脆弱性診断– blog category –
-
【事前準備編】脆弱性診断を効率化!診断士のための Extender「ISTE」を紹介
ローカルプロキシツール Burp Suite を使った脆弱性診断をやっていて、こんなこと感じたことありませんか? 権限チェックの診断が面倒 全ての権限があるadminアカウント、権限が一部あるアカウント、権限のないアカウント、と複数アカウントがあるような場... -
【OTセキュリティ】制御システムへのサイバー攻撃を仮想環境で試してみた
日常で利用されるIoT機器――例えばウェブカメラ、スマート家電やルータなど――は、その普及が進むにつれセキュリティ対策の重要性が一層高まっています。IoTのセキュリティに関するトピックとしては、「NOTICE」※1が2019年より開始されたことも記憶に新しい... -
デジタル庁脆弱性診断導入ガイドラインへの適合状況をチェック!しました
2022年6月30日にデジタル庁がセキュリティに関するドキュメントをいくつかリリースしましたが、その中の一つに脆弱性診断導入に関するものがあります。 政府情報システムにおける脆弱性診断導入ガイドラインとは? DS-221 政府情報システムにおける脆弱性... -
【解説】クロスサイトスクリプティングのリスク軽減策!CSPについて
ブラウザには、Same-Origin Policy(同一生成元ポリシー)やcookieのsamesite属性をはじめとした、セキュリティに関する仕組みが多々あります。今回はクロスサイトスクリプティング(以降XSS)のリスク軽減策としても使える「コンテンツセキュリティポリ... -
20世紀を支えた【DES】とはどんな暗号なのか、その歴史を振り返る
2022年6月15日、米マイクロソフトはInternet Explorerのサポートを終了しました。最盛期は95%のシェアを誇り、27年もの間使われたIEは、官公庁からは悲鳴が上がりエンジニアからは歓声が上がる中、引退の日を迎えました。かつて主要な位置を占めた技術が安... -
Javaの脆弱性(CVE-2022-21449)はなぜ起きたのか
2022年4月下旬に、Javaで実装されているECDSAの脆弱性(CVE-2022-21449)が発見されました。これはどういった脆弱性なのでしょうか、また、この脆弱性はどういったことが原因で起きたのでしょうか。今回は暗号についてあまり詳しくない方にもわかりやすいよ...