これまでのDAST(動的解析)や脆弱性診断に代わる次世代のWebアプリケーション・セキュリティ・テスト手法としてIAST(インタラクティブ・アプリケーション・セキュリティ・テスティング)という手法がありますが、ここではSeekerというIASTツールの使い方についてみなさんの疑問にお答えします。
カテゴリ: Webアプリケーション・セキュリティ, Webセミナー, インタラクティブ・アプリケーション・セキュリティ・テスティング(IAST)
最近のシステムは、さまざまなネットワークを介してAPIを公開する複雑なシステムに依存しています。APIセキュリティとは何でしょうか。また、セキュリティ・プログラムにどのように組み込まれるものでしょうか。
カテゴリ: Webアプリケーション・セキュリティ
ハッカーからWebアプリケーションを保護するにはどうすればよいでしょうか。ファイアウォールは忘れてください。必要なものは、ソフトウェア・コンポジション解析や自動テストなどのアプリケーション・セキュリティ・ツールベルトです。
カテゴリ: Webアプリケーション・セキュリティ
回答不能な質問であることはわかっています。アプリケーションや組織ごとに抱える問題に違いがあるため、「Webアプリケーション・セキュリティの最大の問題点」というものは一つだけではありません。では、リソースが限られている開発組織の場合はどこから着手すればよいでしょうか? OWASPトップ10などのデータ漏洩/エクスプロイト/上位n件のリストで頻出する問題にどのようなものがありますか? などについて、何人かの専門家に(およびTwitterで)意見を求めました。
カテゴリ: Webアプリケーション・セキュリティ
2019年ソフトウェア 脆弱性リストTop 10に掲載された一般的なソフトウェアの脆弱性は正しいAppSecツールとガイダンスがあれば見つけるのも修正するのも簡単です。理想を言えば、すべてのソフトウェアに欠点や弱点がないに越したことはありません。また少なくともソフトウェア脆弱性が、その頻度、簡単さ、可能性、利用された場合のビジネス上および技術上のインパクト、および検出と修正に必要なツールとリソースによってきちんとランク付けされていることが望ましいでしょう。このようにすれば、開発者はどこにリソースを集中させたらよいか、およびいつをもってその作業が完了したと考えてよいかを正確に知ることができます。
職人が傑作を生み出すには、適切なスキルとツールを併せて活用する必要があります。ツールは最高の作品を作るプロセスにおいて重要な補助手段となりますが、このプロセスには職人の適切な経験と専門知識も必要です。職人の道具箱と同様に、ペネトレーション・テスト担当者のツールボックスには業務目標に応じて使用するさまざまなペネトレーション・テスト・ツールがあります。
カテゴリ: Webアプリケーション・セキュリティ
一般に、Webアプリケーションのアーキテクチャは通常Webブラウザ上で行われる基本的なレンダリングとクライアントへの情報の返却に対応します。その裏側で、Webアプリケーションはさまざまな異なる階層を利用します。その中にはプレゼンテーション、業務、データに使用するサーバーが含まれる場合があります。ニーズに応じてアーキテクチャの種類やアーキテクチャを構成する階層方式はさまざまです。
脆弱性評価は、悪意のあるアクター(行為者)によるエクスプロイトの可能性があるWebアプリケーションのセキュリティ脆弱性の重大度レベルを特定して割り当てるプロセスです。評価は手動で行い、市販またはオープンソースのスキャン・ツールで補完して最大限のカバレッジを確保します。この必須チェックリストは、Webアプリケーションのセキュリティの欠陥を包括的にテストする場合の定石です。 評価の前
アプリケーション・レベルの攻撃の最も一般的な標的がWebであることをご存知でしたか?しかも、何らかの理由でWebアプリケーションのセキュリティに関わる作業に携わった経験がある方は、その実現が容易でないこともご存知でしょう。アプリケーション・セキュリティを実現するには、戦略的アプローチをとることが重要です。このWebアプリケーション・セキュリティ・テスト・チェックリストは、テスト手順を理解し、テストの主要な要素を把握して見落としを防ぐためのガイドです。
カテゴリ: Webアプリケーション・セキュリティ
「アプリケーション・セキュリティ」と「ソフトウェア・セキュリティ」は多くの場合に同義語として用いられますが。実際には両者には違いがあります。情報セキュリティ分野のパイオニア、Gary McGraw氏によると、アプリケーション・セキュリティがソフトウェアのデプロイ後に発生する事後的アプローチであるのに対し、ソフトウェア・セキュリティはデプロイ前の段階で対応する予防的アプローチです。