セキュリティ関連のHTTPヘッダを一括指定する Baseline ヘッダ - ASnoKaze blog
現在のWebでは、セキュリティ上レスポンスヘッダで色々なものを指定します。Webデベロッパーは個別に指定しなければなりません。 そこで、セキュリティ関連のヘッダを推奨デフォルト値に設定できるようにする「Baseline ヘッダ (Opt-into Better Defaults)」が、GoogleのMike West氏によって提案されています。 まだたたき台であり、これからW3CのWebAppSec WGで議論されている予定になっています。 Baseline ヘッダ 次のようにレスポンスヘッダを指定します。 Baseline: Security=2022これは、次のヘッダを送信するのと同様です。 Content-Security-Policy: script-src 'self'; object-src 'none'; base-uri 'none'; require-trusted-ty
導入期間5分でワクチン予約サイトを落ちなくできるCloudflare Waiting Roomは最強のソリューション | DevelopersIO
昨今のCOVID-19ワクチン予約サイトでは、大量のリクエストが一気に押し寄せてサイトがダウンしてしまい、予約ができないなどと話題になってしまいがちです。 ワクチン予約サイトはたくさんリクエストが来るのは事前に分かっていますので、サーバーを増強したり、クラウドなどを活用して予約のタイミングだけサーバーを大量にスケーリングしたり、サーバーレスなアーキテクチャにしたりして負荷に強いワクチン予約システムを作成して大量のリクエストを捌きれればベストですが、瞬間風速的なリクエストを捌ききるのは難しく、開発期間も短いため、頭を抱えていらっしゃる自治体・医療機関・協力会社様は多いかと思います。 クラスメソッドではCloudflareのFair Shotプロジェクトに賛同し、ワクチン接種を推進する自治体・医療機関・協力企業にデジタル待合室Cloudflare Waiting Roomを無償提供しております
フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識 作者:平野 昌士翔泳社Amazon 書籍「フロントエンド開発のためのセキュリティ入門」を読みました。 どういう本か この本は、Webアプリケーションにおける脆弱性やその対策について、フロントエンドに焦点を当てて解説しています。 Webやセキュリティに関する知識のない人でも理解できるよう、HTTPやオリジン、ブラウザの同一オリジンポリシー、Cookie、DOMといった基本的な用語や概念についても説明されています。 また、ハンズオン形式なので、まずは手元で攻撃を成功させてから対策を入れた結果を確認できるので理解を深めれます。 初学者がわかりやすいように噛み砕いて身近な例で説明していたり、画像や図もあり、とても分かりやすかったです。あと、文章が読みやすくてスラスラ読めました。 ハンズオンはNode.js
ミルクボーイがCORSを説明しました
はじめに 内海「どうもー ミルクボーイですー」 駒場「お願いしますー」 内海「あーありがとうございますぅー ねっ 今XSS攻撃をいただきましたけどもね」 駒場「こんなん なんぼあっても良いですからね」 内海「ねー あればあるだけ良いですからね ほんとにね」 駒場「いきなりですけどね うちのオカンがね 好きなセキュリティに関する用語があるらしいんやけど」 内海「あっ そーなんや」 駒場「そのセキュリティに関する用語をちょっと忘れたらしくてね」 内海「好きなセキュリティに関する用語忘れてもうて どないなってんねんそれ」 駒場「でまあ色々聞くんやけどな 全然わからへんねんな」 内海「分からへんの? ほな俺がね オカンの好きなセキュリティに関する用語 ちょっと一緒に考えてあげるから」 内海「どんな特徴ゆうてたかってのを教えてみてよー」 CORSとは 駒場「あのー Webブラウザ上で異なるオリジン間
発見した0dayについての技術的解説 - EC-Cube, SoyCMS, BaserCMS - Flatt Security Blog
※このブログは、セキュリティエンジニアのstyprが英語で書いた文章を翻訳し、社内で監修したものになります。 こんにちは。株式会社Flatt Securityのstypr (@stereotype32)です。 以前公開した記事「Flatt Securityは“自分のやりたいことが実現できる”場所/セキュリティエンジニア stypr」でお話した通り、私は現在Flatt Securityで0day huntingとセキュリティの診断をしています。 私は 5月に入社してから 0day hunting の業務に取り組んでいます。他の面白い業務と並行して取り組んでいるので、一つの製品にかけている時間は、最低1日からせいぜい1週間程度です。 結果、これまでの間、私はかなり多くのOSS脆弱性を見つけてきました。そこで今回の記事では、現在までに修正された脆弱性のうち、技術的に面白い選りすぐりのものを解説し
[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える | DevelopersIO
Amazon GuardDutyは脅威検知のサービスです。うまく活用してインシデントに対応するために運用方法をまとめます。 こんにちは、臼田です。 みなさん、AWSのセキュリティ運用してますか?(挨拶 Amazon GuardDutyはAWS上の脅威検知サービスです。今回はこのサービスにフォーカスしたセキュリティ運用を考えてみます。 ちなみにAWS Security Hubについても同じようにセキュリティ運用についてまとめたので以下もご確認ください。 AWSセキュリティ全体像 フォーカスしていく前に全体の整理をします。以下にざっくりとAWSにおけるセキュリティの要素について書き出してみます。 AWSレイヤー IAM管理 ネットワークセキュリティ 設定管理 OS/アプリレイヤー 不正プログラム対策 脆弱性管理 セキュアアプリケーション アプリケーション保護 全体管理 ガバナンス・コンプライア
![[2021年版]Amazon GuardDutyによるAWSセキュリティ運用を考える | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/667f87d2f54fdeff2f01ae7c6408e45a44404f8e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-guard-duty.png)
本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「今一度、おさらいしておきたいWordPressのセキュリティ」を再編集したものです。 2020年11月に発表されたウェブサイト向けCMSの世界シェアでは、WordPressが圧倒的な1位となっている。2003年にリリースされたこのオープンソースのソフトウェアは、ウェブ制作におけるデファクトスタンダードになったといえるだろう。しかしその分、悪意のある第三者に狙われやすくなっている。この記事では、WordPress利用時のリスクとその対策について詳しく解説する。 WordPressとは WordPressは無料で利用できるウェブサイト向けのCMS(コンテンツ・マネジメント・システム)で、その導入によりHTMLやCSSを直接編集することなく、ウェブサイトを更新することができる。プログラムが公開されているオープンソー
This article lists the most important security headers you can use to protect your website. Use it to understand web-based security features, learn how to implement them on your website, and as a reference for when you need a reminder. Security headers recommended for websites that handle sensitive user data: Content Security Policy (CSP) Trusted Types Security headers recommended for all websites
_%25E3%2581%25AE%25E5%258E%259F%25E7%2590%2586%25E3%2581%25A8%25E6%2594%25BB%25E6%2592%2583%25E6%2589%258B%25E6%25B3%2595%25E3%2581%258A%25E3%2582%2588%25E3%2581%25B3%25E3%2581%259D%25E3%2581%25AE%25E5%25AE%259F%25E8%25A3%2585%25E3%2581%25AB%25E3%2581%25A4%25E3%2581%2584)
CSS Injection (+ Recursive Import) の原理と攻撃手法およびその実装について - Szarny.io
はじめに 注意 CSSiの原理と概要 クラシカルな手法 概要 動作デモ 実装 脆弱なWebアプリケーション(/classic/user/*) 攻撃用CSS生成スクリプト(/classic/attacker/exploit.py) 攻撃者用Webサーバ(/classic/attacker/server.py) Recursive Import を用いた手法 概要 CSSのインポートと攻撃の原理 攻撃フロー 動作デモ 実装 脆弱なWebアプリケーション(/recursive/user/*) 攻撃者用Webサーバ(/recursive/attacker/server.py) おわりに 参考文献 はじめに 本記事ではCSS Injection(以下,CSSi)について解説します. CSSiについて,その原理や攻撃手法の概要を示したあと,実際に攻撃環境を実装して,HTML上に存在する機密情報を窃取す
数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したいと思います。なお、現在脆弱性は修正されています。 調査のきっかけElectronアプリの脆弱性を探したい気分だったので、Electronアプリで報奨金が出るアプリを探していたところ、Discordが候補にあがりました。Discordは自分自身が利用者で、自分が使うアプリが安全かどうかをチェックしたいという思いもあったので、調査をすることにしました。 発見した脆弱性私は主に次の3つのバグを組み合わせることでRCEを達成しました。 contextIsolationオプションの
「エンジニアDB」というサービスを開発しました!【Next.js / Rails / AWS / Terraform / Docker / GitHub Actions】 - Qiita
3.インフラ(全体構成)について ここから技術的なことについて話していきます。 まず大前提として、プロジェクトの全体構成は、Happiness Chain の卒業課題の条件に基づいて決めれらていました。これらの条件には以下が含まれます Rails APIモード / Reactで完全SPAのポートフォリオを作る。 本番環境と開発環境にDockerを使う。 本番環境にはECS Fargateを使う。 GitHub Actionsを使ってAWSに自動デプロイする。 Terraformでインフラをコード化する。 なので、これに倣って実装しています。 アーキテクチャの全体像 フロントエンドはVercelにデプロイして、バックエンドはAWSのECSにデプロイしています。 ブランチ運用は、GitHub flowを採用しています。 プルリク時にテストが走り、mainブランチにマージされるとデプロイされる感
NETGEAR社製ルーターにおける認証不要の任意コード実行の技術的解説(PSV-2022-0044) - Flatt Security Blog
※本記事は先立って公開された英語版記事を翻訳し、日本語圏の読者向けに一部改変したものです。 画像出典: https://www.netgear.com/business/wifi/access-points/wac124/ はじめに こんにちは、株式会社Flatt Securityのstypr(@stereotype32)です。 一昨年、日本のOSS製品で発見された0day脆弱性に関する技術解説をブログに書きました。 それ以来、私は様々な製品に多くの脆弱性を発見してきました。残念ながら私が見つけたバグのほとんどはすぐに修正されなかったので、今日まで私が見つけた、技術的に興味深い脆弱性の情報を共有する機会がありませんでした。 本記事では、NETGEAR社のWAC124(AC2000)ルーターにおいて、様々な脆弱性を発見し、いくつかの脆弱性を連鎖させて、前提条件なしに未認証ユーザーの立場からコ
Real World HTTP 第3版 ミニ版
TOPICS 発行年月日 2024年05月 PRINT LENGTH 207 ISBN 978-4-8144-0083-6 FORMAT PDF EPUB 本書は、2017年に発行し、2024年に第3版を発行した『Real World HTTP 第3版』のエッセンスを凝縮した、無料の電子書籍です。 HTTP/1.0、HTTP/1.1、HTTP/2と、HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。 ミニ版のため、一部の内容を割愛しています。詳しくは本書の「まえがき」をご覧ください。 ミニ版の使用について ミニ版の図版やテキストは、著作権法で認められている引用の範囲に加えて、有志での勉強会、自社の社員向けの研修に用いるプレゼンテーション資料のために、全体の10~20%程
ユーザー入力として受け取ったテンプレートをコンパイル テンプレートレベルがProgramming Language Templateは安全にコンパイルするのが難しい 高度なテンプレートはプログラミング言語そのもの コンパイル時に任意のコードが実行できてしまう => ⚠Danger Programming Language Templateをコンパイルする危険例: ローカル メールでマクロ付きのWordファイルを開いて、ローカルで任意のプログラムが実行されてしまうケース マクロはプログラムそのもの 偽装メールが再び拡散、不正マクロを仕込んだ添付ファイルでマルウエア感染:マクロウイルスの再来? - @IT デフォルトではマクロは無効化されており、オプトインで有効化になっている Office ドキュメントのマクロを有効または無効にする - Office サポート Programming Lang
Web Browser Engineering
Web browsers are ubiquitous, but how do they work? This book explains, building a basic but complete web browser, from networking to JavaScript, in a couple thousand lines of Python. Follow this book’s blog or Twitter for updates. You can also talk about the book with others in our discussion forum. If you are enjoying the book, consider supporting us on Patreon. Or just send us an email! Introduc
2019年7月以降、セキュリティ企業DEVCORE社の研究者により複数のSSL VPN製品に深刻な脆弱性が報告されました。2019年8月下旬から脆弱性を探査する動きが確認されており、既に脆弱性を悪用する攻撃も発生しているとしてJPCERT/CCやVOLEXITYにより注意喚起が行われています。ここでは関連する情報をまとめます。 深刻な脆弱性が確認されたSSL VPN製品 3社のSSL VPN製品を対象に脆弱性が確認された。 ベンダ(アドバイザリ) 修正日・情報公開日 影響を受ける製品/バージョン Paloalto Networks (PAN-SA-2019-0020) 2019年7月18日情報公開 ・PAN-OS 7.1.18以前 ・PAN-OS 8.0.11以前 ・PAN-OS 8.1.2以前 (PAN-OS 9.0は対象外) Fortinet (FG-IR-18-384) 2018年1
When speaking of web security in front-end, XSS is the first thing that comes to mind. But, even without JavaScript, the attacker can still use other attack vectors like HTML injection and CSS injection! This talk is an introduction to CSS injection.
目次# 前編 準備段階:計画と指標 パフォーマンスを重視する文化、Core Web Vitals、パフォーマンスのプロファイル、CrUX、Lighthouse、FID、TTI、CLS、端末。 現実的な目標の設定 パフォーマンスバジェット、パフォーマンス目標、RAILフレームワーク、170KB/30KBバジェット。 環境の定義 フレームワークの選択、パフォーマンスコストの基準設定、Webpack、依存関係、CDN、フロントエンドアーキテクチャ、CSR、SSR、CSR + SSR、静的レンダリング、プリレンダリング、PRPLパターン。 中編 アセットの最適化 Brotli、AVIF、WebP、レスポンシブ画像、AV1、アダプティブメディア読み込み、動画圧縮、Webフォント、Googleフォント。 ビルドの最適化 JavaScriptモジュール、モジュール/ノーモジュールのパターン、ツリーシェイ
2021年5月7日、米国の石油パイプライン企業Colonial Pipelineはランサムウエアによる影響をうけ業務全体を一時停止する措置を講じたことを発表しました。停止された輸送サービスは12日に再開され、15日までに供給網全体が復旧されました。ここでは関連する情報をまとめます。 予防的措置でパイプライン全停止(2021/5/7) 被害に遭ったのはメキシコ湾岸の精製業者から米国南東から北東(NY港、NY空港まで)にかけ約8,850㎞のパイプラインを運用する会社。ガソリン、ディーゼル、ジェット燃料など1日に250万バレル(米東海岸で消費される半分近くのシェア 約45%)を輸送している。 サイバー攻撃は米国時間で5月6日に始まり、ランサムウエアによりColonial Pipeline社内の一部のITシステムが影響を受けた。同社が攻撃事実に気づいたのは7日。わずか2時間で100GB近いデータ窃
Cookie vs Local Storage マルウェア耐性等に差はあるか?Google Chromeによる保存時の暗号化を検証する - Flatt Security Blog
はじめに こんにちは。セキュリティエンジニアの@okazu_dmです。 皆さんはブラウザにおいてLocal StorageやCookieに格納されている値が暗号化されているかどうかを考えたことはあるでしょうか。これらWebサービスの認証・認可において使われるデータが、XSSのようなアプリケーションの脆弱性への耐性に差があるかどうかは頻繁に議論されるところです。 しかし、ブラウザに保存されたデータが暗号化されているかどうかはまた別の攻撃経路への耐性の話であり、馴染みがないのではないでしょうか。 これは、基礎知識としてLocal StorageとCookieの仕組み/挙動の紹介と比較をしつつ、Google Chromeにおけるそれらの暗号化の実装上の違いを検証する記事です。 なお、保存先のストレージとAuth0のアクセストークンのXSS耐性との関連は過去に別の記事で検証しています。興味がある方
Githubの新しいセキュリティ機能 CodeQLを使ってみる - Security Index
CodeQLは、Semmleが提供しているコードセマンティック解析に使用するツールで、脆弱性やコードの品質の可視化を行うことができます。 2019年9月18日にGithubがCodeQLを開発しているSemmleを買収し、現在「GitHub Code Scanning」(リミテッドベータ)として利用することができるようになりました。 Welcoming Semmle to GitHub - The GitHub Blog GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020 - Publickey 現在でもSemmleのLGTMからCodeQLを利用することができます。 CodeQLを少し使ってみたので紹介したいと思います。 CodeQLを使ってみる Github連携 Alert :
Rustでブラウザを操作する「rust-headless-chrome」を試してみた | DevelopersIO
こんにちは。MAD事業部のきんじょーです。 最近Rustの入門書を読んだので、何かに使ってみようと模索していました。 その中で、Rustでヘッドレスブラウザを動かすライブラリを検証したのでこの記事にまとめます。 ヘッドレスブラウザとは ヘッドレスブラウザはGUIを持たないWebブラウザです。 一般的なブラウザと同じく、HTMLを解析しJavaScriptを実行できますが、GUIを持たないため、CLIやプログラム上から操作を行います。 主に以下のような用途で用いられます。 WebアプリケーションのE2Eテストの自動化 Webページのスクリーンショット取得 JavaScriptの自動テスト Webページで行うワークフロー処理の自動化 Webページのクローリング 古くはPhantomJSやCasperJSなどを用いていましたが、現在では主要なブラウザもネイティブでヘッドレスモードを搭載しています
What's New In DevTools (Chrome 94) | Blog | Chrome for Developers
Use DevTools in your preferred language Chrome DevTools now supports more than 80 languages, allowing you to work in your preferred language! Open Settings, then select your preferred language under the Preferences > Language dropdown and reload DevTools. Preferences" width="800" height="494"> Chromium issue: 1163928 New Nest Hub devices in the Device list You can now simulate the dimensions of Ne
CISSP 勉強ノート
目次の表示 1. 情報セキュリティ環境 1-1. 職業倫理の理解、遵守、推進 職業倫理 (ISC)2 倫理規約 組織の倫理規約 エンロン事件とSOX法の策定 SOC (System and Organization Controls) レポート 1-2. セキュリティ概念の理解と適用 機密性、完全性、可用性 真正性、否認防止、プライバシー、安全性 デューケアとデューデリジェンス 1-3. セキュリティガバナンス原則の評価と適用 セキュリティ機能のビジネス戦略、目標、使命、目的との連携 組織のガバナンスプロセス 組織の役割と責任 1-4. 法的環境 法的環境 契約上の要件、法的要素、業界標準および規制要件 プライバシー保護 プライバシーシールド 忘れられる権利 データポータビリティ データのローカリゼーション 国と地域の例 米国の法律 [追加] サイバー犯罪とデータ侵害 知的財産保護 輸入と
ラクスのPHPエンジニア12人によるPHPカンファレンス2020参加レポート - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに 株式会社ラクス 配配メール開発課のPHPエンジニア Jazumaです。 2020年12月12日(土)にPHPカンファレンスが開催されました。 phpcon.php.gr.jp 例年では「大田区産業プラザ PiO」で開催予定でしたが、今年は新型コロナウイルスの影響でオンライン開催となりました。個人的にはオンライン開催である分、地方のエンジニアでも気軽に参加することができたのは良かったのではないかと思います。 ラクスはPHPカンファレンスにスポンサーとして参加させていただいている他、社内からLT枠で2名が登壇しました。 今回はPHPカンファレンスに参加した社内のPHPエンジニアがイベントをレポートしましたので、ご紹介したいと思います。 各セッションのスライドについては以下にまとめましたので、ご活用いただければ幸いです。 No タイトル 1 SPAのAPI開発の「やりづらさ」をDDDと
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...) - Qiita
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...)JavaScriptcookieJWTxsstoken tokenを保存する場所 localStorage cookie cookie (http only) メモリ内 (変数) よく言われるのが JWT tokenをlocalStorageに入れるべきではない ということ。 理由としてはJavascriptで簡単に読めてしまうので、XSSがあった場合意図しないスクリプトを動かされてしまい、結果としてtokenが盗まれるというもの。 対応策として cookie (http only) を色んな所で推奨してる。 https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851 http://cryto.net
CTO室SREの @kenzo0107 です。 2021年6月24日に「 kakari for Clinic ホームページ制作 」がリリースされました。 kakari for Clinic ホームページ制作 今回は上記サービスで採用した、 AWS + ngx_mruby で構築した SSL 証明書の動的読み込みシステムについてです。 SSL 証明書を動的に読み込みする理由 kakari for Clinic ホームページ制作の1機能で、制作したホームページに独自ドメインを設定する機能がある為です。*1 複数ドメインでアクセスできる =複数ドメインの SSL 証明書を読み込む を実現する必要があります。 動的に SSL 証明書を読み込むには? 以下いずれかのモジュールを組み込むことで SSL 証明書の動的読み込みが可能になります。 ngx_mruby lua-nginx-module 以下理
SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと
サイバーセキュリティツール「Burp Suite」を手掛けるPortSwiggerは2020年2月17日(現地時間)、2019年の新しいWebハッキング技術のトップ10を発表した。 同社は、2006年からほぼ毎年、トップ10を発表している。今回はまず、Redditコミュニティー「Web Security Research」のメンバーが51件の候補を推薦し、メンバーの投票で最終選考対象を15件に絞り込んだ。最後にPortSwiggerのリサーチディレクターを務めるジェームズ・ケトル氏を含む4人の専門家パネルが協議、投票を行ってトップ10を選出した。 なぜトップ10を発表するのだろうか。「重要な」攻撃とそうでないものの見分けが付かなくなっているからだ。 毎年、研究者やベテランのペネトレーションテスター(ペンテスター)、賞金獲得を目指してチャレンジする技術者、学者が、サイバー攻撃手法についてBl
新卒エンジニア研修 2019 Vol.1 こんにちは!5月から始まった新卒・ペパカレ(いわゆる第二新卒)を対象としたエンジニア研修も約2ヶ月が経過しました。そこで今回は振り返りとして、研修内容とこれまでに学んだことや気づいたことを、新卒・ペパカレメンバーが紹介します。 研修内容について 配属先で必要になるWeb開発の基礎スキル習得を目標に、以下の研修を3ヶ月に渡って実施しています。 Webアプリケーション開発研修 セキュリティ研修 フロントエンド研修 インフラ研修 社内エンジニア・デザイナーによる座学 読書会 今回は6月までに行った内容について、それぞれ紹介していきます。 Webアプリケーション開発研修 まずはじめに、Rails Tutorialを教材に、Railsを利用したWebアプリケーション開発の基礎を学びます。研修メンバー全員がRails Tutorialを完走することを目標に、講
Mercari Advent Calendar 2020 の15日目は、メルカリ Product Security チームの Gloria Chow がお送りします。 こんにちは、Product Securityチームの@gloriaです。以前、オープンソースとして公開しているTestdeckという、マイクロサービスの自動化テストのための社内ツールについて記事を書きました。 今回は、2020年のAdvent Calendarの記事として、DevSecOpsについてお話をしたいと思います。近年、耳にする機会の多い話題の一つなので既にご存じの方もいらっしゃるかもしれませんが、DevSecOpsの基本的なコンセプト、注目されている理由、よくあるチャレンジとメルカリにおけるDevSecOpsの実践事例を紹介したいと思います。 DevSecOpsとは? DevSecOps以前から提唱されているDev
Building secure web apps using Web Workers | Mercari Engineering
Security is paramount for our users, and we at mercari strive to provide a snappy and safe platform. We recently introduced an additional layer of defence by adding Web Workers to secure the access token. It now protects the users from various kinds of attacks, including token theft from Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), prototype pollution, zero-day npm package vulner
(書籍レビュー)大企業のWebサイトの脆弱性発見事例が学べる「リアルワールドバグハンティング」 - 虎の穴開発室ブログ
あけましておめでとうございます。CTOの野田です。 オライリー社の「リアルワールドバグハンティング」(https://www.oreilly.co.jp/books/9784873119212/)を読みましたのでその感想になります。 本を読んだきっかけ この本は発売されたのが2020年09月と発売してから暫く経っていますが、オライリー新刊のタイトルを必ずチェックしている私の視界には当時入ってきませんでした。 表紙がカマキリなこと、「リアルワールド」「ハンティング」というタイトルから本当にリアル世界で虫をとる本かと思って手にとっていませんでした(最近DIYや健康の本もオライリーは出しているのでありえない話ではないと当時思っていました) 最近セキュリティ系の本を探していたときに改めてアンテナにひっかかったので今回を機会に読み始めました。 全体的な本の概要 実際の企業で起きたバグの内容とその報奨
50 Shades of Go: Traps, Gotchas, and Common Mistakes for New Golang Devs
50 Shades of Go: Traps, Gotchas, and Common Mistakes for New Golang Devs 50 Shades of Go in Other Languages Chinese Translation: blog post, segmentfault (by wuYin) - needs updates Another Chinese Translation: blog post (by Shadowwind LEY) - needs updates Russian Translation: blog post (by Ilia Ozhereliev, Mail.Ru Group Blog) - needs updates Overview Go is a simple and fun language, but, like any o
不正なリクエストに一泡吹かせたい
この記事は sadnessOjisan Advent Calendar 2021 25 日目の記事です。 ついに最終日ですね!今日は 02/04 なのですが・・・ 12/25 に Qiita のクソアプリカレンダーに マッチした人の年収を知れるマッチングアプリを作った と言うのを書いたのですが、あまりにも攻撃的なリクエストが飛んできたので閉じました。 で、閉じさせられることに腹が立ってきたので何か仕返しできないかなと思ってこの記事を書いています。 何を作っていたか 年収マッチ と言う、マッチングアプリ です。 マッチング(出会い)した相手とマッチ(対戦)できるというコンセプトです。 「年収を教えてくれる人には自分の年収を教えてもいいよね〜」と個人的に思っていて、それをしやすくするサービスとして作りました。 最終的には 50 人くらいの人が登録してくれていたのですが、一方でリクエストを見てい
ALPACA Attack
Paper Q&A How to ALPN/SNI Updates! News A big reevaluation of TLS libraries, TLS application servers, and a new internet scan by Jannik Hölling is now available in the Updates section! ALPACA will be presented at Black Hat USA 2021, USENIX Security Symposium 2021, and Real Word Crypto Symposium 2022! Recommended articles: Ars Technica (Dan Goodin), Golem (Hanno Böck; German) Introduction TLS is an
[AWS CDK] 一撃でCloudFrontとS3を使ったWebサイトを構築してみた | DevelopersIO
パッと静的Webサイトを用意したい こんにちは、のんピ(@non____97)です。 皆さんはパッと静的Webサイトを用意したいなと思ったことはありますか? 私はあります。 AWS上で静的Webサイトを構築するとなると思いつくのは「CloudFront + S3」の構成です。しかし、OACの設定をしたりアクセスログの設定をしたりと意外と設定する項目が多く大変です。そのため、検証目的で用意する際には手間がかかります。 毎回都度用意するのも面倒なので、AWS CDKを使って一撃で構築できるようにしてみました。(Route 53 Public Hosted Zoneを作成する場合は二撃です) AWS CDKのコードの紹介 やっていること AWS CDKのコードは以下リポジトリに保存しています。 やっていることは以下のとおりです。 Route 53 Public Hosted Zoneの作成 また
![[AWS CDK] 一撃でCloudFrontとS3を使ったWebサイトを構築してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a7f5a127e5201674dfcf5fd03efa1e4666981653/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cloudfront.png)
初めまして 60歳を間近にウェブデザイナーを目指して独学で勉強しているお婆ちゃんです。 去年の暮れからphpを勉強して、初めてシステムらしきものを作ってみました。 やりたいこと プチ・クラウドストレージ ・ファイルをどこからでもアップ、保管してダウンロードもできる。 ・セキュリティも兼ねてIDとパスワードでログイン形式にする。 まずはパワーポイントでサイトの系図を設計しました。 Excel、Word、パワポは商工会議所で習いたてホヤホヤです。 それぞれ基礎編までクリアして1月半くらいかかりました。 全部で5万円くらいはかかったかな。 次は手順を考えてイメージを具体化。 これは無料版のAdobeのXDを使ってみました。 操作も簡単で、感覚的に作れちゃうので便利です。 ページ自体はシンプルにしたかったのでフォントだけで作りました。 コードを書くのもAdobeの無料Brackets。Adobeド
Intro mozaic.fm をリニューアルし v3 としてリリースした。 今回の更新は以下のような変更/修正を実施している。 PWA 化 before install prompt Background Fetch Periodic Background Sync Content Index API Badging API Player UI の刷新 Pure Webcomponents Media Session API WAI-ARIA Portal Preview Screen Wake Lock Security CSP v3 (not Report-Only) Cross Origin Resource Policy Cross Origin Opener Policy Cross Origin Embedder Policy Expect-CT NEL Referrer P
ウェブブラウザ「Google Chrome」の最新安定版であるバージョン83.0.4103.61がリリースされました。クロスサイトスクリプティング攻撃(XSS)を防止するのに役立つ仕組みが導入されたり、フォームの見た目や操作性が改善されたほか、バーコードを認識するためのAPIが導入されるなどのアップデートが行われています。 New in Chrome 83 | Web | Google Developers https://developers.google.com/web/updates/2020/05/nic83 New in Chrome 83: Trusted types, updated form controls, and more! - YouTube ◆XSSを防止するための仕組み「Trusted Types」が登場 XSSは、ユーザーからの入力を受け取ってページに
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「フロントエンド開発のためのセキュリティ入門」を読んだ - toshi-toma blog
「WordPress」利用時のリスクとその対策
Security headers quick reference | Articles | web.dev
Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE
クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策
Twitterも影響を受けたSSL VPN製品の脆弱性についてまとめてみた - piyolog
Attacking web without JS - CSS injection
フロントエンドパフォーマンスのチェックリスト2021年版(PDF、Apple Pages、MS Word)-中編 | POSTD
米石油パイプライン企業へのサイバー攻撃についてまとめてみた - piyolog
AWS + ngx_mruby で SSL 証明書の動的読み込みシステム構築 - メドピア開発者ブログ
新たなWebハッキング技術、2019年に登場したトップ10をPortSwiggerが発表
新卒エンジニア研修 2019 Vol.1 - Pepabo Tech Portal
DevSecOpsとは何か — 導入する組織が増加している理由 | メルカリエンジニアリング
プチ・クラウドストレージ作ってみた - Qiita
mozaic.fm v3 リリースと Podcast の PWA 化 | blog.jxck.io
Google Chrome 83安定版リリース、Microsoftの協力でフォームの見た目&操作性が大幅アップデート