セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか - ぶるーたるごぶりん
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
SQLインジェクション対策不備の責任 東京地判平30.10.26(平29ワ40110) - IT・システム判例メモ
SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。 事案の概要 Xは,Yに対し,Xの提供する車・バイクの一括査定システム(本件システム)の開発を約320万円で委託し,平成24年9月に納品を受けた。 その後Xは,平成28年12月に,IPA*1から,中国のサイトに本件システムの脆弱性に関する情報が掲載されているという指摘を受けて,Yに対し,その調査と報告を依頼した。 その結果,本件システムには,SQLインジェクション対策が不十分という脆弱性が判明したことから,XはYに対し,その脆弱性はYの被用者の故意過失によって生じたものであるから,使用者であるYには使用者責任があると主張して,民法715条1項所定の損害賠償請求権に基づき,緊急対策費用47万5200円,詳細な調査,抜本的な修正費用640万円,サーバー移転費用35万6400円,セキュリティ対策のための本件システ
【レポート】AWS における安全な Web アプリケーションの作り方 #AWS-55 #AWSSummit | DevelopersIO
この記事では、5月12日に行われた AWS Summit Online 2021 のオンラインセッション『AWS における安全な Web アプリケーションの作り方(AWS-55)』の模様をレポートします。 セッション概要 情報処理推進機構(IPA) の公開している「安全なウェブサイトの作り方」をはじめとしたセキュリティを考慮した安全なウェブアプリケーションの設計ガイドラインがいくつか知られています。本セッションでは、アプリケーション開発者向けにガイドラインに則ったアプリケーションを AWS 上でどのように実装するのかを AWS プラットフォームレイヤーとアプリケーションレイヤーのそれぞれの観点から項目ごとに解説し、アプリケーション導入前、または導入後のセキュリティ対策の指標となることを目指します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテク
2022年12月4日よりDocker版実習環境を提供します。オリジナルの実習環境はVirtualBox上の仮想マシンとして提供していますが、M1/M2 MacではVirtualBoxが動作しないことから、Docker版として提供するものです。 元々はM1/M2 Macを想定してARM64アーキテクチャ用に作りましたが、AMD64のWindowsやMacでも動作するように作っています。 Dockerコンテナの起動方法 ダウンロードページから実習用仮想マシン (Docker版)をダウンロードして適当なディレクトリに設置してください。 以下のコマンドによるコンテナーのビルド及び実行をします。 $ cd <wasbook-docker.zip を設置したディレクトリ> $ unzip wasbook-docker.zip # あるいは適当な方法でのzip解凍 $ cd wasbook-docker
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方|ハイクラス転職・求人情報サイト AMBI(アンビ)
早め早めの脆弱性対策! 開発チームでできるアプリとサーバのセキュリティ診断と要件定義の作り方 Webセキュリティ対策はなにかと面倒ですが、昨今はフレームワークが脆弱性に対応するなど、プログラミングは効率的になっています。その上でサービス全体の安全のため、開発チームがすぐ実施できるWebセキュリティ診断と要件定義について解説します。 こんにちは、松本(@ym405nm)です。 みなさんは業務やコミュニティ、趣味などでWebサイト作ってますか? SEO対策、ユーザビリティ、レスポンジブル、オートスケールなどなど、Webサイトを1つ作るだけでもさまざまな技術や考え方が必要であり、非常に奥深いものであるということは、このエンジニアHubの記事の多さが物語っているのではないでしょうか。 その中でもWebサイト開発者・運用者を悩ませるのは、Webセキュリティです。この記事では、開発フェーズから試すこと
Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO
こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま
Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
先日日本語訳版が発表されたばかりの OWASPアプリケーション検証標準 バージョン4(以下ASVS v4)を用いて、 Webアプリケーションセキュリティの評価をサービスに対して実施した感想などについて記載します。 ASVS v4は非常に包括的なWebアプリケーションセキュリティの評価ガイドラインです。 それこそ「エンジニア研修でまず最初に読もう!」と推進したくなるほど多角的に記載がされています。 どのぐらい包括的であるかについてですが、開発体制・ログ・認証・ログインフォームの設計・総当たりに対するアカウントロックの時間・GraphQLにおけるセキュリティなど、とにかく盛りだくさんな記載がされています。 すべてのエンジニアにとって必読の ASVS v4 こんにちは、佐分基泰と申します。 16年の新卒として入社し、サーバサイド -> 脆弱性診断士を経て、 現在はOSS Libraryセキュリテ
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
2024.2.17 微修正 2024.2.15 デブサミ2024きっかけでリバイス (OWASP LLM 1.1/祝AISI設立) 2023.10.24 追記・セクション明確化 2023.8.30 Q&A追加などupdate 2023.8.27 増補版 2023.8.26 初版:塩尻サイバーセキュリティ勉強会 2023 夏 ( 更新は、特別カスタマイズ版を除きスライドを上書き更新していきます) 岡田良太郎 オカダリョウタロウ OWASP Japan Lead アスタリスク・リサーチ Executive / Researcher ビジネス・ブレークスルー(BBT)大学講師 神戸デジタル・ラボ CSA The English version is available. Ask me. : How Software Security Will Change with the Rise of AI
The OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics. These cheat sheets were created by various application security professionals who have expertise in specific topics. We hope that this project provides you with excellent security guidance in an easy to read format. You can download this site here. An ATOM fee
OWASP/Go-SCPを読んでセキュアプログラミングとGoを学ぶ - My External Storage
この記事はGo Advent Calendar 2019の4日目の記事になる。 3日目は@ikawahaさんの「Goa v3 のテストをシュッとする]」だった。 本記事ではOpen Web Application Security Project(OWASP)が公開しているGo-SCPリポジトリを紹介する。 Webアプリケーションにはクロスサイトスクリプティング(XSS)やクロスサイトリクエストフォージェリ(CSRF)など、様々な脆弱性が潜む可能性がある。 脆弱性対策の書籍としては、体系的に学ぶ 安全なWebアプリケーションの作り方(徳丸本)などが有名だろう。 Go-SCPリポジトリにはWebアプリケーションを実装する際に必要な脆弱性の知識と、Goを使った脆弱性対策の実装方法が含まれている。 https://github.com/OWASP/Go-SCP TL;DR OWASPというWEB
セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。 元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった OWASP Serverless Goat をやっつけていきます。 OWASP Serverless Goat とは OWASP Serverless Goat はイスラエルのセキュリティスタートアップ PureSec が作成した The Ten Most Critical Risks for Serverless Applications v1.0 に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。 以下の教育目的で作成されたものであり、それ以外の目的で利用することは望ましくありません。 開発者とセキュリティ担当者に一般的なサーバーレスアプリケーションレイヤ
本記事では、実際のコードを交えて Java における安全ではないデシリアライゼーションの解説を行い、この脆弱性を見つけた場合にどのように扱えばよいのか、どのような対策を行えばよいのかを解説します。
Docker Security Cheat Sheet¶ Introduction¶ Docker is the most popular containerization technology. When used correctly, it can enhance security compared to running applications directly on the host system. However, certain misconfigurations can reduce security levels or introduce new vulnerabilities. The aim of this cheat sheet is to provide a straightforward list of common security errors and bes
www-chapter-japan/secreq at master · OWASP/www-chapter-japan
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Introduction Welcome to the OWASP Top 10 - 2021 Welcome to the latest installment of the OWASP Top 10! The OWASP Top 10 2021 is all-new, with a new graphic design and an available one-page infographic you can print or obtain from our home page. A huge thank you to everyone that contributed their time and data for this iteration. Without you, this installment would not happen. THANK YOU! What's cha
日本CTO協会は「技術」を軸に規模や業種の異なる様々な人や組織が集まっているコミュニティです。会員は本社団の活動内容、調査テーマについて参加、提案し、他の技術者・技術組織とともに成長する機会が得られます。ご興味のある方は法人会員向け申し込みフォームからお問い合わせください。 突然ですが情報漏洩時にかかる平均的な被害総額はいくらだと思いますか? “Cost of a Data Breach Study 2020” によると答えは約4億933万円だそうです。コロナ禍におけるリモートワークの普及により、「情報漏洩を特定から食い止めるまでの時間が長くなる」、「被害の対応コストが増える」と回答した者は70%を超えており、情報セキュリティ対策の重要性が高まっています。最近では行政もセキュリティ強化に着目しており、日本政府は壁を一度突破されるとリスクが大きい「境界型」のセキュリティからゼロトラストアーキ
Node.jsの色々
2020-07-15 OWASP Sendai Node.js の色々 OWASP Kansai board member はせがわようすけ 長谷川陽介 (はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO hasegawa@securesky-tech.com https://utf-8/jp/ 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー OWASP Kansai Chapter 自分たちの直面するWebセキュリティの問題を 自分たちの手で解決したい! 日本で2番目の OWASP Local Chapter Webセキュリティの悩み事を気楽に相談し情報共有できる場 スキル、役職、業種、国籍、性別、年齢に関係なし vol.16 OWASP Ka
ASVS には何が書かれているのか ASVS は、合計 14 の章で構成されています。 今回の記事では、各章に関する詳細な説明を割愛しますが、大まかな各章の概要を紹介します。 多くの章があり、かなり網羅的なガイドラインであることを感じていただけるかと思います。 ASVS の全体イメージ V1: アーキテクチャ、設計、脅威モデリングに関する要件 (Architecture, Design and Threat Modeling Requirements) 開発プロセスに入る前にセキュリティ観点での計画を促すことを目的に「全体のアーキテクチャに関わること」「管理体制」が言及されています。 セキュアなアプリケーションを開発する上での骨子を作成するための章とも言えます。 この章のみ Level2 以上を対象としていますが、開発方針で意識した方が良いことなどが定義されており、非常に参考になる情報が多
The ZAP Homepage
Zed Attack Proxy (ZAP) The world’s most widely used web app scanner. Free and open source. Actively maintained by a dedicated international team of volunteers. A GitHub Top 1000 project. Quick Start Guide Download Now Intro to ZAP If you are new to security testing, then ZAP has you very much in mind. Check out our ZAP in Ten video series to learn more! Automate with ZAP ZAP provides range of opti
サイバーセキュリティツールベンダーのPortSwiggerは2022年1月17日(米国時間)、「OWASP API Security Top 10」に含まれる脆弱(ぜいじゃく)性の挙動を観察できるように設計されたオープンソースツール「vAPI」(Vulnerable Adversely Programmed Interface)を解説した。 APIセキュリティは近年、重要なセキュリティ分野となっている。APIは現在、サービスやデータ転送の管理に広く使われており、壊れたエンドポイントが1つあるだけで、データ流出や企業ネットワークの侵害につながる。 Gartnerは2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になると予測している。 vAPIでは何ができるのか vAPIはセキュリティベンダーのHolm Securityでセキュリティエンジニアを務めるトゥシャ
この記事は GMOアドマーケティング Advent Calendar 2020 14日目の記事です。 はじめに こんにちは、GMOアドマーケティングのR.Yです。今回はタイトルの通り、Railsで作った脆弱性をOWASP ZAPで診断してみたいと思います。 自分は主にRailsを使ったWebアプリの開発やWebアプリの脆弱性診断を行うことが多いので、この記事を書くことによってRailsのセキュリティ周りや脆弱性診断を行うツールについての理解をより深められたら良いなと思います。 1.用意するもの Ruby On Rails 5.2.3 OWASP ZAP 2.9.0 2.調べる脆弱性 SQLインジェクション 2-1.SQLインジェクション SQLインジェクションとはWebアプリのリクエストで送られるパラメータを意図的に操作し、データベースを操作するクエリに対して行われる攻撃手法です。 例:
ZAP’s docker images provide an easy way to automate ZAP, especially in a CI/CD environment.
GitHub - roottusk/vapi: vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top 10 scenarios through Exercises.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
扉 - owasp-mastg-ja
Bernhard はあらゆる種類のシステムをハックする才能を持つサイバーセキュリティの専門家です。業界で10年以上にわたり、MS SQL Server, Adobe Flash Player, IBM Director, Cisco VOIP, ModSecurity などのソフトウェアに対するゼロデイエクスプロイトを多数公表しています。それに名前をつけることができても、おそらく少なくとも一度はそれを破棄しているでしょう。BlackHat USA は Pwnie Award for Best Research でモバイルセキュリティの先駆的な取り組みを賞賛しました。 Sven は経験豊かなウェブおよびモバイルのペネトレーションテスト技術者であり、歴史上有名な Flash アプリケーションからプログレッシブモバイルアプリまでのすべてを評価しています。彼はセキュリティエンジニアでもあり、SDL
OWASP「アプリケーションセキュリティ検証標準 4.0」の日本語邦訳文書公開について | CSAJ 一般社団法人コンピュータソフトウェア協会
一般社団法人コンピュータソフトウェア協会(東京都港区赤坂、会長:荻原紀男、株式会社豆蔵ホールディングス 代表取締役会長兼社長、以下「CSAJ」)は、Software ISAC(代表:萩原健太、グローバルセキュリティエキスパート株式会社)で実施した「OWASP アプリケーションセキュリティ検証標準4.0」の日本語邦訳文書を公開しました。 OWASPアプリケーションセキュリティ検証標準(以下「ASVS」)は、アーキテクト、開発者、テスター、セキュリティ専門家、ツールベンダ、アプリケーション利用者などが、最新のWebアプリケーションおよびWebサービスを設計、開発、テストする際に必要となる、機能的および非機能的なセキュリティ対策の定義に焦点を当てた、セキュリティ要件や対策の枠組みを確立するためのドキュメントです。 OWASPの長年にわたる取り組みとASVSを利用する業界からのフィードバックの集大
DevSecOps勉強会はアプリケーションセキュリティに関する知見やノウハウ共有の場です。第1回目はyamoryチームの佐々木氏がセキュアにすることを容易にするツールであるOWASP ASVSについて解説とトライを共有しました。 Webセキュリティのモヤモヤを解消する 佐々木 氏(以下、佐々木):それでは始めます。本日は「セキュアなWebアプリケーションとは何か?」について、私佐々木から発表いたします。 前半は、なぜこのテーマを取り上げたのかという背景と目的を説明します。その上で、セキュアにすることがなぜ難しいのかということについて考察した結果を共有します。後半はセキュアにすることを容易にするツールであるOWASP ASVSについて解説し、実際に始めてみるということに関して、yamoryでのトライを簡単に共有します。 それではさっそく本題に入ります。まず、なぜこのテーマを取り上げたのかにつ
www-chapter-japan/skillmap_project/Vulnerability_Disclosure_Cheat_Sheet_ja.md at master · OWASP/www-chapter-japan
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept The OWASP Top 10 for Large Language Model Applications project aims to educate developers, designers, architects, managers, and organizations about the potential security risks when deploying and managing Large Language Models (LLMs). The project provides a list of the top 10 most c
モバイルアプリケーション開発 10大チェックポイント 2023(JSSEC Mobile Top 10 2023)は、2016年のリリースを最に更新されていない「OWASP Mobile Top 10プロジェクト」を再解釈し、現在の状況にあった「Mobile Top 10」を選定しました。 OWASP(Open Web Application Security Project)※1 のLabプロジェクトである「OWASP Mobile Top 10 ※2」は、OWASPが数多く公開する啓発文書「Top 10」シリーズの一つで、スマートフォン(モバイル)アプリケーション開発者に対する意識向上を目的とした文書です。この文書は、スマートフォンアプリケーションの開発に気を付けなければならない10項目がわかりやすくまとめられており、開発者が最低限理解しておくべきことを記述した文章で構成されています。
はじめに OWASP Juice Shopを触りつつOWASP Top 10の理解を深めるという目的で社内勉強会を開きました。 その時の資料を公開します。EC2に構築してみんなで同じサイトをワイワイガヤガヤ攻撃してみました。 OWASP Juice Shop というのは OWASPが提供するやられアプリ、やられサイトの一種です。Node.js、Express、AngularJSで開発されているSPAアプリです。Dockerイメージで提供されています。 OWASP Juice Shop OWASP BWA (The Broken Web Applications) という同じようなアプリがもう1つあるのですが、OWASP Juice Shopの方が新しいようです。BWAはVirtual Boxが必要です。 OWASP Juice Shopを構築する dockerをインストール後、pullして
OWASPとは?ZAP、TOP10、Testing Guide、ASVSなどを中心に解説 | ITコラム|アイティーエム株式会社
サーバやネットワーク機器の監視やシステム全体の運用・監視など、24時間365日体制で統合的にお客さまのシステム環境をサポートするサービスです。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト
政府情報システムにおける 脆弱性診断導入ガイドライン
CSRF(Cross-Site Request Forgery)攻撃について
今一番アツいWebセキュリティガイドラインOWASP ASVS v4でリスク評価した話
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
Introduction - OWASP Cheat Sheet Series
サーバーレスやられアプリを使った脆弱性診断ハンズオン - Qiita
実践!安全ではないデシリアライゼーションの攻撃手法 | yamory Blog
Docker Security - OWASP Cheat Sheet Series
OWASP Top 10:2021
ゼロトラスト時代のスマートセキュリティを実現する4つのテクニックと3つのツール 【世界のエンジニアに学ぶ】 - 一般社団法人 日本CTO協会
セキュアな Web アプリケーションを作るには? Vol.01 OWASP ASVS 4.0.1 編 | yamory Blog
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
Railsで作った脆弱性をOWASP ZAPで診断してみる
OWASP ZAP – ZAP Docker Documentation
https://github.com/OWASP/CheatSheetSeries/blob/master/cheatsheets/Server_Side_Request_Forgery_Prevention_Cheat_Sheet.md
Webセキュリティの“モヤモヤ”の正体はなに? セキュアの共通認識を形成する「OWASP ASVS」
OWASP Top 10 for Large Language Model Applications | OWASP Foundation
JSSEC技術部会 モバイルアプリケーション開発 10大チェックポイント 2023 | JSSEC
OWASP Juice Shop でWebアプリの脆弱性を体験してみる | DevelopersIO
abundance-webmarketing.studio
www.facebook.com
greattime.blog
www.bloomberg.co.jp
greattime.blog
sirabee.com