GitHub の OAuth 実装の仕様違反とセキュリティ上の考慮事項 – Qiita

本稿は GitHub Docs の "Authorizing OAuth Apps" ページに書かれている情報に基づいています。英語版はこちら → "Spec Violations in GitHub OAuth Implementation and Security Considerations" 仕様違反箇所 認可リクエストの response_type リクエストパラメーターがない。当パラメーターは必須である。RFC 6749 (Th…

情報セキュリティ安心相談窓口の相談状況[2022年第1四半期(1月~3月)]:IPA 独立行政法人 情報処理推進機構

IPA情報セキュリティ安心相談窓口では、新型コロナウイルスの感染拡大防止と職員の安全確保を図るために、下記の期間において相談電話対応業務を停止していました。そのため当該期間中は電子メール、FAX、郵送による相談件数の統計になっていることをご了承ください。 ◆相談電話対応業務停止期間: 2021年1月12日~2021…

アップル製品の脆弱性が急増、グーグルやマイクロソフトに迫る

Apple製品は安全で、マルウェアやハッキングの心配はないというのは、まったくのでたらめであるにもかかわらず広く流布している、危険な思い込みだ。 実際、Apple製品の脆弱性の数は、GoogleやMicrosoftなどの企業の製品に急速に追いつきつつある。 Telefonica Tech Cybersecurityのデータに基づくAtlas VPNのレポートに…

Firebase Authentication 7つの落とし穴 – 脆弱性を生むIDaaSの不適切な利用 – Flatt Security Blog

はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿…

サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? – くろの雑記帳

きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(…

Web開発者はもっと「安全なウェブサイトの作り方」を読むべき – Flatt Security Blog

画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わ…

Windowsイベントログのファストフォレンジックツール Chainsaw

NECサイバーセキュリティ戦略統括部 セキュリティ技術センターの松本です。今回はWindowsイベントログの解析ツールであるChainsaw[1][2]をご紹介します。また私自身のインシデント対応の経験を踏まえて、どのように役立つツールなのか、見解も交えてご説明します。 Chainsawはインシデントの初動対応を想定して開発され…

<独自>露侵攻前にサイバー攻撃頻発 政府機関標的

ロシアがウクライナに侵攻する直前の1月から2月末にかけ、ウクライナ国内でロシアが関与したとみられるサイバー攻撃や虚偽情報の拡散が急増していたことが、情報セキュリティー会社「トレンドマイクロ」の調査で分かった。政府の情報を得にくくしたり、社会の混乱を引き起こしたりする攻撃が目立つ。軍事力にサイバー…