政府機関や大手企業のWebサイトがサイバー攻撃を受けたニュースを見聞きするにつけ、「英知が集まって作られているであろう政府機関や大企業のサイトでも攻撃されちゃうの?」とおののくブログ担当のもちゃじです。 世の中に存在しているWebサイトは大...
セキュリティ診断員って、かっこよくないですか? 情報セキュリティのガーディアンたるセキュリティエンジニア。その中でも、スペシャリストであるセキュリティ診断員。Webセキュリティの世界を知るにつれ、かっこいいなぁと憧れが募っているブログ担当の...
Webセキュリティ診断というと、ツールによる診断なのか、手作業による診断なのか、その手法や内容がフィーチャーされがち。いやでも、診断したからには、診断の結果が書いてある「報告書」をどう見るか。そこが大事なんじゃなかろうか。 世の中あまりにも...
セキュリティ診断の手法の一つである「手作業による診断」は、サイト特性を見ないと検査できない箇所を、人の手により診断していきます。この方法によって、自動で診断を行う「ツール診断」では見つけられない脆弱性を見つけることができるんです。 では、具...
セキュリティ診断の方法は、主に「ツールによる診断」、「手作業による診断」、ツールと手作業を合わせた「ハイブリッド診断」の3つがあります。ブログ担当の私もちゃじは、この3つの手法の違いが文字通りの意味でしか理解できていません。 「ツールによる...
Webセキュリティを担う診断員の必須ツールともいえる「ローカルプロキシツール」。なぜ必須なのか、実はあまりピンときていないブログ担当もちゃじです。 この記事では、「ローカルプロキシツール」ってどんなことができて、実際に診断員はどんな機能を使...
セキュリティ診断の目的は、ざっくりいってしまえば「脆弱性をゼロに近づけて、セキュリティインシデントを防ぐために、脆弱性の有無を調べること」。サーバーやシステムに穴(脆弱性)があったら、「悪い人」によってデータの改ざんや搾取などの攻撃につなが...
セキュリティ診断員である私ですが、たまにこのようなことを聞かれます。 「Webの製品やサービスを運営していますが、セキュリティ被害に遭いますか?」 そう聞かれたら「Yes」と断言することはできませんが、だからといって何も対策をしなくて良いわ...
Webセキュリティを勉強し始めた皆さん、 用語が難しくて挫折しそう「何が分からないか」が分からないから質問もできない こんな状態になっていませんか? 1年前のわたくし、もちゃじがまさにそうだったんです。ITど素人がWebセキュリティの世界に...
脆弱性のデモ動画作ってみたよ、シリーズ4回目の今回は「パストラバーサル」です。 この動画シリーズの記事はこちら 第1回「クロスサイトスクリプティング(XSS)の例を動画で解説!」第2回「SQLインジェクション の例を動画で解説!」第3回「権...