全ての記事一覧

2023/09/20
ITド素人のスタディWebセキュリティ

意外と見落とされがち! Webセキュリティ診断の報告書とは? 〜セキュリティ診断について理解を深めるその6〜

Webセキュリティ診断というと、ツールによる診断なのか、手作業による診断なのか、その手法や内容がフィーチャーされがち。いやでも、診断したからには、診断の結果が書いてある「報告書」をどう見るか。そこが大事なんじゃなかろうか。 世の中あまりにも...

続きをみる »
2023/08/14
ITド素人のスタディWebセキュリティ

手作業による診断とは? 〜セキュリティ診断について理解を深めるその5〜

セキュリティ診断の手法の一つである「手作業による診断」は、サイト特性を見ないと検査できない箇所を、人の手により診断していきます。この方法によって、自動で診断を行う「ツール診断」では見つけられない脆弱性を見つけることができるんです。 では、具...

続きをみる »
2023/06/09
ITド素人のスタディWebセキュリティ

ツールによる診断とは? 〜セキュリティ診断について理解を深めるその4〜

セキュリティ診断の方法は、主に「ツールによる診断」、「手作業による診断」、ツールと手作業を合わせた「ハイブリッド診断」の3つがあります。ブログ担当の私もちゃじは、この3つの手法の違いが文字通りの意味でしか理解できていません。 「ツールによる...

続きをみる »
2023/05/11
ITド素人のスタディWebセキュリティ

ローカルプロキシツールとは? 〜セキュリティ診断について理解を深めるその3〜

Webセキュリティを担う診断員の必須ツールともいえる「ローカルプロキシツール」。なぜ必須なのか、実はあまりピンときていないブログ担当もちゃじです。 この記事では、「ローカルプロキシツール」ってどんなことができて、実際に診断員はどんな機能を使...

続きをみる »
2023/03/03
ITド素人のスタディWebセキュリティ

セキュリティ診断の診断項目、その多さの理由に迫る  〜セキュリティ診断について理解を深めるその2〜

セキュリティ診断の目的は、ざっくりいってしまえば「脆弱性をゼロに近づけて、セキュリティインシデントを防ぐために、脆弱性の有無を調べること」。サーバーやシステムに穴(脆弱性)があったら、「悪い人」によってデータの改ざんや搾取などの攻撃につなが...

続きをみる »
2023/02/07
お役立ちコンテンツ

脆弱性が作り込まれる原因はここにあった! 管理者・責任者が絶対に知っておくべきこと

セキュリティ診断員である私ですが、たまにこのようなことを聞かれます。 「Webの製品やサービスを運営していますが、セキュリティ被害に遭いますか?」 そう聞かれたら「Yes」と断言することはできませんが、だからといって何も対策をしなくて良いわ...

続きをみる »
2023/01/18
ITド素人のスタディWebセキュリティ

Webセキュリティを勉強するなら何から始める? 効率よく学ぶための3つのポイント 【初心者用】

Webセキュリティを勉強し始めた皆さん、 用語が難しくて挫折しそう「何が分からないか」が分からないから質問もできない こんな状態になっていませんか? 1年前のわたくし、もちゃじがまさにそうだったんです。ITど素人がWebセキュリティの世界に...

続きをみる »
2022/10/27
脆弱性デモ

パストラバーサルの例を動画で解説!【デモ動画シリーズ第4回】

脆弱性のデモ動画作ってみたよ、シリーズ4回目の今回は「パストラバーサル」です。 この動画シリーズの記事はこちら 第1回「クロスサイトスクリプティング(XSS)の例を動画で解説!」第2回「SQLインジェクション の例を動画で解説!」第3回「権...

続きをみる »
2022/10/27
脆弱性デモ

権限の不備の例を動画で解説!【デモ動画シリーズ第3回】

脆弱性のデモ動画作ってみたよ、3回目の今回は「権限の不備」です。 この動画シリーズの記事はこちら 第1回「クロスサイトスクリプティング(XSS)の例を動画で解説!」第2回「SQLインジェクション の例を動画で解説!」第3回「権限の不備 の例...

続きをみる »
2022/10/03
脆弱性デモ

SQLインジェクションの例を動画で解説!【デモ動画シリーズ第2回】

デモ動画作ってみたよ、2回目の今回のテーマは「SQLインジェクション」です。 この動画シリーズの記事はこちら 第1回「クロスサイトスクリプティング(XSS)の例を動画で解説!」第2回「SQLインジェクション の例を動画で解説!」←本記事第3...

続きをみる »

カテゴリー

キーワード

人気の記事