コンテナのセキュリティを考えてみる
コンテナのセキュリティについて考えていますか? 従来のアプリケーションセキュリティは、コンテナの導入を目的としたものではありません。 コンテナを保護するための戦略とはどんなものでしょうか?
[CyRC脆弱性勧告]Jetty webサーバーのサービス拒否(DoS)脆弱性
CVE-2020-27223は、よく使われているEclipse FoundationのJettyWebサーバーで発見されたサービス拒否(DoS)の脆弱性です。
[ウェビナー]次世代Webアプリケーション・セキュリティ・テスト「IAST」についてのご質問
これまでのDAST(動的解析)や脆弱性診断に代わる次世代のWebアプリケーション・セキュリティ・テスト手法としてIAST(インタラクティブ・アプリケーション・セキュリティ・テスティング)という手法がありますが、ここではSeekerというIASTツールの使い方についてみなさんの疑問にお答えします。
カテゴリ: Webアプリケーション・セキュリティ, Webセミナー, インタラクティブ・アプリケーション・セキュリティ・テスティング(IAST)
APIセキュリティの準備はできていますか?
Modern systems rely on complex systems that expose APIs over various networks. What is API security? And how is it incorporated into security programs?
カテゴリ: Webアプリケーション・セキュリティ
ハッカーがWebアプリケーションをターゲットにしている理由(そしてそれを阻止する方法)
ハッカーからWebアプリケーションを保護するにはどうすればよいでしょうか。ファイアウォールは忘れてください。必要なものは、ソフトウェア・コンポジション解析や自動テストなどのアプリケーション・セキュリティ・ツールベルトです。
カテゴリ: Webアプリケーション・セキュリティ
エキスパートへの質問:Webアプリケーション・セキュリティの最大の問題点は何ですか?
回答不能な質問であることはわかっています。アプリケーションや組織ごとに抱える問題に違いがあるため、「Webアプリケーション・セキュリティの最大の問題点」というものは一つだけではありません。では、リソースが限られている開発組織の場合はどこから着手すればよいでしょうか? OWASPトップ10などのデータ漏洩/エクスプロイト/上位n件のリストで頻出する問題にどのようなものがありますか? などについて、何人かの専門家に(およびTwitterで)意見を求めました。
カテゴリ: Webアプリケーション・セキュリティ
2019年ソフトウェア 脆弱性リストTop 10
2019年ソフトウェア 脆弱性リストTop 10に掲載された一般的なソフトウェアの脆弱性は正しいAppSecツールとガイダンスがあれば見つけるのも修正するのも簡単です。理想を言えば、すべてのソフトウェアに欠点や弱点がないに越したことはありません。また少なくともソフトウェア脆弱性が、その頻度、簡単さ、可能性、利用された場合のビジネス上および技術上のインパクト、および検出と修正に必要なツールとリソースによってきちんとランク付けされていることが望ましいでしょう。このようにすれば、開発者はどこにリソースを集中させたらよいか、およびいつをもってその作業が完了したと考えてよいかを正確に知ることができます。
10の主要なペネトレーション・テスト・ツール
職人が傑作を生み出すには、適切なスキルとツールを併せて活用する必要があります。ツールは最高の作品を作るプロセスにおいて重要な補助手段となりますが、このプロセスには職人の適切な経験と専門知識も必要です。職人の道具箱と同様に、ペネトレーション・テスト担当者のツールボックスには業務目標に応じて使用するさまざまなペネトレーション・テスト・ツールがあります。
カテゴリ: Webアプリケーション・セキュリティ
Webアプリケーション・セキュリティの属性とは
一般に、Webアプリケーションのアーキテクチャは通常Webブラウザ上で行われる基本的なレンダリングとクライアントへの情報の返却に対応します。その裏側で、Webアプリケーションはさまざまな異なる階層を利用します。その中にはプレゼンテーション、業務、データに使用するサーバーが含まれる場合があります。ニーズに応じてアーキテクチャの種類やアーキテクチャを構成する階層方式はさまざまです。
包括的なセキュリティ脆弱性評価チェックリスト
脆弱性評価は、悪意のあるアクター(行為者)によるエクスプロイトの可能性があるWebアプリケーションのセキュリティ脆弱性の重大度レベルを特定して割り当てるプロセスです。評価は手動で行い、市販またはオープンソースのスキャン・ツールで補完して最大限のカバレッジを確保します。この必須チェックリストは、Webアプリケーションのセキュリティの欠陥を包括的にテストする場合の定石です。 評価の前