はじめに
このサイトでは、セキュリティ対策のために、SiteGuard Lite という WAF(Web Application Firewall)を導入しています。
以前もレポートを公開したことがあるのですが、期間が半端でした。
今回は2018年の1年間という切りのいい期間での、WAF が検知した攻撃結果の分析結果を公開します。
なお、末尾に PDF ファイルのダウンロードも...
>>続きを読む
はじめに
Web アプリケーションで安全にパスワードを保存するためには、ソルト+ハッシュ+ストレッチングという実装方法が2013年頃から啓蒙されてきていましたが、Webセキュリティの大家である徳丸浩さんによると独自実装は既に時代遅れであるようです。
ソルト付きハッシュとストレッチングというのは原理の話で、PBKDF2などは実装の話ですよね。徳丸本2には、その両方が紹介されています(宣伝...
>>続きを読む
先日、Let’s Encrypt より”Action required: Let's Encrypt certificate renewals”というタイトルのメールが届きました。Hello,
**Action is required to prevent your Let's Encrypt certificate renewals from breaking.**
Your Let’s Enc...
>>続きを読む
はせがわようすけさんが公開された、以下のスライドがとてもよい感じです。
脆弱性診断を通じて見えてくるWebセキュリティhttps://speakerdeck.com/hasegawayosuke/cui-ruo-xing-zhen-duan-wotong-zitejian-etekuruwebsekiyuritei
なにがよいというと、1番は実際の脆弱性診断で検出された脆弱性の割合のグラフを公...
>>続きを読む
脆弱性診断練習用の Web アプリケーションとして有名だった「BadStore.net」がメンテナンス終了になっているということを知り非常に残念に思っていたのですが、Twitter で @msakamoto_sf さんから、Burp Suite の拡張機能として再開発がされているとのことを教えていただきました。
その名も「箱庭BadStore」です。GitHub にて GPL v2 ライセンスで ...
>>続きを読む