脆弱性診断– blog category –
-
【解説】クロスサイトスクリプティングのリスク軽減策!CSPについて
ブラウザには、Same-Origin Policy(同一生成元ポリシー)やcookieのsamesite属性をはじめとした、セキュリティに関する仕組みが多々あります。今回はクロスサイトスクリプティング(以降XSS)のリスク軽減策としても使える「コンテンツセキュリティポリ... -
20世紀を支えた【DES】とはどんな暗号なのか、その歴史を振り返る
2022年6月15日、米マイクロソフトはInternet Explorerのサポートを終了しました。最盛期は95%のシェアを誇り、27年もの間使われたIEは、官公庁からは悲鳴が上がりエンジニアからは歓声が上がる中、引退の日を迎えました。かつて主要な位置を占めた技術が安... -
Javaの脆弱性(CVE-2022-21449)はなぜ起きたのか
2022年4月下旬に、Javaで実装されているECDSAの脆弱性(CVE-2022-21449)が発見されました。これはどういった脆弱性なのでしょうか、また、この脆弱性はどういったことが原因で起きたのでしょうか。今回は暗号についてあまり詳しくない方にもわかりやすいよ... -
既知の脆弱性を簡単に確認する2つの方法
「診断対象サイトでは既知の脆弱性があるライブラリが使われています。」脆弱性診断で、このようなレポートを受け取ったことがある方は多いのではないでしょうか。そしてレポートを見て「既知の脆弱性って、一般的にどれくらい対応しているものなんだろう... -
Apache Log4jの脆弱性(CVE-2021-44228)に関する支援・検査の提供について
私どもProactiveDefenseでは、2021年12月11日に一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)より注意喚起が発表されたApache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)関連する警戒情報について、大変深刻な状況であると捉え...