SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254について SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例 SSRFを利用したメール送信ドメインの乗っ取り 「CODE BLUE 2018」参加レポート(岩間編) この「空前のSSRFブーム」に便乗して、SSRFという攻撃手法および脆弱性について説明します。 SSRF攻撃とは SSRF攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図にSSRF攻撃の様子を示します。 攻撃者からは、公開サーバー(203.0.113.2)にはアクセスできますが、内部のサーバー(192.168.0.5)はファイアウォールで隔離されているため外部から直接
PHP Configuration Cheat Sheet¶ Introduction¶ This page is meant to help those configuring PHP and the web server it is running on to be very secure. Below you will find information on the proper settings for the php.ini file and instructions on configuring Apache, Nginx, and Caddy web servers. For general PHP codebase security please refer to the two following great guides: Paragonie's 2018 PHP Se
What is a denial-of-service attack?A denial-of-service (DoS) attack occurs when legitimate users are unable to access information systems, devices, or other network resources due to the actions of a malicious cyber threat actor. Services affected may include email, websites, online accounts (e.g., banking), or other services that rely on the affected computer or network. A denial-of-service condit
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Dependency-Check is a Software Composition Analysis (SCA) tool that attempts to detect publicly disclosed vulnerabilities contained within a project’s dependencies. It does this by determining if there is a Common Platform Enumeration (CPE) identifier for a given dependency. If foun
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Description Web Application Vulnerability Scanners are automated tools that scan web applications, normally from the outside, to look for security vulnerabilities such as Cross-site scripting, SQL Injection, Command Injection, Path Traversal and insecure server configuration. This c
OWASP Top Ten 2021 : Related Cheat Sheets¶ The OWASP Top Ten is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. This cheat sheet will help users of the OWASP Top Ten identify which cheat sheets map to each security category. This mapping is based the OWASP Top Ten 2021 version. A0
事前・直前のテスト結果に応じて、次のテストを適宜に施していくソフトウェアテストの方法をいう。探りを入れながら臨機応変にテスト項目を決めていくテストスタイルといえる。 伝統的なソフトウェアテスト(記述的テスト)は、事前に定義したテストケースを順番にすべて適用する形でテストを実施する。これに対して探索的テストは任意のテストを実施し、その結果を見てから次のテストケースを作る。テストを網羅的に行うのではなく、怪しい個所を探し出し、順次絞り込んでいくアプローチだといえる。 テストの実行を通じて対象ソフトの特徴の情報を“探索”する技法なので、「テスト実施とテスト計画、学習を同時並行して行う対話的プロセス」といった定義もある。ここでいう学習は実行コードの挙動を観察する以外に仕様書や既存のテストケース、ソースコードを参照してもよい。必要に応じては開発者ともコミュニケーションをとるべきだろう。 探索的テスト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
