セキュリティに関する記事とニュース
-
2016/01/29
SQLインジェクション対策の極意はSQL文を組み立てないことにあり
特にウェブアプリケーションにおいて、SQLインジェクションはもっとも有名な脆弱性の一つであり、2005年以降は日本のウェブサイトにも活発に攻撃が行われています。OWASP Top 10の2010年版においても、最新版の2013年版においても、ともに1位に位置づけられています。本稿では、OWASPのドキュメントを参照しながら、SQLインジェクションのあるべき対策について説明します。
-
2016/01/26
Javaのデシリアライズに関する問題への対策
前回までに、Apache Commons Collectionsライブラリの脆弱性を発端に、Javaのデシアライズに関する一般的なセキュリティ問題の危険性を説明した。今回は、それを踏まえ、具体的な対処方法について解説する。
-
2016/01/18
Javaのデシリアライズに関する問題
前回、Apache Commons Collectionsライブラリの脆弱性について、問題の詳細と攻撃の仕組みを解説した。今回は、それを踏まえ、より一般的なJavaのデシリアライズの問題について解説する。
-
2015/12/28
クロスサイトスクリプティング対策 ホンキのキホン
クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題の一つでありながら、OWASP Top 10でも2010年に引き続き2013年でも3位と、いまだに根絶できていない脆弱性です。本稿では、Webアプリケーションの開発においてXSSを根絶するために必要な対策の基本を本気でお伝えします。
-
2015/12/18
OWASP AppSec USA 2015カンファレンスレポート:「アプリケーションセキュリティの最先端情報が集結」
2015年9月22日から9月25日の4日間にわたり、Webアプリケーションのセキュリティに関する国際カンファレンスである「OWASP AppSec USA 2015」が米国サンフランシスコで開催されました。世界各国から開発者や研究者が一堂に会する本カンファレンスに参加してきましたので、その魅力的な内容について報告します。
-
2015/12/11
Apache Commons Collectionsの脆弱性解説
2015年11月にApache Commons Collectionsのデシアライズ実装に由来する脆弱性が大きな話題となった。本稿では、本問題を正しく理解し本質的な対応を取れるように、問題の概要や攻撃の仕組みについて技術解説を行う。
-
2015/12/03
Web開発者がおさえておきたい10のセキュリティ技術 ~カギは事前の対策にあり OWASP Proactive Controls
前回の記事では、特に深刻な影響のある脆弱性をまとめた「OWASP Top 10」について紹介しました。本記事では、このOWASP Top 10で列挙した10の重大な脆弱性を作りこまないようにする事前の対策についてまとめたガイドライン「OWASP Top 10 Proactive Controls」を紹介します。"Proactive Control"とは"事前の対策"を意味します。このガイドラインに基づいてソフトウェアの構築・開発を行うことにより、かなりの程度、重大な脆弱性を作りこまないようにす...
-
2015/11/05
OWASP Night 第19回イベントレポート:「セキュリティ要件と実装、どこまでやれば十分か」
OWASP JapanはOWASP Nightというカジュアルなミーティングを3か月に一度の頻度で開催しており、10月19日に日本橋のサイボウズ社で19回目のOWASP Nightが開催されました。本記事では、OWASP Nightで発表があった4つのスピーチのレポートを通じて、OWASP Nightの魅力をお伝えいたします。
-
2015/10/29
Web開発者であれば押さえておきたい10の脆弱性 ~セキュリティ学習の第一歩はここから踏み出そう
本記事では、重要なインパクトのある10の脆弱性についてまとめた、「OWASP Top 10」をご紹介します。OWASP Top 10は3年に1度のペースで改定されてきたドキュメントで、特にウェブアプリケーションにおける重要な脆弱性やその脆弱性を作りこまないようにする方法を示しています。これによりセキュリティ対策の基礎を効率的、効果的に学ぶことができるため、これからセキュリティに関する勉強を始めたい方にうってつけです。
-
2015/08/27
「ツールの利用者」から「設計者」になるために。『入社1年目からの「Web技術」がわかる本』著者インタビュー
Web開発をするとき、ツールやフレームワークはとても便利です。しかし、日々の仕事に囚われて、それらの単なる「利用者」になってはいませんか? 今回『入社1年目からの「Web技術」がわかる本』の著者、濱勝巳さんにプロとしてやっていくうえで最低限知っておくべきWeb開発の知識を網羅した本書についてうかがいました。
-
2015/08/26
iOS 9やService Workerの登場で対応待ったなし! これからのWebで重要度を増すSSLの活用事例
本記事ではWebの通信を暗号化するSSLをテーマに、IT業界全体で重要性を増すSSLの状況や、SSLを容易に利用できる環境などを紹介します。またSSL環境でしか利用できないWeb技術としてService Workerを紹介します。
-
2015/08/21
Web開発に関わるうえで最低限知っておくべき知識を網羅――『入社1年目からの「Web技術」がわかる本』刊行
翔泳社が8月21日に刊行した『入社1年目からの「Web技術」がわかる本』では、いま利用されているWeb技術について幅広く取り上げ、解説しています。Web開発を行なううえで、開発者であれ設計者であれ、入社1年目でも最低限知っておかなければならない知識があります。それは個別の要素技術ではなく、Web技術の全体像なのです。