徳丸浩の日記
[PR]
EGセキュアソリューションズ株式会社はエンジニアを募集しています
プライバシーポリシー
ホーム
プライバシーポリシー
▼
2022年12月20日火曜日
Ruby cgi gemのHTTPヘッダインジェクション脆弱性CVE-2021-33621の概要と発見の経緯
›
この記事は Ruby Advent Calendar 2022 の第20日の記事です。前日の記事は @ydah さんによる「 RuboCopのバージョンを最新に保つ技術 」でした。 2022年11月22日に、Ruby cgi gemの HTTPヘッダインジェ...
2022年9月9日金曜日
PHPカンファレンス2022にてSPAセキュリティ超入門の話をします
›
今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。 日時:9月25日(日) 14:40〜15:40 場所: 大田区産業プラザPiO および YouTube 費用:無料 講演タイトル: SPAセキュリティ超入門 申し込み: con...
2022年7月4日月曜日
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
›
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。 第三者委員会調査報告書(公表版) クレジットカード番号等取扱業者...
2022年5月16日月曜日
DNSリバインディング(DNS Rebinding)対策総まとめ
›
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフ...
2022年3月14日月曜日
とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス
›
サマリ とある通販サイトにて「 メールアドレス・パスワードを保存する 」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介し...
2022年1月26日水曜日
2022年1月においてCSRF未対策のサイトはどの条件で被害を受けるか
›
サマリ 2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日に Firefoxも同様の仕様が導入されました 。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブ...
2021年12月20日月曜日
PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由
›
このエントリは、 PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスク...
2 件のコメント:
›
ホーム
ウェブ バージョンを表示