回答不能な質問であることはわかっています。アプリケーションや組織ごとに抱える問題に違いがあるため、「Webアプリケーション・セキュリティの最大の問題点」というものは一つだけではありません。では、リソースが限られている開発組織の場合はどこから着手すればよいでしょうか? OWASPトップ10などのデータ漏洩/エクスプロイト/上位n件のリストで頻出する問題にどのようなものがありますか? などについて、何人かの専門家に(およびTwitterで)意見を求めました。
カテゴリ: Webアプリケーション・セキュリティ, おすすめ | エキスパートへの質問:Webアプリケーション・セキュリティの最大の問題点は何ですか? はコメントを受け付けていません。
2019年ソフトウェア 脆弱性リストTop 10に掲載された一般的なソフトウェアの脆弱性は正しいAppSecツールとガイダンスがあれば見つけるのも修正するのも簡単です。理想を言えば、すべてのソフトウェアに欠点や弱点がないに越したことはありません。また少なくともソフトウェア脆弱性が、その頻度、簡単さ、可能性、利用された場合のビジネス上および技術上のインパクト、および検出と修正に必要なツールとリソースによってきちんとランク付けされていることが望ましいでしょう。このようにすれば、開発者はどこにリソースを集中させたらよいか、およびいつをもってその作業が完了したと考えてよいかを正確に知ることができます。
カテゴリ: Webアプリケーション・セキュリティ, モバイル・アプリケーション・セキュリティ | 2019年ソフトウェア 脆弱性リストTop 10 はコメントを受け付けていません。
OWASP Top 10 2017は、最も重大なWebアプリケーション・セキュリティ・リスクのリストです。Webアプリケーションに関するこれらの10大脆弱性にどのように対応したらよいでしょうか?数年に一度OWASPは、Webアプリケーション・セキュリティ・リスクに関する最も重大な10件についてのレポートを発表しています。最新版であるOWASP Top 10 2017は、2017年11月に発表されました(当社のAndrew van der Stockが制作に協力)。
カテゴリ: Webアプリケーション・セキュリティ, セキュリティ・スタンダートとコンプライアンス, ソフトウェア・アーキテクチャと設計 | OWASP Top 10 Webアプリケーション・セキュリティ・リスク はコメントを受け付けていません。
職人が傑作を生み出すには、適切なスキルとツールを併せて活用する必要があります。ツールは最高の作品を作るプロセスにおいて重要な補助手段となりますが、このプロセスには職人の適切な経験と専門知識も必要です。職人の道具箱と同様に、ペネトレーション・テスト担当者のツールボックスには業務目標に応じて使用するさまざまなペネトレーション・テスト・ツールがあります。
カテゴリ: Webアプリケーション・セキュリティ | 10の主要なペネトレーション・テスト・ツール はコメントを受け付けていません。
一般に、Webアプリケーションのアーキテクチャは通常Webブラウザ上で行われる基本的なレンダリングとクライアントへの情報の返却に対応します。その裏側で、Webアプリケーションはさまざまな異なる階層を利用します。その中にはプレゼンテーション、業務、データに使用するサーバーが含まれる場合があります。ニーズに応じてアーキテクチャの種類やアーキテクチャを構成する階層方式はさまざまです。
カテゴリ: Webアプリケーション・セキュリティ, ソフトウェア・アーキテクチャと設計 | Webアプリケーション・セキュリティの属性とは はコメントを受け付けていません。
脆弱性評価は、悪意のあるアクター(行為者)によるエクスプロイトの可能性があるWebアプリケーションのセキュリティ脆弱性の重大度レベルを特定して割り当てるプロセスです。評価は手動で行い、市販またはオープンソースのスキャン・ツールで補完して最大限のカバレッジを確保します。この必須チェックリストは、Webアプリケーションのセキュリティの欠陥を包括的にテストする場合の定石です。 評価の前
カテゴリ: Webアプリケーション・セキュリティ, ソフトウェア・アーキテクチャと設計 | 包括的なセキュリティ脆弱性評価チェックリスト はコメントを受け付けていません。
アプリケーション・レベルの攻撃の最も一般的な標的がWebであることをご存知でしたか?しかも、何らかの理由でWebアプリケーションのセキュリティに関わる作業に携わった経験がある方は、その実現が容易でないこともご存知でしょう。アプリケーション・セキュリティを実現するには、戦略的アプローチをとることが重要です。このWebアプリケーション・セキュリティ・テスト・チェックリストは、テスト手順を理解し、テストの主要な要素を把握して見落としを防ぐためのガイドです。
カテゴリ: Webアプリケーション・セキュリティ | Webアプリケーション・セキュリティ・テストの包括的なチェックリスト はコメントを受け付けていません。
「アプリケーション・セキュリティ」と「ソフトウェア・セキュリティ」は多くの場合に同義語として用いられますが。実際には両者には違いがあります。情報セキュリティ分野のパイオニア、Gary McGraw氏によると、アプリケーション・セキュリティがソフトウェアのデプロイ後に発生する事後的アプローチであるのに対し、ソフトウェア・セキュリティはデプロイ前の段階で対応する予防的アプローチです。
カテゴリ: Webアプリケーション・セキュリティ, モバイル・アプリケーション・セキュリティ | アプリケーション・セキュリティとソフトウェア・セキュリティ の違い はコメントを受け付けていません。
この記事では、筆者が最近Pythonのバイトコードを使用した経験をご紹介したいと思います。正確には、使用したのは専らCPythonインタープリタ向けのバイトコードで、バージョンは2.6と2.7に限定されていました。
カテゴリ: Webアプリケーション・セキュリティ | Pythonバイトコードの知識 はコメントを受け付けていません。