Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
WAF開発を手掛けるEGセキュアソリューションズ(東京都港区)は2月28日、Webアプリケーションの脆弱性について学べる実習用アプリケーション「BadTodo」を無償公開した。同アプリは多くの脆弱性を含んでおり、実際に攻撃したりソースコードを確認したりして実践的に学習できるとしている。 BadTodoは脆弱性診断実習用のアプリ。情報セキュリティの専門家であり同社CTOの徳丸浩さんが制作した。Webブラウザ上で動くToDoリストアプリとして動作するが、情報処理推進機構(IPA)の「IPA ウェブ健康診断仕様」や国際Webセキュリティ標準機構の「OWASP Top 10」で紹介されている脆弱性を網羅的に含む、脆弱性だらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種脆弱性を自然な形で組み込んでおり、脆弱性スキャンで見つかりにくい項目も含んでいるという。 徳
【レポート】AWS における安全な Web アプリケーションの作り方 #AWS-55 #AWSSummit | DevelopersIO
この記事では、5月12日に行われた AWS Summit Online 2021 のオンラインセッション『AWS における安全な Web アプリケーションの作り方(AWS-55)』の模様をレポートします。 セッション概要 情報処理推進機構(IPA) の公開している「安全なウェブサイトの作り方」をはじめとしたセキュリティを考慮した安全なウェブアプリケーションの設計ガイドラインがいくつか知られています。本セッションでは、アプリケーション開発者向けにガイドラインに則ったアプリケーションを AWS 上でどのように実装するのかを AWS プラットフォームレイヤーとアプリケーションレイヤーのそれぞれの観点から項目ごとに解説し、アプリケーション導入前、または導入後のセキュリティ対策の指標となることを目指します。 登壇者 アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテク
2022年12月4日よりDocker版実習環境を提供します。オリジナルの実習環境はVirtualBox上の仮想マシンとして提供していますが、M1/M2 MacではVirtualBoxが動作しないことから、Docker版として提供するものです。 元々はM1/M2 Macを想定してARM64アーキテクチャ用に作りましたが、AMD64のWindowsやMacでも動作するように作っています。 Dockerコンテナの起動方法 ダウンロードページから実習用仮想マシン (Docker版)をダウンロードして適当なディレクトリに設置してください。 以下のコマンドによるコンテナーのビルド及び実行をします。 $ cd <wasbook-docker.zip を設置したディレクトリ> $ unzip wasbook-docker.zip # あるいは適当な方法でのzip解凍 $ cd wasbook-docker
政府情報システムにおける 脆弱性診断導入ガイドライン 2022(令和 4)年 6 月 30 日 デジタル庁 〔標準ガイドライン群ID〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 1 はじめに ......................................................... 2 1.1 目的とスコープ .............................................. 2 1.2 適用対象 .................................................... 3 1.3 位置づけ ...
ふと気になって調べたことの備忘メモです ✍ (2022/11/3追記)ご指摘頂いた内容を踏まえて加筆修正をおこないました なぜ調べたか Webアプリケーションの開発に携わっていると CSRF という脆弱性への対処を求められますが、多くの場合利用しているフレームワークが設定追加だけで対応してくれたり、既に前任者によって適切な処置がされていたりなど、実務上で目を向ける機会はその重要性と比較して少ないのでないかと思います また、Webブラウザの実装やHTTP周辺の関連仕様の変化から陳腐化している情報も多く、現代において全体感と具体的な対処法を理解するには少しばかりハードルが高いように感じていました ですので、自身の現時点での認識を明文化して残しておくことにしました なお、私はWebセキュリティの専門家でなく、一介の開発者のため、誤りが多分に含まれる可能性があります ご指摘を頂ければ修正したいと思
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
Go Secure Coding Practice の日本語翻訳を公開します - Techtouch Developers Blog
はじめに Go Secure Coding Practice とは コンテンツ一覧 良かったところ 注意すべきところ 最後に はじめに こんにちは。SRE の izzii です。 テックタッチのエンジニア規模もそれなりに拡大し、若手の採用も進んできたため、セキュアコーディングを徹底していきたいという思いがあり、まずは意識改革ということで勉強会を実施しました。セキュアコーディングを目的とした場合には教育だけでなく Static application security testing (SAST) の導入といった方法もあるのですが、まずは自分を含めた開発メンバーにノウハウをインストールすることにしました。セキュアコーディングへの意識が高まれば、いづれ SAST の導入の際に抵抗感も少ないだろうと考えています。いきなり SAST を導入しても、誤検知が煩くて浸透しないリスクもありうると考えてい
Still X.S.S. - なぜいまだにXSSは生まれてしまうのか? - GMO Flatt Security Blog
XSSこわい 若頭: おいお前ら、なにかおもしろい遊びをしねえか。こんなにみんなで集まる機会もそうねえだろう エンジニア佐藤: そうですねえ、こんなのはどうでしょうか。人間誰しも怖いものが1つはありますから、それをみんなで教えあってみましょうよ 若頭: そりゃあおもしれえな。そうだなあ、おれはヘビが怖いね。ありゃ気味が悪くてしょうがねえ エンジニア山田: 自分はカエルを見ると縮み上がってしまいます、テカテカしていてどうにも苦手で。佐藤さんは何が怖いんですか エンジニア佐藤: 私は、XSSがこわいです エンジニア八島: あはは!何言ってんですか佐藤さん。XSSなんてこわいことないですよ エンジニア佐藤: ひいい、名前を聞くのも怖いです エンジニア山田: XSSなんて、フレームワークさえ使っていればきょうび起こらないですからねえ。佐藤さんは臆病だなあ その晩、エンジニア佐藤を目の敵にしている町
>>> from passlib.hash import pbkdf2_sha256 >>> # generate new salt, hash password >>> hash = pbkdf2_sha256.using(rounds=310000).hash("password") >>> hash '$pbkdf2-sha256$310000$B0CIESIEAACA0Nrb2xsjpA$mj0kEF.otr1BMQvx9p0YudBgml2qraJzQ.FhWBwFVMg' >>> hash.split('$') ['', 'pbkdf2-sha256', # アルゴリズム '310000', # ストレッチング回数 'B0CIESIEAACA0Nrb2xsjpA', # ソルト 'mj0kEF.otr1BMQvx9p0YudBgml2qraJzQ.FhWBwFVMg'] #ダイ
【書評】「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」 | DevelopersIO
セキュリティに限定せず、「コンテナとは何か」から詳細に説明しています。コンテナやセキュリティの深淵に触れてみたい方にお勧めの、遅効性の良書という印象です。 コーヒーが好きな emi です。 コンテナを使ったアーキテクチャは引き合いも多く、私も常々しっかり学ばねばならないと思っていました。そんな折、以下のイベントでコンテナセキュリティに関する内容で登壇をすることになりました。 コンテナセキュリティについて学ぶため「コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術」を読みましたので、本記事では本書の概要と感想を記載します。 書籍情報 書籍タイトル : コンテナセキュリティ コンテナ化されたアプリケーションを保護する要素技術 著者 : Liz Rice(著)、株式会社スリーシェイク(監修)、水元 恭平、生賀 一輝、戸澤 涼、元内 柊也(訳) 出版社 : インプレス 出版日
2024.11.11 明日の開発カンファレンス2024につき改訂(TLF SOSS講演も反映) 2024.2.17 微修正 2024.2.15 デブサミ2024きっかけでリバイス (OWASP LLM 1.1/祝AISI設立) 2023.10.24 追記・セクション明確化 2023.8.30 Q…
OWASP Top 10:2025 Welcome to the OWASP Top 10:2025 Release. The OWASP Top 10 is a standard awareness document for developers and web application security. It represents a broad consensus about the most critical security risks to web applications. About This Release This is the 2025 version of the OWASP Top 10. This version includes updates based on the latest data and security trends. Main Project
Intro OWASP に Cookie Theft 対策の Cheat Sheet を提案し、マージされた。 Cookie Theft 2FA や Passkey の普及により、Password そのものを盗んだとしても、可能な攻撃は限られている。 一方、Session Cookie は、認証済みであることを示し(Proof of Authentication)、かつ持っているだけで効果を発揮する値(Bearer Token)であるため、Password 以上に盗む価値がある。 Session Cookie が盗まれれば、いかに Password を無くしていようが、Passkey をデプロイしていようが、何段階の認証にしようが、全ての努力は水の泡なのだ。 「Session Cookie を盗まれないようにする」のは、サービスにとってはもちろんだが、最近はむしろクライアントの方に攻撃が向
2025/01/28 脆弱性の見つけ方 - 攻撃者の思考で捉える “ペネトレーションテスト”と“内製ASM” - 登壇資料 https://findy.connpass.com/event/341969/ 参考資料 p13 OWASP/Amass https://github.com/ow…
セキュリティにおける倫理って何だ? | ドクセル
長谷川陽介(はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス 実行委員 Internet Explorer、Mozilla FirefoxをはじめWebアプリケーション に関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2024-05-18 #secmomiji https://utf-8.jp/
www-chapter-japan/secreq at master · OWASP/www-chapter-japan
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
脆弱性っぽい挙動を見つけたときの 倫理的な行動とは? 2025-11-29 まっちゃ139勉強会 はせがわようすけ 長谷川陽介(はせがわようすけ) @hasegawayosuke (株)セキュアスカイ・テクノロジー 取締役CTO セキュリティ・キャンプ協議会代表理事 千葉大学 非常勤講師 最近の興味関心領域は哲学・倫理学 WebブラウザーやWebアプリケーションに関する多数の脆弱性を発見。 Black Hat Japan 2008、韓国POC 2008、2010、OWASP AppSec APAC 2014他講演や記事執筆も多数。 https://utf-8.jp/ ※本内容は個人のものであり所属する組織の見解ではありません 2025-11-29 まっちゃ139勉強会 https://utf-8.jp/ お断り 特になにかの結論がある話をするわけではありません 倫理学
Node.jsの色々
2020-07-15 OWASP Sendai Node.js の色々 OWASP Kansai board member はせがわようすけ 長谷川陽介 (はせがわようすけ) (株)セキュアスカイ・テクノロジー 取締役CTO [email protected] https://utf-8/jp/ 千葉大学 非常勤講師 OWASP Kansai ボードメンバー OWASP Japan ボードメンバー CODE BLUEカンファレンス レビューボードメンバー OWASP Kansai Chapter 自分たちの直面するWebセキュリティの問題を 自分たちの手で解決したい! 日本で2番目の OWASP Local Chapter Webセキュリティの悩み事を気楽に相談し情報共有できる場 スキル、役職、業種、国籍、性別、年齢に関係なし vol.16 OWASP Kansai 森田 智彦
GitHub - corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall library
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
サイバーセキュリティツールベンダーのPortSwiggerは2022年1月17日(米国時間)、「OWASP API Security Top 10」に含まれる脆弱(ぜいじゃく)性の挙動を観察できるように設計されたオープンソースツール「vAPI」(Vulnerable Adversely Programmed Interface)を解説した。 APIセキュリティは近年、重要なセキュリティ分野となっている。APIは現在、サービスやデータ転送の管理に広く使われており、壊れたエンドポイントが1つあるだけで、データ流出や企業ネットワークの侵害につながる。 Gartnerは2022年には、API攻撃が企業Webアプリケーションに対する最も一般的な攻撃手法になると予測している。 vAPIでは何ができるのか vAPIはセキュリティベンダーのHolm Securityでセキュリティエンジニアを務めるトゥシャ
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept About This Repository This is the repository for the OWASP Top 10 for Large Language Model Applications. However, this project has now grown into the comprehensive OWASP GenAI Security Project - a global initiative that encompasses multiple security initiatives beyond just the Top 1
【AWS re:Invent 2025】ThreatForestを使用した脅威モデリング実行編 - カミナシ エンジニアブログ
こんにちはセキュリティエンジニアリングの西川です。本記事は前回の続きで、実際に ThreatForest を実行する方法や実行した結果についてシェアしていきますので、ThreatForest って何?という方は前回の記事をご覧いただければと思います。 初回ステップ クレデンシャルの設定をします。様々な LLM を選択できはするのですが、実際は初期リリース(AWS re:Invent 2025 時点)では AWS の Bedrock しか対応していません。そのため Bedrock を利用するためのクレデンシャルの設定がまずは必要です。 モデル選択については、 Haiku(高速) Sonnet 4.5(バランス) Opus(構造化に強いがやや遅い) などを推奨していましたがデモでは時間の都合で Haiku を選択していました。早いからという理由だけです。実際は色々と試してみると良さそうです。
GitHub - roottusk/vapi: vAPI is Vulnerable Adversely Programmed Interface which is Self-Hostable API that mimics OWASP API Top 10 scenarios through Exercises.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
www-chapter-japan/skillmap_project at master · OWASP/www-chapter-japan
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
DevSecOps勉強会はアプリケーションセキュリティに関する知見やノウハウ共有の場です。第1回目はyamoryチームの佐々木氏がセキュアにすることを容易にするツールであるOWASP ASVSについて解説とトライを共有しました。 Webセキュリティのモヤモヤを解消する佐々木 氏(以下、佐々木):それでは始めます。本日は「セキュアなWebアプリケーションとは何か?」について、私佐々木から発表いたします。 前半は、なぜこのテーマを取り上げたのかという背景と目的を説明します。その上で、セキュアにすることがなぜ難しいのかということについて考察した結果を共有します。後半はセキュアにすることを容易にするツールであるOWASP ASVSについて解説し、実際に始めてみるということに関して、yamoryでのトライを簡単に共有します。 それではさっそく本題に入ります。まず、なぜこのテーマを取り上げたのかについ
www-chapter-japan/skillmap_project/Vulnerability_Disclosure_Cheat_Sheet_ja.md at master · OWASP/www-chapter-japan
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
GitHub - WebAppPentestGuidelines/TriageGuidelines: 脆弱性トリアージガイドライン作成の手引き
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
モバイルアプリケーション開発 10大チェックポイント 2023(JSSEC Mobile Top 10 2023)は、2016年のリリースを最に更新されていない「OWASP Mobile Top 10プロジェクト」を再解釈し、現在の状況にあった「Mobile Top 10」を選定しました。 OWASP(Open Web Application Security Project)※1 のLabプロジェクトである「OWASP Mobile Top 10 ※2」は、OWASPが数多く公開する啓発文書「Top 10」シリーズの一つで、スマートフォン(モバイル)アプリケーション開発者に対する意識向上を目的とした文書です。この文書は、スマートフォンアプリケーションの開発に気を付けなければならない10項目がわかりやすくまとめられており、開発者が最低限理解しておくべきことを記述した文章で構成されています。
はじめに OWASP Juice Shopを触りつつOWASP Top 10の理解を深めるという目的で社内勉強会を開きました。 その時の資料を公開します。EC2に構築してみんなで同じサイトをワイワイガヤガヤ攻撃してみました。 OWASP Juice Shop というのは OWASPが提供するやられアプリ、やられサイトの一種です。Node.js、Express、AngularJSで開発されているSPAアプリです。Dockerイメージで提供されています。 OWASP Juice Shop OWASP BWA (The Broken Web Applications) という同じようなアプリがもう1つあるのですが、OWASP Juice Shopの方が新しいようです。BWAはVirtual Boxが必要です。 OWASP Juice Shopを構築する dockerをインストール後、pullして
レポート OWASP Top 10 for LLM Applicationsから見る、LLMにおけるセキュリティリスクとは 加熱する生成AIブームのなか、自然言語処理に欠かせないLLM(Large Language Models、大規模言語モデル)に注目が集まっている。LLMを用いたアプリケーションを構築する開発者にとって気掛かりなのはセキュリティだろう。 本稿では、EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構(IPA)非常勤研究員 / 技術士(情報工学部門)の徳丸浩氏に、「OWASP Top 10 for LLM Applications」のなかからとくに注意すべきリスクやその対策について、話を伺った。 EGセキュアソリューションズ 取締役 CTO / 情報処理推進機構(IPA)非常勤研究員 / 技術士(情報工学部門)の徳丸浩氏 OWASP Top 10 for L
こちらはJava Advent Calendar 2021の11日目です。 はじめに 「Apache Log4j」ライブラリに致命的なリモートコード実行の脆弱性が発見され現在絶賛対応中の方もいらっしゃるかと思います。 ここで重要になってくるのが影響調査には自分たちの改修しているコード本体だけではなく、OSSの依存ライブラリも含まれることです。log4j2は超広範囲に利用されていますから、逆にJavaのコードは潜在的に対象、くら言ってしまっても良いですが、もう少しマイナーなライブラリだとそもそも対象となるコードを探すのが大変です。pom.xmlをgrepしただけでは見つけれないですから。 この手の依存性チェックをするツールはありそうだと思ってたけど、特に今まで使った事はなかったので今回はMavenプラグインのOWASP Dependency-Checkを試してみました。 今回サンプルに利用舌
この記事は毎週必ず記事がでるテックブログ Loglass Tech Blog Sprint の3週目の記事です! 1年間連続達成まで 残り50週 となりました! LLM盛り上がってますね! 弊社も多分に漏れず専任チームを立ち上げて、弊社におけるwhy LLMを見出そうと試行錯誤しています。 個人的にもLLM Applicationsを継続的に開発・運用する技術について色々考えている今日この頃ですが、先日OWASP Top 10 for Large Language Model Applicationsのversion 1.0が出ました。 OWASP Top10 for LLMは、LLMを利用するアプリケーションで発見された重大な脆弱性とセキュリティガイドラインに関するレポートです。 レポートでも述べられていますが、昨今はLLMの取り組みが猛烈に進んでいる中で、包括的なセキュリティプロトコル
セキュリティ業界内でよく知られている脆弱性診断ツール「OWASP ZAP」および「Burp Suite」を徹底的に比較研究します。 本書は「外観&自動診断編」です。 それぞれのツールの外観および自動診断ツールの設定や動作などを比較しています。 総ページ数は88ページです。
CycloneDX: The International Standard for Bill of Materials (ECMA-424)The OWASP Foundation and Ecma International Technical Committee for Software & System Transparency (TC54) drive the continued advancement of the specification. CycloneDX is designed to provide advanced supply chain capabilities for cyber risk reduction.Compatible with over 260 tools across 20+ programming languages, CycloneDX is
OWASP Top 10 Proactive Controls(OPC)とは、ソフトウェア開発者向けに作成された設計や実装時のセキュリティのベストプラクティスをまとめたものです。 本記事では、本記事作成時点での最新版の OWASP Top 10 Proactive Controls 2018 についての概要と 2016 との比較について解説していきます。 OWASP Top 10 Proactive Controls 2018 の概要OWASP Top 10 Proactive Controls は、OWASP Top 10 などで有名な OWASP(Open Web Application Security Project)という Web アプリケーションセキュリティの情報共有、啓発を目的としたコミュニティが提供するドキュメントのひとつです。 OWASP Top 10 では、重要な We
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? この記事について、マニュアルのAuthenticationページを参考にしています。このページを見てわからないことがあれば、マニュアルを参照してください。 公式サイト:https://www.zaproxy.org/ OWASP ZAP Desktop User Guide:https://www.zaproxy.org/docs/desktop/ Authentication:https://www.zaproxy.org/docs/desktop/start/features/authentication/ Getting Star
Coraza is an open source, high performance, Web Application Firewall ready to protect your beloved applications. Get startedOpen-source Apache 2 Licensed. GitHub SecuritySecurity is what Coraza is for, enforce policies using OWASP CRS or create your own policies to stop attackers and generate important audit information. Fast by default ⚡️From huge websites to small blogs, Coraza can handle that l
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Andrew van der Stock Friday, March 29, 2024 In late February 2024, after receiving a few support requests, the OWASP Foundation became aware of a misconfiguration of OWASP’s old Wiki web server, leading to a data leak involving decade+-old member resumes. Who is affected? If you wer
The Ten Most Critical Web Application Security Risks Introduction Welcome to the 8th installment of the OWASP Top Ten! A huge thank you to everyone who contributed data and perspectives in the survey. Without you, this installment would not have been possible. THANK YOU! Introducing the OWASP Top 10:2025 A01:2025 - Broken Access Control A02:2025 - Security Misconfiguration A03:2025 - Software Supp
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に
Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト
政府情報システムにおける 脆弱性診断導入ガイドライン
CSRF(Cross-Site Request Forgery)攻撃について
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
ソフトウェアセキュリティはAIの登場でどう変わるか - OWASP LLM Top 10
OWASP Top 10:2025
OWASP に Cookie Theft 対策 Cheat Sheet を執筆した | blog.jxck.io
攻撃者の視点で社内リソースはどう見えるのかを ASMで実現する
脆弱性っぽい挙動を見つけたときの倫理的な行動とは? | ドクセル
APIセキュリティについて学習できるオープンソースラボ環境「vAPI」、なぜ必要なのか
OWASP Top 10 for Large Language Model Applications | OWASP Foundation
Webセキュリティの“モヤモヤ”の正体はなに? セキュアの共通認識を形成する「OWASP ASVS」 | ログミーBusiness
JSSEC技術部会 モバイルアプリケーション開発 10大チェックポイント 2023 | JSSEC
OWASP Juice Shop でWebアプリの脆弱性を体験してみる | DevelopersIO
OWASP Top 10 for LLM Applicationsから見る、LLMにおけるセキュリティリスクとは
OWASP Dependency-Check を使ってMavenの依存ライブラリの脆弱性を確認する
OWASP Top 10 for LLMでLLM Applicationsのセキュリティについて学ぶ
徹底比較研究 OWASP ZAP vs Burp Suite 外観&自動診断編:脆弱性診断研究会
CycloneDX Bill of Materials Standard | CycloneDX
Blog|OWASP Top 10 Proactive Controls 2018 の概要と 2016 との比較
OWASP ZAP2.9.0で脆弱性診断をする - 認証機能の設定 - Qiita
OWASP Coraza WAF
OWASP Data Leak Notification | OWASP Foundation
Introduction - OWASP Top 10:2025
www.konamistyle.jp
travel-review.hatenablog.jp
song1234.hatenablog.jp
vienna75roses.hatenablog.com
kawashima134.hatenablog.com
suesuesuechan.hatenablog.com