これは本当にオススメ。トレーニングなので、Linuxのインストールからやるのがよいです。Exploitが刺さるだけで楽しいですが、なぜそれが成立するかまで追いかけるとさらに勉強になります。 https://t.co/tHyQuPSvjw
タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(1/2 ページ) セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 ECサイトからクレジットカードや個人情報などの情報漏えいが相次いだ2019年。記憶に新しいところでは象印、19年前半ではヤマダ電機などのECサイトからクレジットカード情報が漏えいした。セキュリティ専門家の徳丸浩氏は、「情報漏えい事件が急増した1年だった」と振り返る。情報を盗もうとする攻撃者の最新手口については「自分でも気付けるか分からない」と状況は深刻だ。 サイトはクレジットカード情報を保持していないのに…… 徳丸氏は、19年に目立った攻撃手法として「入力画面の改ざん」と「偽の決済画面」という2つ
ウェブ・セキュリティ基礎試験を受験してきました。 とてもいい資格なので少しでも合格者が増えるように勉強方法含め情報共有します。 ウェブ・セキュリティ基礎試験とは 徳丸本の愛称で有名な体系的に学ぶ 安全なWebアプリケーションの作り方の理解度を問う試験です。 問題作成をご担当されている徳丸先生にちなんで徳丸試験と呼ばれています。 Webアプリケーションを開発するにあたって、知っておくべきセキュリティや脆弱性の知識を身に付けることができます。 「徳丸本読まずしてWebアプリケーションを作るなかれ」と言うぐらい必須の知識です。(私が勝手に言ってるだけです。) 詳細は以下をご覧ください。 https://www.phpexam.jp/tokumarubasic/ 試験の基本情報 試験の形式は以下の通りです。(執筆時点)
NTTドコモのサービスだったドコモ口座のドメイン名docomokouza.jpがドメイン名オークションにかけられて402万円という高値で落札されて話題になっています。 「ドコモ口座」のドメイン、落札される 402万円で - ITmedia NEWS まだ金融機関などから当該ドメインへのリンクなどが残っているので、フィッシングや詐欺サイトなどに悪用される懸念が表明されているところではありますが、この記事では、ドメイン名オークションの仕組みについて説明します。 ドメイン名のライフサイクルたまたま同時期に、EPARKの関連会社アイフラッグが運営していたsweetsguide.jpがオークションにかけられ、Srgr0さんがブログで時系列の説明をされているので引用します。時系列的には今回のdocomokouza.jpも同じだと思われます。 今回の流れ ・2023年05月08日 サイト閉鎖のリリース
セキュリティ専門家の徳丸浩さんに、7payが取るべきセキュリティ対策を聞いた。二段階認証の導入決定は「結論を出すのが早すぎる」という。 不正ログインが相次ぎ、ユーザーの被害総額は約5500万円にのぼったというモバイル決済サービス「7pay」。7月4日には運営元のセブン・ペイが緊急記者会見を行い、翌日5日には二段階認証を導入するなどのセキュリティ強化策を発表した。 しかし、セキュリティ専門会社代表取締役の徳丸浩さんはセブン・ペイの決定に疑問を持っているという。「二段階認証の導入決定は、結論を出すのが早すぎたのではないか」(徳丸さん) ITサービスの脆弱性(ぜいじゃくせい)診断を手掛けるEGセキュアソリューションズ代表取締役であり、「徳丸本」の愛称でも有名な「体系的に学ぶ 安全なWebアプリケーションの作り方」著者の徳丸さんに、7payが取るべきセキュリティ対策を聞いた。
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。 2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。 複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twit
WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか? 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方(通称徳丸本)」を出したのが2011年3月でして、それから13年以
先日、徳丸本(正式名称: 安全なWebアプリケーションの作り方 第2版)の実習環境 Docker 対応バージョンが公開されました。 こちら、M1/M2 Mac にも対応したものになっています。 リリース内容を確認してみましたが、解説されている内容は既存の部分からの変更点のみとなっています。 せっかくなので、1から新規で M1 Mac 環境に構築した方法の記録です。 前提条件 初心者向けではありません。 ある程度の知識がある方向けに、簡略化して記載しています。 初心者向けに記事を寄稿しました。 初心者の方は、リンク先の記事をご確認ください。 ウェブ・セキュリティ学習のため徳丸本を読んでみた 第3回 M1/M2 Mac に対応!Docker 環境で実習環境を構築しよう https://www.school.ctc-g.co.jp/columns/mikumo/mikumo03.html Hom
2020年9月7日から全国の地方銀行を中心に「ドコモ口座」からの不正な預金引き出し被害の報告が相次いでいる。ドコモユーザーでなくとも被害にあう可能性があり、被害規模も現時点では不明だ。セキュリティ専門家の徳丸 浩氏(EGセキュアソリューションズ 代表取締役)に、今起きていること、今できることを聞いた。 これは「金融テロ」か? ドコモ口座で何が起きているのか ――まず、今問題になっている「ドコモ口座」事件、現時点で何が起きているのでしょうか 徳丸氏: 狙われたのは「ドコモ口座と連携できる地銀の口座を持つ、ドコモ口座を利用していないユーザー」です。現時点ではほとんどの銀行が連携を停止しているため、利用者ができることはあまり多くありません。口座の残高を確認して自分が被害に遭っていないかを確認する程度になるでしょう。 ――第一報では「地方銀行が狙われた」ことが注目を集めました。ゆうちょ銀行やメガバ
ITmedia NEWSでセキュリティインシデントを日々伝えていると、記事に対して「そんなずさんな情報管理があり得るのか!」という驚きの声が寄せられることがある。 例えば、法令を順守していれば被害を防げたかもしれない場合や、明らかな手抜きがあった場合には「そうはならないだろう」「それはダメだろう」というツッコミもよく入る。ITmedia NEWSの読者が高いITリテラシーを持っていることの現れともいえるかもしれない。 しかし、もう少し踏み込んでみることをすすめるのが、情報セキュリティの専門家・徳丸浩さんだ。 「みなさん『それはダメだよ』と思うことはありますよね。でも『これが現実なんですよ』ということが大事だと思うんですよね。例えば、自分が作れば大丈夫という場合でも、ソフトウェアを発注して完成品を受け取ってみたら問題があったなんてことは十分あることです」 “そうはならんやろコード”はどうやっ
サイバーセキュリティ人材はなぜ不足しているのか。企業は素養がある人材をどのように見極めて、獲得に向けて何をすればいいのか。徳丸 浩氏がこの難問に答えた。 サイバーセキュリティ人材の不足が叫ばれるようになって久しい。有名企業がランサムウェア被害に遭ったことで、多くの企業がこれを現実的な脅威と実感して対策に乗り出すようになった。その結果、サイバーセキュリティ人材の需要が大きくなる半面、これに供給が追い付いていないという事態が生まれている。 ISC2の調査によると、日本におけるサイバーセキュリティ人材は48万1000人で2022年比23.8%増となっているが、求められる人材数は59万1000人(2022年比33%増)であり、需要と供給の間にはまだまだギャップがある。 ではこのようにサイバーセキュリティ人材が不足している要因や背景には何があり、企業がサイバーセキュリティ人材を獲得するためにはどうす
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
PHPのバージョン 主なコンテンツ(脆弱なスクリプト)はPHP 5.3.3(CGIモード)で動いています。これは、古いPHPでないと発現しない脆弱性に対応するためで、代表的なものとしてNULLバイト攻撃があります。PHPは5.3.4以降でNULLバイト攻撃に対応したため、NULLバイト攻撃を体験するにはPHP 5.3.3以前のものを使う必要があります。一方、新しいバージョンのPHPが必要な箇所もあり、その場合はPHP7.0.27(Debian9標準パッケージのもの)を使い分けています。 メール関連の脆弱性対応 メールヘッダ・インジェクションを体験するにはメールの送受信の仕組みが必要なため、Postfix、Dovecot、RoundCubeがインストールされています。徳丸本初版は「お手元のメールクライアントソフトをお使いください」という体でしたが、今どきメールクライアントを使っている人も少な
企業を狙ったサイバー攻撃は複雑化、巧妙化している。特にサプライチェーンを狙った攻撃は増加傾向にある。情報処理推進機構(IPA)が2023年2月28日に公開した「情報セキュリティ10大脅威 2023(組織)」では「サプライチェーンの脆弱(ぜいじゃく)性を悪用した攻撃」が第2位にランクインした。 サプライチェーンセキュリティ対策が難しいのは「自社だけでは守れない」ことだ。ビジネスが複雑化している中、サイバー攻撃者は中堅・中小企業のセキュリティ対策が十分ではない部分を突いてくる。これに対し、企業はどのように対策を講じるべきか。 アイティメディア主催のオンラインイベント「ITmedia Security Week 2023 春」に、業界のご意見番であるEGセキュアソリューションズの徳丸 浩氏(取締役CTO)が登壇。「古くて新しいサプライチェーンのセキュリティ問題、実のところどうすればよいか」と題す
出来立てホヤホヤの徳丸基礎試験に合格してきたので、ドヤしたいと思います。 ウェブ・セキュリティ基礎試験(通称:徳丸基礎試験)とは 2020年7月15日に開始された試験 徳丸本の理解度を測る試験 徳丸浩氏が問題を作成 全40問、制限時間60分、4択問題、正答率70%以上で合格 詳細はこちらをご確認ください。 ウェブ・セキュリティ基礎試験(徳丸基礎試験) 試験内容 出題範囲も上記リンク先に記載ありますが、徳丸本の目次と完全に一致しています。 その範囲からというのは間違いはないですが、検証環境の構築方法などは実際は試験に出ません。 同ページの動画でもおっしゃられていましたが、「ツールの使い方よりもセキュリティの原理を学んでほしい」ということのようです。 実際に受験し終わった後の感想としても確かにそのような感じでした。 様々な脆弱性に対し、その原理を知り、どの対策が効果的かを選択できれば、合格点取
サイバー攻撃者が狙う穴を、防御側はふさぐよう努力する。するとサイバー攻撃者も工夫に工夫を重ね、新たな攻撃手法を使い出し、かつての常識はいつの間にか非常識に変化する――そういった“いたちごっこ”が、サイバーセキュリティの世界では繰り返されている。この歴史を読み解くと、見えてくるものもあるかもしれない。 「Webアプリケーションセキュリティのバイブル」ともいえる“徳丸本”こと『体系的に学ぶ 安全なWebアプリケーションの作り方』(SBクリエイティブ)の筆者、徳丸氏が、クレジットカード情報の漏えい対策、そしてマルウェア対策のこれまでの歴史から、この“いたちごっこ”を総括した。私たちが進むべき次の一歩を考えるためのセッションとなった。 セキュリティはいたちごっこの連続 徳丸氏は、「いたちごっこ」の事例として昨今も報道が絶えることのない「クレジットカード情報漏えい」を取り上げる。クレジットカード情報
Peingで表題のような質問をいただきました。少し長くなるので、こちらで回答します。 現在、暗号化ではIV(暗号初期化ベクトル)が不要なECBモードは推奨されず、それらが使用されるCBC等が推奨されています。 しかし、暗号化後の文章も、暗号化初期ベクトル(平文)も同様にDBに直接保存される為、結局のところ意味をなすのでしょうか? 暗号化後の文章が漏れる≒IVが漏れると思いますが、どのような時にIVを設定したことによる恩恵が受けられるのでしょうか? https://peing.net/ja/q/c63a9669-0d8e-4a23-b7f8-67869bf9e0b0 より引用結論から言えば、IVは必須です。詳しくは暗号の教科書(手っ取り早いところではWikipediaの暗号利用モードなど)を読んでいただければよいのですが、わかりやすい例を2つ紹介します。 まずは、以下の2つの住所をAES-2
徳丸浩氏が総務省に聞く 脆弱性チェック「NOTICE」で、国は一体何をしたいのか?:徳丸浩氏×総務省サイバーセキュリティ統括官室 特別対談【前編】 あらゆるものがインターネットを介してつながり、これまでにない量の情報を多くの人が日々活用する――。そんな「Society 5.0」が現実的になりつつある中、多くの組織にとって課題になるのがセキュリティだ。そんな中、総務省は2019年にIoT機器の脆弱性をチェックする「NOTICE」を開始した。開始当時は一部で物議を呼んだ同施策だが、そもそもどのような効果を期待して始められたのか? NOTICEが始まった背景や現状について、セキュリティ専門家の徳丸浩氏が総務省のサイバーセキュリティ統括官室に切り込んだ。 あらゆるものがインターネットにつながるIoT(モノのインターネット)時代。SNSを通じた人々のつながりや購買経路、移動経路など、これまで見えなか
「ドコモ口座」「ゆうちょ銀行」「SBI証券」――2020年9月には金融機関やその利用者を狙ったサイバー犯罪が相次いで明らかになった。サイバーセキュリティの専門家である徳丸浩さんは10月21日、報道陣向けのセミナーで「これらに共通しているのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と解説した。 9月に明らかになった金融機関へのサイバー犯罪事案は、NTTドコモの電子決済サービスであるドコモ口座やゆうちょ銀行を狙った不正出金、SBI証券への不正アクセスによる不正送金、ゆうちょ銀行が提供するVISAデビット・プリペイドカード「mijica」を悪用した不正送金など。 徳丸さんは、これらの犯罪に共通する傾向として、ログインに関するシステムの弱点を突かれたことや、各サービスの仕様などを熟知した人物による攻撃だと考えられることを挙げている。 不正出金事案 「かんたん残高照会」を悪用か?
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
試験に向けてやったこと 試験の手ごたえなど 受験した感想 この試験です。ベータ試験ですが合格者はきちんと本認定されます。 peatix.com 友人との間で話題になり、勢いで申し込んだのがきっかけでした。 ちなみに開始してすぐ(1 時間程度)に枠が埋まるほど人気だったそうです。 早くも完売となりました。早々のお申込みありがとうございました https://t.co/82lgOsbv6y— 徳丸 浩 (@ockeghem) July 10, 2019 試験に向けてやったこと 申し込んだのが 7 月 10 日で、試験日は 8 月 4 日なので対策期間は 1 ヶ月弱。 一緒に申し込んだ友人たちと、集まって勉強する時間を意識的に作りました。 勉強内容はひたすら出題範囲とされている本(徳丸本)を読む。それだけ。 『体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策
2023年は多くのサイバー攻撃が発生したが、この中で徳丸 浩氏が注目したものは何だったのだろうか。2023年のセキュリティトレンドを振り返りつつ、2024年の脅威予測をお伝えしよう。 2023年も数え切れないほどのサイバー攻撃が発生した。あと2週間で2023年も終わりを迎えようとしているが、読者の皆さんが特に印象的だったセキュリティインシデントは何だろうか。毎日何かしらの情報漏えいやランサムウェア攻撃の報道を見ていると、いつ自社が被害に遭ってもおかしくないように思える。 イー・ガーディアンは2023年12月14日、メディア勉強会を開催した。勉強会では、“セキュリティ業界のご意見番”こと徳丸 浩氏(イー・ガーディアングループのCISO兼EGセキュアソリューションズ取締役CTO)が“独断と偏見で選んだ”2023年のセキュリティトレンドを振り返るとともに、2024年の脅威予測を発表した。 徳丸氏
日本でもクラウドサービスの充実や大規模採用が進み、企業のクラウド環境導⼊は今やスタンダードな選択肢となりました。その一方でセキュリティ上の課題は現在も大きなトピックとして日々話題に上がります。 企業として考えなければならないWebセキュリティとはどういったものでしょう。徳丸浩氏が代表を務めるEGセキュアソリューションズと、AWSセキュリティ監査ツールインサイトウォッチ(insightwatch)や技術支援サービスを提供するクラスメソッドによるセキュリティ座談会(2018年実施)をDevelopers.IOに再掲します。 (2018年9月21日 東京・EGセキュアソリューションズ株式会社にて収録) 境界防御から認証への意識変⾰ 田子昌⾏(以下、田子) クラスメソッドの田子です。⼊社以来10年ほどWebアプリ開発やビッグデータ分析基盤の構築などに関わってきました。今は「インサイトウォッチ(in
本日のテーマは「フレームワークでは脆弱性を担保する素晴らしい機能があるのにどうして脆弱性が残ってしまうのか?」です。先に答えを言ってしまうと、勝手に安全になるものと、フレームワークでは担保されておらず、開発者自身が意識しないといけないものがあるからです。開発者が意識すべき脆弱性を見ていきましょう。 『よくわかるPHPの教科書』を検証してみる 『よくわかるPHPの教科書』で紹介されているソースコードの一部を実際にデモで動かしてみます。 // ここまでで、認証済みであるこの検査が済んでいる $id = $_REQUEST['id']; // 投稿を検査する $sql = sprintf('SELECT * FROM posts WHERE id=%d', mysql_real_escape_string($id)); $record = mysql_query($sql) or die(mys
導入 企画の背景 ハンズオン 環境構築 攻撃開始 XSS の説明 順位発表 ハンズオンをやってみてどうだったか? 良かったこと 伸びしろ 学び 今後に向けて We are hiring 導入 こんにちは、BtoB SaaS Product Team (以下 Product Team) の利根です。SPEEDA、FORCAS、INITIAL といったプロダクトの開発を行っています。 Product Team 内には、全社セキュリティを担うチームとは別に、プロダクトセキュリティの底上げを担うセキュリティチームが存在しています。 このセキュリティチームの課題はいくつもあるのですが、この数年でエンジニアの人数が大きく増えたため、メンバーのセキュリティ知識の底上げが重要な課題の一つでした。 今回は、その課題への対応として、Product Team 内の全メンバーを対象に、やられアプリ(Bad Tod
PHPカンファレンス2019 開催 [20回開催記念企画]廣川類氏と徳丸浩氏に、これまでのPHPとの関わりをを聞く。 ——そしてPHPカンファレンス2019へ 今年で20回目になる国内最大級のPHPの祭典「PHPカンファレンス」ですが、実は世界で最初に開催されたPHP Confarenceでもあります。回を重ねるごとに大きくなり、ここ数年は、約40ものテクニカルセッションを実施し、参加者数は2,000人前後にのぼります。 PHPカンファレンス2018のキーノートスピーチ会場 今回はPHPカンファレンス20回開催記念として、ここ数年メイン会場で人気の講演をされている日本PHPユーザ会の廣川類氏と日本屈指のWebセキュリティコンサルタントの徳丸浩氏に、過去の振り返りと今後についてお聞きしました。 —— 廣川氏といえば、日本PHPユーザー会の立ち上げメンバーとして参加され、その後、書籍の執筆
お知らせ 受験宣言して試験を申し込んで主教材・公式問題集をもれなくGET!キャンペーン ウェブセキュリティ試験(通称:徳丸試験)は2023年3月6日よりバウチャーチケットを割引で購入できるようになります。10名以上の団体受験を希望される法人は団体割引価格(10%引き)が適用されます。お問い合わせはこちらよりお願いします。 ウェブ・セキュリティ基礎試験実施の背景 全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェブ・セキュリティの名著として知られる徳
Eメールがなりすましや盗聴に対して安全とは言えない、と言われる根拠は主に以下の3点かと思います。 ・SMTPやPOP3、IMAP4のメールに用いられるプロトコルは暗号化の機能がない ・Eメールはバケツリレー式にサーバー間を転送されるので、サーバーの中に一つでも信頼できないものがあると盗聴・改ざんの危険がある ・Eメールには元々発信者に対する認証機能がない。S/MIMEを使えば可能だがあまり普及していない これらのうち、通信路の暗号化に対しては、それぞれのover TLSのプロトコルが普及しているので、環境によっては安全、環境によっては安全でないことになります。 バケツリレーについても同様で、UUCPの時代とは違い、今はダイレクトに相手側サーバーに送信するので、ユーザーが使うメールプロバイダーの信頼性次第ということになります。 なりすましについては、どうしようもないのですが、パスワードリセッ
大規模な内部不正やランサムウェア攻撃など、さまざまなセキュリティインシデントが起きた2023年。2024年、サイバー攻撃はどのように変わるのか、セキュリティ専門家の徳丸浩氏が12月14日のメディア向け勉強会で考えを示した。同氏はトピックとしてランサムウェアや生成AIを挙げたが、総体としては「あまり大きな変化はないのではないか」とした。 ランサムウェアについては、防御側に大きな変化が見られないことから、攻撃側も新たな手法を見つける必要がなく、革新的な手口がすぐに出てくることはないだろうとした。 「古い手口が使えるうちは古い手口のほうがいい。新しい手口を見せるとそれだけ早く対策されるため、新しい手札を切る動機はあまりない。VPNの脆弱性対策がスピーディーにできるようになったり、そもそも防御側がVPN自体を使わなくなったりするようなことがあれば変わるだろうが、今のところそういう兆候はない」 生成
受験しました→徳丸基礎試験(試験名:ウェブ・セキュリティ基礎試験)を受けてみた! 徳丸基礎試験(試験名:ウェブ・セキュリティ基礎試験)のベータ試験が行われるようなので受験申込致したので試験についてまとめてみます。 詳細はこちら 試験の背景 全世界で多くのWebサイトが運営されていて、企業にとっても重要なものになってきたのでサイバー攻撃の対象となる事が増えてきました。 その攻撃手法も複雑かつ巧妙になってきているためウェブ・セキュリティに対する対策を以前より緊密かつ迅速に施さなければなりません。 ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、徳丸基礎試験を実施実施するとのこと 徳丸基礎試験とは? 試験の主教材はウェブ・セキュリティの名著として知られる徳丸浩氏による「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」を採用し、本書を基本的な出題範囲
お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。想定する脆弱性として認可制御不備になります。「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。 メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。 ※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です 参考: お名前.com Naviで発生した事象につきまして https://www.onamae.com/news/domain/20200603_1/ 実習シナリオ、スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/mast
セキュリティ界隈で有名な徳丸さん監修のウェブセキュリティ試験(通称: 徳丸試験)を受けてきた。 peatix.com 徳丸試験受けてきた pic.twitter.com/5oRirTvdw0— ぴんくもひかん - サバゲ系Webエンジニア (@pinkumohikan) August 4, 2019 動機 今回、徳丸試験を受けようと思った動機は下記の通り。 事業開発会社でWebアプリケーションを設計、実装する仕事をしており、Webアプリケーションの安全性についても責任がある Webエンジニアとしての強みを増やすため "徳丸試験 第1号合格者" という響きがかっこいい 試験対策 下記2冊の本を参考書として利用した。 徳丸浩のWebセキュリティ教室 会社でこの本の読書会をやったことがある 体系的に学ぶ 安全なWebアプリケーションの作り方 第2版 脆弱性が生まれる原理と対策の実践 こちらが試験
「見破るのは実質不可能」──ECサイトからカード番号盗む“最新手口”、セキュリティ専門家の徳丸氏が解説(2/2 ページ) 次に、決済方法にリダイレクト型を用いていた場合。バックドアの設置までは同様の手順だが、リダイレクト型ではECサイト上で番号を入力しないため、ECサイト上の入力から盗み取ることはできない。そこで攻撃者は、偽の決済画面を表示するWebサイトを用意する。 本来なら正規の決済サーバへ遷移するところを、攻撃者は偽のサーバへの遷移に書き換える。偽の決済画面に各種情報を入力させた上で、「決済エラー」の画面を表示し、正規の決済サーバへ再遷移。 最終的には正規のサーバで決済が完了するので、商品は通常通りにユーザーの手元に届く。「決済エラー」に違和感を持たない限りは、ユーザーは自分のクレジットカードなど各種情報が盗まれたことに気付かない。 徳丸氏は、「ECサイトのドメインは覚えていても、決
※増員分も完売です!7月10日19時30分現在、申し込みが完了し、支払が完了していない方がいます。その方が支払いをされない場合、キャンセル扱いになり、空き枠ができます。お支払いがまだの方はお早めにお支払いください。 徳丸基礎試験(試験名:ウェブ・セキュリティ基礎試験)(ベータ試験:合格者は全員第一号本認定)を開催します。 ■概要 日時:2019年8月4日(日) 15時20分試験開始(開場15時00分) 試験名:ウェブ・セキュリティ基礎試験 受験料金:税込み5千円(本試験は通常税抜き1万円) 出題範囲及び詳細:以下をご覧ください。 https://www.phpexam.jp/news/tokumarushiken/ ■諸注意事項 ・試験はペーパー試験です。必ず鉛筆もしくはシャープペンシルと消しゴム、時計(スマートデバイスはNG)を持参ください。 ・試験結果を受け取りたい住所を当日記載いただ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く