先日のブログ記事にて、Welcartのオブジェクトインジェクション脆弱性について説明しましたが、オブジェクトインジェクションという脆弱性自体の情報源があまりないので、入門記事を書こうと思い立ちました。 (2017/11/22追記) OWASP Top 10 2017に正式に公開され、そのA7に安全でないデシリアライゼーション (Insecure Deserialization) が入りました。これは、本稿で扱うオブジェクトインジェクションと同内容ですが、OWASPの表記にならい、タイトルを変更しました。 以下、「そんなプログラムあり得るか?」という現実性についてはあまり気にしないで、原理的にオブジェクトインジェクションがどのようなものかについて順を追って説明していきます。以下、PHP言語のケースを題材として具体例を提示しますが、概念自体は他の言語でも通用するものです。 シリアライズとオブジ
コンテンツデリバリーネットワーク(CDN)サービスを基盤に、各種のクラウド型セキュリティサービスを手掛けるアカマイ・テクノロジーズでWebセキュリティの動向を追う中西一博氏が、非常に発見が難しくなっているWeb攻撃の実態と手口を暴き、その対策について解説する。 以前の連載:迷惑bot事件簿 攻撃の約20%がAPIを標的に 普段利用するスマホアプリでも、購買や決済、パーソナライズなどの目的で、ID、パスワード認証を行うものは多い。そのログインを司るAPI認証・認可サーバには日々大量の不正なログイン試行がbot(自動実行プログラム)により行われている。世界中の主要なWebベースのコンテンツを配信している米Akamai Technologies(アカマイ)では、観測データからWebベースのサービスに対する不正なログイン試行総数の約20%が、APIサーバに対するものだと分析している。 SNSなどか
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティ企業のCheck Point Research(CPR)は米国時間5月20日、複数のAndroidアプリを分析したレポートを公開し、アプリ開発者らによるクラウド関連の誤設定によって、1億人を超えるユーザーのデータが危険にさらされていると警告した。 CPRは、広く普及している複数のモバイルアプリを調査したところ、少なくとも23本から「サードパーティーのクラウドサービスに関する(さまざまな)誤設定」が見つかったとレポートに記している。 今日のオンラインサービスやアプリではクラウドサービスが広く利用されており、こうした傾向は新型コロナウイルス感染症(COVID-19)のパンデミックで加速されたリモートワークの普及によってさ
コードカバレッジの可視化プラットフォーム「Codecov」が、2カ月以上にわたって改ざんされる被害が発生した。同プラットフォームの利用環境より認証情報やトークン、コードなどを窃取された可能性があり、国内でも被害が確認されている。 Codecovが提供する「Codecov」において、一部スクリプトが何者かによって改ざんされたもの。「Codecov-actions uploader for Github」「Codecov CircleCl Orb」「Codecov Bitrise Step」なども影響を受ける。 開発環境におけるプロジェクト内のカバレッジファイルを検出し、レポートを収集して「Codecov」に送信するためのスクリプト「Bash uploader」が改ざんされた。 利用者の継続的インテグレーション(CI)環境において、改ざんされた同スクリプトよりアクセスが可能だった資格情報やトー
Check Point Software Technologiesは5月20日(米国時間)、「Misconfiguration of third party cloud services exposed data of over 100 million users - Check Point Software」において、Androidアプリ開発者のクラウドサービスに関する設定ミスなどによって、1億人以上の個人情報が流出するおそれがあると指摘した。電子メール、チャットメッセージ、位置情報、パスワード、写真などのデータが漏洩するリスクがあるとされており、犯罪者によって取得された場合は詐欺やサービス不正利用などに悪用される可能性がある。 Misconfiguration of third party cloud services exposed data of over 100 million
オープンソースソフトウェアの採用率は98%に拡大、脆弱性含む割合も増加の一途:IoTセキュリティ(1/2 ページ) 日本シノプシスは、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 日本シノプシスは2021年5月21日、オンラインで会見を開き、商用ソフトウェアにおけるOSS(オープンソースソフトウェア)の利用状況を調査した「2021年オープンソース・セキュリティ&リスク分析(Open Source Security and Risk Analysis:OSSRA)レポート」の結果について説明した。 同レポートは、企業買収時のソフトウェアの査定などを行っているBlack Duckの監
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Microsoftは、セキュリティチームが既知の攻撃シナリオを再現し、Microsoftの主なセキュリティ製品がどれだけ対応できるかをテストするためのオープンソースプロジェクト「SimuLand」を公開した。 SimuLandは、セキュリティ研究者がMicrosoft製品の守りをテストするための実験環境だ。研究者がこのフレームワークを使用すれば、「Microsoft 365 Defender」「Azure Defender」「Azure Sentinel」の攻撃検知能力をテストし、検証することができる。 Microsoftは、このプロジェクトの目的は、セキュリティチームが攻撃の手口を構成している行動や技術を理解し、攻撃者が取る行動の前提
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
