[B! security] wkubotaのブックマーク

CSRF対策のやり方、そろそろアップデートしませんか / Update your knowledge of CSRF protection

PHPerKaigi 2024 • Day 1での登壇資料です。 https://phperkaigi.jp/2024/ https://fortee.jp/phperkaigi-2024/proposal/0d0f8507-0a53-46f6-bca6-23386d78f17f ※ Authorizationヘッダーを利用したBearerトークン等の活用については言及していません。

wkubota 2024/03/10

リンク

Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

※本記事は筆者styprが英語で執筆した記事を株式会社Flatt Security社内で日本語に翻訳したものになります。 TL;DR Node.jsのエコシステムで最も人気のあるMySQLパッケージの一つである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数の予期せぬ動作がSQLインジェクションを引き起こす可能性があることが判明しました。通常、クエリのエスケープ関数やプレースホルダはSQLインジェクションを防ぐことが知られています。しかし、mysqljs/mysql は、値の種類によってエスケープ方法が異なることが知られており、攻撃者が異なる値の種類でパラメータを渡すと、最終的に予期せぬ動作を引き起こす可能性があります。予期せぬ動作とは、バグのような動作やSQLインジェクションなどです。ほぼすべてのオンラ

wkubota 2022/02/19

リンク

SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - Pepabo Tech Portal

カラーミーショップサービス基盤チームのkymmtです。この記事では、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理方法について紹介します。アプリケーションの構成構成の概要今回は例としてEC事業部で提供するカラーミーリピートをとりあげます。構成としては、Railsで作られたAPIサーバ1と、Vue.jsで作られたシングルページアプリケーション(SPA)からなります。また、SPAはExpressが動くフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけが呼び出します。各ロールはサブドメインが異なります。 APIサーバでセッションIDを持つCookieを発行し、Redisを用いてセッション管理します。また、APIサーバへのセッションが有効なリクエストはフロント

wkubota 2020/09/30

この手の事例を公開してくれるのは率直にいってありがたい。みんなどうしているのか案外分からないんだよね。

リンク

SMS認証の仕組みと危険性、「TOTP」とは？　「所有物認証」のハナシ

SMS認証の仕組みと危険性、﹁TOTP﹂とは？　﹁所有物認証﹂のハナシ‥今さら聞けない﹁認証﹂のハナシ︵1/3 ページ︶ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。連載‥今さら聞けない﹁認証﹂のハナシ専門用語が飛び交いがちなセキュリティの知識・話題について、﹁認証﹂関連分野を中心にできるだけ分かりやすく紹介します。執筆は、業務用の﹁トークンレス・ワンタイムパスワード﹂認証システム﹁PassLogic﹂や、

wkubota 2019/04/08

リンク

認証と認可の違い、説明できる？　「勇者王ガオガイガー」で解説してみる

この記事は認証セキュリティ情報サイト﹁せぐなべ﹂に掲載された﹁架空世界認証セキュリティセミナー第11回﹃政府による認証と認可︻勇者王ガオガイガー︼﹄﹂︵2017年12月7日掲載︶を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。あらためて架空世界の認証事例を紹介 ……それでは講義を始める。さて、今回取り上げるのは﹁勇者王ガオガイガー﹂。いろいろ切り口のある作品ではあるが、今回は﹁そもそも認証とは何か？﹂という点をもうちょっと深く掘り下げていくつもりだ。そのつもりで読んでほしい。﹁あとは勇気で補えばいいッ！﹂では基本データから紹介しよう。﹁勇者王ガオガイガー﹂は1997年から放送されたSFロボットアニメ。名古屋テレビ・サンライズ制作のいわゆる﹁勇者シリーズ﹂の最終作を飾るアニ

wkubota 2019/03/04

リンク

IPA テクニカルウォッチ：「サーバソフトウェアが最新版に更新されにくい現状および対策」：IPA 独立行政法人情報処理推進機構

IPA（独立行政法人情報処理推進機構、理事長：藤江一正）は、IPAが脆弱性の届出を受けたウェブサイトそれぞれで使用されているウェブサーバ関連ソフトウェアのバージョン確認を実施し、その結果を踏まえ、ウェブサイト運営組織および管理者向けに「サーバソフトウェアが最新版に更新されにくい現状および対策」として2014年4月25日からIPAのウェブサイトで公開しました。下記より「サーバソフトウェアが最新版に更新されにくい現状および対策」PDF版をダウンロードしてご利用いただけます。

wkubota 2014/04/27

まさにこれ

リンク

The Heartbleed Hit List: The Passwords You Need to Change Right Now

It's time to update your passwords to various sites affected by the Heartbleed bug. Credit: Mashable composite. iStockphoto, SoberP An encryption flaw called the Heartbleed bug is already being dubbed one of the biggest security threats the Internet has ever seen. The bug has affected many popular websites and services -- ones you might use every day, like Gmail and Facebook -- and could have quie