2022年 脆弱性セキュリティレポート 増加する脆弱性とソフトウェア管理の重要性
2022年の脆弱性の傾向を分析したセキュリティレポートを公開しました。本記事ではレポートの概要を紹介します。
知らないうちにマルウェアをインストール マリシャスパッケージとは?
マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
OSSの脆弱性を発見して、CVEを2件取得するまで 脆弱性の発見・報告のポイント紹介
OSSの脆弱性を発見して、CVEを2件取得するまでの経緯とそこで感じた脆弱性発見・報告のポイントについて解説します。
TensorFlowだけじゃない!安全でないデシリアライゼーション in Python
TensorFlowで発見された脆弱性を例にPythonにおける安全でないデシリアライゼーションを解説します。
HoneyPoC 確認せずに攻撃コード(PoC)を実行してはいけない!
HoneyPoCと呼ばれる盲目的にPoCが実行されていることを示した調査プロジェクトについて解説します。
npmにも影響があるnode-tarのパストラバーサルの脆弱性 CVE-2021-32804
npmにも影響を与える node-tarの脆弱性(CVE-2021-32804)について解説します。
実践!安全ではないデシリアライゼーションの攻撃手法
本記事では、実際のコードを交えて Java における安全ではないデシリアライゼーションの解説を行い、この脆弱性を見つけた場合にどのように扱えばよいのか、どのような対策を行えばよいのかを解説します。
Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)PoC 検証
2020 年 12 月 8 日に公開された Apache Struts 2 の脆弱性 S2-061(CVE-2020-17530)について、PoC コードの検証を行いました。
さまざまなサイバー攻撃に繋がる脆弱性 HTTP リクエストスマグリング
HTTP リクエストスマグリングは、フロントエンドとバックエンドのサーバーで HTTP リクエストに対し異なる解釈をしてしまうことで発生する脆弱性です。本記事では脆弱性の概要から対策方法について解説します。
フィッシングや情報漏洩に繋がる攻撃 オープンリダイレクトの概要と対策
オープンリダイレクトの原因と対策方法や、開発者としてこのオープンリダイレクトを見つける方法についてご紹介します。
Web アプリ開発者も他人事じゃない バッファオーバーフロー攻撃の概要と対策
バッファオーバーフローはメモリ上のバッファを超えて書き込みが行われる攻撃手法です。アプリ開発者の視点から解説しました。
リバースブルートフォース攻撃の概要と Web アプリにおける対策
リバースブルートフォース攻撃はパスワードを固定して ID 部分を変えながら認証を繰り返していく不正アクセスを目的とした攻撃です。
悪意あるサイトにこっそり誘導 クリックジャッキング
クリックジャッキングは、ユーザーを視覚的に騙して悪質なサイトへ誘導する攻撃手法です。本記事ではクリックジャッキングの概要から、攻撃の仕組み、対策方法について解説していきます。
2020 年 脆弱性管理レポート
最近の脆弱性管理の動向や取り組み方を「脆弱性管理レポート」としてまとめました。yamory 利用者様からのアンケート結果も交えながらご紹介します。
改行コードに要注意! HTTP ヘッダインジェクションの概要と対策
HTTP ヘッダインジェクションは、データを適切にチェックせずに HTTP レスポンスヘッダに反映させてしまうことで発生する脆弱性・攻撃手法です。本記事では HTTP ヘッダインジェクションの概要・対策方法について解説します。
URL の取り扱いには要注意! SSRF の攻撃と対策
SSRF は外部から到達できない領域にあるサーバーなどに対して、バグを悪用することでリクエストを送る攻撃手法・脆弱性です。本記事では SSRF が起きる原因と、脆弱性の影響について攻撃シナリオをベースに説明していきます。
その正規表現の書き方で大丈夫? ReDoS 攻撃の怖さと対策方法
ReDoS は、脆弱な正規表現を利用することで起こる DoS のひとつです。正規表現の記述は難しく、誤った記述をしてしまうと ReDoS の影響を受ける恐れがあります。本記事では ReDoS の概要から対策方法まで解説していきます。
ライブラリの導入、それが脆弱性の始まり
ライブラリの導入によってライブラリが依存する他のライブラリと脆弱性までも引き込んでしまうことがあります。本記事ではライブラリと依存関係における脆弱性について Gradle を使って例をあげながら解説します。
OS コマンドインジェクション その危険性と対策
OS コマンドインジェクションは、オペレーティングシステムのコマンドを不正に実行できてしまう脆弱性および攻撃手法です。本記事では OS コマンドインジェクションの概要と攻撃による影響、対策について解説します。
Java を使った Web アプリにおける脆弱性対策
Java は業務システム、Web アプリケーション、Android アプリの開発等で幅広く使われている言語です。本記事では Java ベースの Web アプリケーション開発に焦点を当て、脆弱性とその対策方法について解説します。
アプリケーション外でも発生する脆弱性 パストラバーサル
パストラバーサルは、本来アクセスできないディレクトリに存在するファイルに対して、脆弱性を悪用してアクセスする攻撃手法です。本記事では、パストラバーサルの脆弱性について概要説明・対策方法・実例までをご紹介します。
ある日突然やってくる DDoS 攻撃の概要と対策
DDoS 攻撃は、システムやネットワークへ意図的に過剰な負荷をかけることによりサーバーを応答不能状態にする攻撃を指します。本記事では、DDoS 攻撃の攻撃手法と対策について解説していきます。
油断ならない脆弱性 XXE への対策
XXE(XML 外部エンティティ参照)は、アプリケーションが XML を解析した際に XML の特殊構文を悪用されて発生する脆弱性です。本記事では XXE の仕組みから対策方法までを解説していきます。
ブルートフォース攻撃の危険性とその対策5種
ブルートフォース攻擊はユーザのアカウント・パスワードを解読するため、考えられる全てのパターンや組み合わせを試す攻擊手法のことです。今回はブルートフォース攻擊の仕組みと対策方法 5 種をご紹介します。
知っておきたいクロスサイトリクエストフォージェリの仕組み
クロスサイトリクエストフォージェリは Web アプリが偽装されたリクエストを正規のものとして受信してしまう脆弱性・攻撃手法です。今回はクロスサイトリクエストフォージェリの仕組み、対策方法をご紹介します。
油断できない SQL インジェクション。その種類と Web アプリにおける対策
SQL インジェクションは広範囲に悪影響を与える危険な脆弱性です。今回は SQL インジェクションの種類と対策についてご紹介します。
クロスサイトスクリプティング(XSS)とは? Web アプリにおける対策方法について
クロスサイトスクリプティングは、システムの表示処理の不備から引き起こる脆弱性です。XSS の被害と攻撃の種類について解説します。
なぜオープンソースの脆弱性管理と対策が重要なのか
「OSS の脆弱性対策や管理がなぜ重要なのか」をリスクや事例、対策方法も交えながらお伝えします。
PHP における脆弱性との向き合い方とその対策方法
PHP 環境下で動作するWebアプリケーション / CMS に焦点を当て、日々新しく発見される脆弱性との向き合い方についてまとめました。
システムにおける脆弱性とは?その対策と管理方法について
サイバーセキュリティ/サイバー攻撃における「脆弱性」という言葉の意味と代表的な攻撃方法、そして脆弱性対策/管理の方法についてご紹介いたします。
Web アプリケーションのセキュリティとは
Web アプリケーションによるサービスが広がりを見せる一方で、Web アプリの脆弱性を狙ったサイバー攻撃も増加の傾向にあります。本記事では Web アプリケーションにおけるセキュリティの基礎知識について解説します。