徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。
https://t.co/F0kveu1nJM

投稿の一覧
スマホでブックマークする時、ファビコンのデザインががデバイスによって違っていました。

これは不具合の一つでしょうか?
初めまして。安全なWebアプリケーションの作り方を読んで疑問点があるのですが、XSS対策として「&」のエスケープを推奨していますが、もしエスケープされていない場合どのようなXSSが発生してしまうのでしょうか
メールに添付されたOffice文書ファイルを開くだけでマルウェアに感染させるということは可能なのでしょうか?
(Emotetの手口でOffice文書ファイルのマクロを実行させて感染させるというものはありましたが)
ゼロデイ攻撃に関するセキュリティベンダーのブログをいくつか読み、気になる内容がありました。
以下の書き出しのブログですが、該当する事象を見たことがありません。一般的な内容なのか、正しい内容なのか、教えて下さい。

『ソフトウェアの開発元のWebサイトで「ゼロデイ攻撃が発生しています。注意をしてください」と言ったアナウンスをみたことはありませんか?』
両親が出会った町の名前は?
子供時代を過ごしてた町の名前は?
好きな絵本の名前は?
初めてみた映画は?
小学生の時に好きだった先生の名前は?






(ネタです小声)
パラメータ改ざんについてもう一点質問します。
POSTパラメータ改ざんはURLパラメータ改ざんとは全く違うものでしょうか。

後者はGETメソッドなので違うと思いますが、どうなのでしょうか。

パラメータとは、画像のサイズ変更、ページをアドレスバー上で変える事を指します。
以前パラメータ改ざんについて質問をさせて頂きました。

これは、強制ブラウジングとは異なるのでしょうか?

example.com 〜 ?page=2 と存在しないページにアクセスする事もその一つでしょうか?
自社開発のWEBサービスに対して、OWASPのチェックシートや、徳丸さんの本を参考に脆弱性診断を行っているのですが、脆弱性の見逃し率を下げる為に実施すべき取り組みとして、事例などの情報収集と経験を積む以外に何かございますでしょうか?
もっと見る