Posted inセキュリティ
STRIDEによる脅威モデリング:コードを1行も書く前にセキュリティリスクを分析する
STRIDEによる脅威モデリングは、WebアプリやAPIのセキュリティリスクをコードを書く前に特定する手法です。認証の欠陥、権限昇格、データ漏洩を設計段階で発見できます。OWASP Threat DragonとpytmをREST APIアーキテクチャの実例とともに解説します。
Posted inセキュリティ
手動Webフォレンジック:CLIログからSQLiとWebシェルを追跡する
grepやawkなどのLinux CLIツールを使いこなし、サーバーログからSQLインジェクションや隠れたWebシェルを検出する手動Webフォレンジック技術を習得しましょう。
Posted inセキュリティ
OAuth 2.0とOpenID Connectのセキュリティ:よくある脆弱性と正しい実装方法
OAuth 2.0とOpenID Connectは現代の認証の基盤だが、設定ミスは一般的で代償も大きい。このガイドでは、stateパラメータの欠如・オープンリダイレクト・不適切なトークン検証など、最も頻繁に見られる脆弱性を取り上げ、実践的なPythonの例を使って各ステップを正しく実装する方法を解説する。
Posted inセキュリティ
Apache/Nginx Webアプリケーション保護のためのModSecurity WAFのインストールと設定
ApacheとNginxの両方のWebサーバーにModSecurity WAFをインストールし、設定する方法を学びましょう。このガイドでは、主要な概念、詳細なセットアップ手順、およびSQLインジェクションやXSSのような一般的なサイバー脅威からWebアプリケーションを保護するための不可欠なベストプラクティスを網羅しています。
Posted inセキュリティ
WebアプリをXSSとCSRF脆弱性から守る方法:本番環境での実践的振り返り
本番WebアプリをXSSとCSRFから守るために6ヶ月間取り組んだ実践的なガイドです。出力エンコーディング、ナンスベースのCSP、CSRFトークン、SameSite Cookie、セキュリティヘッダーについて、PythonとNginxの実際のコード例を交えて解説します。
Posted inセキュリティ
OWASP Top 10: 一般的なWeb脆弱性の理解と予防
一般的なWeb脆弱性を理解し、予防するための重要なガイドであるOWASP Top 10を深く掘り下げます。この記事では、インジェクションやアクセス制御の不備といった重大なセキュリティリスクを初心者向けに解説し、若手開発者が安全なアプリケーションを構築するのに役立つ実践的な例を交えて紹介します。