PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。
![CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection](https://cdn-ak-scissors.b.st-hatena.com/image/square/16941b80c8ebaf4eb666f4fc7709aea8dcca2b34/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F3b096a2496354773a9e2a6184240db8b%2Fslide_0.jpg%3F29217169)
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ
新年あけましておめでとうございます。毎年年頭に更新している「私の情報収集法」を今年も公開します。何かの参考になれば幸いです。 インプットで参照している情報源(海外) 海外からの攻撃が主流となる中、海外情報をいち早く把握する事の重要性が増しています。去年に引き続き、今年も絶対外したくない海外サイトからご紹介します。 サイト キタきつね寸評 1位 morningstar SECURITY 不動の1位です。ジャンルの広さ、情報の更新頻度、関連ソースの網羅性など、英語系のセキュリティニュースとしては群を抜いた、最良のまとめサイトです。 私は「Daily Security News(最も人気のあるセキュリティニュース)」(一番上)と「Security Blogs(セキュリティブログ)」(下から3つ目)を主にチェックしていますが、人によって興味が違うかと思いますので、「Malware/APT」「Exp
JSON { "Name": "BasicAuthRule", "Priority": 0, "Statement": { "NotStatement": { "Statement": { "ByteMatchStatement": { "SearchString": "Basic XXXXXXXXXX", "FieldToMatch": { "SingleHeader": { "Name": "authorization" } }, "TextTransformations": [ { "Priority": 0, "Type": "NONE" } ], "PositionalConstraint": "EXACTLY" } } } }, "Action": { "Block": { "CustomResponse": { "ResponseCode": 401, "ResponseHe
lcamtuf.coredump.cx Hot off the presses Weekly articles on Substack - electronics, CS, and more. Subscribe or browse a thematic catalog, Sir Box-a-Lot and Bob the Cat: two spiffy, retro handheld games for the entire family, Photography for geeks, a contrarian introduction to taking good pictures (also translated to German), Practical Doomsday, a thought-provoking book on threat modeling for everyd
Purism respects your digital lifeBeing a social purpose company means doing social good for society before maximizing profits, and that makes us quite a different company indeed. Librem 5A Security & Privacy Focused Phone The Librem 5 is the original Linux kernel based phone produced by Purism with 3GB of memory and 32GB of storage. Starting at $699.
Flexible, fine-grained control for administrators across the stack Stop using a different policy language, policy model, and policy API for every product and service you use. Use OPA for a unified toolset and framework for policy across the cloud native stack. Whether for one service or for all your services, use OPA to decouple policy from the service's code so you can release, analyze, and revie
ほとんどサービス動いてないサーバが急にメモリ使用率の警告出したので調べて見たら、1日に30MBくらい、1ヵ月で1GBくらいジワジワとSystemdがメモリリークしていたという話です。 事象 Systemdが異常にメモリを使っている。 $ ps aux | head USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.2 60.9 2327496 2207392 ? Ss 1月15 191:31 /usr/lib/systemd/systemd --switched-root --system --deserialize 21 root 2 0.0 0.0 0 0 ? S 1月15 0:00 [kthreadd] ... 何も動いていないのに2GBも何に使っているの?となった。 原因 結論から言うと、こちらのバグが原
I was reading an article from Brian Krebs about the Real Jokers Stash and the crazy stuff that goes into the darkweb / cybercrime forums that sell and buy credit cards and personal information online. Reading through his site, I also found an interesting article about typo domains redirecting visitors to a "crap load of bad content" (if I have to say it nicely). A group of criminals registered dom
WireGuard® is an extremely simple yet fast and modern VPN that utilizes state-of-the-art cryptography. It aims to be faster, simpler, leaner, and more useful than IPsec, while avoiding the massive headache. It intends to be considerably more performant than OpenVPN. WireGuard is designed as a general purpose VPN for running on embedded interfaces and super computers alike, fit for many different c
This wiki's mission is to be a one stop resource for fully identifying, exploiting, and escalating SQL injection vulnerabilities across various Database Management Systems (DBMS). This wiki assumes you have a basic understanding of SQL injection, please go here for an introduction if you are unfamiliar. Below is an outline of the wiki's structure, laid out in the order of a normal escalation path.
Orchestrate threat intelligence and enforce new prevention-based controls. In order to prevent successful cyberattacks, many organizations collect indicators of compromise (IOCs) from various threat intelligence providers with the intent of creating new controls for their security devices. Unfortunately, legacy approaches to aggregation and enforcement are highly manual in nature, often creating c
Docker を Kubernetes や Swarm でサービスを実行する場合は JSON や YAML などで事前に定義したものを実行するだけなので知っているけどそれほど脅威ではありませんでしたが docker を便利コマンドや batch として自由に任意のコマンドを実行したいと言われるととたんに -v /:/rootfs とか、--privileged されたらどうしようという壁にぶち当たるわけです。 しかし、安全に使えたら便利なのでなんとかならないかなと CentOS 7 の公式リポジトリの Docker なら SELinux でなんとかする方法があるかもしれないなと調べてみました。 公式リポジトリの docker は古いんじゃないかと疑ってましたが 1.12.5 だったのでこれなら悪くない。クラスタの方では 1.11.1 使ってるし。
Scan your system Install SCAP Workbench or OpenSCAP Base Choose a policy Adjust your settings Evaluate the system Tools The OpenSCAP ecosystem provides multiple tools to assist administrators and auditors with assessment, measurement, and enforcement of security baselines. We maintain great flexibility and interoperability, reducing the costs of performing security audits. View more Security Polic
D. J. Bernstein Internet mail qmail The qmail security guarantee In March 1997, I offered $500 to the first person to publish a verifiable security hole in the latest version of qmail: for example, a way for a user to exploit qmail to take over another account. My offer still stands. Nobody has found any security holes in qmail. Of course, ``security hole in qmail'' does not include problems outsi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く