対にやるべき10の無料セキュリティ対策
情報処理システム高信頼化教訓のリンク集(ITサービス編) | アーカイブ | IPA 独立行政法人 情報処理推進機構
まとめよう、あつまろう - Togetter
Owasp Dev Guide
セキュリティ対策情報 | セキュリティ対策のラック