セキュリティ・キャンプ全国大会 2020 オンラインの 講義 B7 「マクロな視点から捉える Web セキュリティ: Web インフラストラクチャを利用した攻撃とサイドチャネル攻撃の実践と評価」のスライドです。 発表者の情報: https://shift-js.info Twitter: https://twitter.com/lmt_swallow
こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います! なので、この記事の対象読者の方は、なんかWebとかセキュリティのことよくわからないけど、とりあえずWebサイトの発注やら管理をやることなりました! といった方が対象になります。 ということで早速、「静的サイト セキュリティ」とググってみました。ググった結果はというと 静的サイトは外部の攻撃にたいして堅牢です! サーバーのセキュリティ対策はほぼ必要ありません! セキュリティリスクがほぼない! すごいですね! 静的サイトセキュリティ最強みたいな記事が結構ヒットします。 確かに静的サイト自体はデーターベースがないので、攻撃されて何かしらの情報が漏れるというよ
こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは Webスキミング(Web skimming)とは、その名の通り Web版のスキミング です。具体的には、ECサイトなどの決済画面に不正なスクリプトを埋め込み、ユーザがフォームに入力したクレジットカード情報を窃取する攻撃です。 一般的には「フォームジャッキング」とも呼ばれている攻撃ですが、個人的には「Webスキミング」の方が直感的に分かりやすいかなぁと思ってます。 Webスキミング自体は数年前から発生していたようですが、昨年イギリスの大手航空会社が大きな被害を受けたことがきっかけで有名になり、最近は世界中でスキミング被害が
Sqreen is now part of Datadog! We're proud to have helped you protect your applications and move towards DevSecOps by making security fun and accessible to security and developer teams. Now, we thrive to pursue this journey at Datadog, offering a unified platform bringing together engineering, security, and operations teams.
サイバーエージェントの実践×実験Snowflake 導入の経緯から最新機能のトライアルまで / How Snowflake Is Used In CyberAgent - Go To the Future
エグゼクティブサマリ 2018年に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめた。同年6月1日に改正割賦販売法が施行後も継続してカード情報漏えい事件は発生しており、カード情報「非保持」に対応した攻撃が目立つ結果となった。 事件の一覧 下表に、本年(2018年)に公表されたウェブサイトからのクレジットカード情報漏えい事件をまとめました。サイト名、漏洩の期間、漏洩件数(最大)、セキュリティコード漏洩の有無、偽決済画面への誘導があったかを記載しています。 サイト名漏洩期間漏洩件数セキュリティコード偽決済画面誘導 C.O.U.オンラインショップ2017/8/5~2017/9/15335漏洩 パレタス オンラインショップ2017/4/27~2017/7/18821漏洩 健康食品通販サイト (森永乳業株式会社)2015/1/7~2017/10/1629,773 A-Web 倶楽部
(Last Updated On: 2018年10月18日) インターネット上に16億件の企業ユーザーのメールアドレスとパスワードが公開されている、とニュースになっています。ほとんどの漏洩元はこれらの企業ではなく、他の一般公開されているWebサービスなどのアカウント情報漏洩※だと考えられています。 この事例から、非常に多くのWebサービスが情報漏洩を伴うセキュリティ問題を抱えているにも関わらず、気がつくことさえも出来ていないという現状があると考えるべきでしょう。(もしくは気付いていても公開していない) 侵入されたことを検知/対応する技術の導入も重要ですが、ここではなぜWebセキュリティはここまでダメになっているのか?を考えます。 ※ 情報漏洩にはベネッセのケースのように内部の人による持ち出しも含まれていますが、外部の攻撃者が盗んだ情報も少なくないと考えるべきでしょう。 セキュリティの基本が
Sen UenoSecurity Engineer at Tricorder Co. Ltd. / OWASP Japan
2016.01.13 プロフェッショナルサービス事業部 高江洲 勲 1. はじめに 先日、某セキュリティ系の勉強会で「AIにWebアプリケーション診断をさせてみる」と題し、Webアプリケーション診断(以下、Webアプリ診断)を行う人工知能(以下、診断AI)のデモを行ったところ、意外にも好評でしたので、本Blogで少し深堀したいと思います。 なお、本Blogでは機械学習アルゴリズムにも触れますが、これらの詳細な解説は行っておりません。機械学習アルゴリズムの詳細については、「6.参考文献」に示した書籍やWebサイトで解説されておりますので、そちらでご確認いただければ幸いです。 それでは、診断AIの概要について解説を始めます。 2. 最終目標 以下の動作を実現できる「診断AI」を目指して開発を進めています。 「人間の診断員と同じように、診断対象のWebアプリをクローリングしながら診断を行い、発見
Threatpostに3月2日(米国時間)に掲載された記事「Google reCaptcha Bypass Technique Uses Google’s Own Tools|Threatpost|The first stop for security news」が、GoogleのreCaptcha V2検証システムをGoogleの提供しているAPIを使って回避する方法が発見されたと伝えた。音声認識エンジンを利用して音声データをテキストに起こすことで検証を回避するとしている。 CAPTCHAとは、ログインを試みようとしている対象が人間であるかプログラムによる自動操作であるかを判断する方法の1つ。ソフトウェアでは何が書き込まれているかを判断することは難しいが、人間であれば判断できる状態の画像を表示し、その内容を確認することでログイン対象が人間であるかそうでないかを区別している。 Google
GoogleのWebアプリの脆弱性スキャナ、skipfishを使ってみました。 $ brew install skipfish $ skipfish -o log -W ~/homebrew/Cellar/skipfish/2.03b/libexec/dictionaries/minimal.wl http://hamcutlet.fjord.jp homebrewで簡単にインストールできます。結果はhtmlファイルで出るので-oで結果の格納先ディレクトリを指定します。(作っておく) -Wで辞書を指定します。まずは簡単にと思って一番手軽そうなminimal.wlを選んでHam Cutletのサイトに対して実行してみました。 ・・・。 これが滅茶苦茶時間かかる。下記のScan timeを見てください。超簡単なサイトにminimal.wlでやっただけで4時間掛かりました・・・。 skipfis
Webアプリケーション開発に伴うセキュリティ要件をまとめた「発注者のためのWebシステム/Webアプリケーションセキュリティ要件書」をクリエイティブコモンズライセンスにより無償で公開 セキュリティ教育を専門とする株式会社トライコーダ(東京都新宿区、代表取締役:上野宣、以下トライコーダ)は、株式会社アイアクト(東京事務所:東京都渋谷区、本社:大阪市中央区、代表取締役社長:鈴木統夫、以下アイアクト)と協力して、Webアプリケーションの脆弱性に特化した情報サイト「脆弱性診断.jp」にて、Webサイトの脆弱性を防ぐセキュリティ要件をまとめた仕様書「発注者のためのWebシステム/アプリケーションセキュリティ要件書」を、クリエイティブコモンズライセンスにより無償で公開いたしました。 Webアプリケーションの開発においては、認証方法、セッション管理、HTTPS、Cookieなどセキュリティに関して考慮す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く