-
- いいね!0
よしたろう ムエタイエンジニア
@yoshitaro_yoyo
今日は大阪の高槻市にてセキュリティ勉強会に参加してます。 全12章あり3章まで完了。 バリデーションの注意点や、エンコード・エスケープはなんのためにあるのか?など、判例・事例や実際のコード交えての講義でめちゃくちゃ楽しい! 講師の神戸デジタル・ラボの松田さんの話が面白い #tktksec pic.twitter.com/QER9xdq1R7
2024-02-04 12:35:23
拡大
ypresto
@yuya_presto
oO(アカウントロックアウト、何回目ぐらいでやるべきかむずい。 OWASP API Security Top 10の方だと、lockoutに加えてCAPTCHAへの言及がある owasp.org/API-Security/e… #tktksec
2024-02-04 12:44:08
ypresto
@yuya_presto
秘密の質問は安全ではない、ですよね。 自動化された攻撃をマシにするけど、Two-factorではない (パスワードも秘密の質問の答えも、同じ人が知ってるもの) という注意書きがあった。 cheatsheetseries.owasp.org/cheatsheets/Au… #tktksec
2024-02-04 12:52:55
ypresto
@yuya_presto
パスワード入力以外の方法でなりすまされる恐れがあるので、現在のパスワードなしでパスワードを変更できるようにするべきでない。 #tktksec
2024-02-04 12:54:02
ypresto
@yuya_presto
oO(認証を自前で実装するの、わかっていたとしても端折ってしまったりするので、巨人の肩に乗らないこと自体がアンチパターンと思ってしまう #tktksec
2024-02-04 12:59:28
ypresto
@yuya_presto
外部サービスではなく、よくテストされたライブラリでも良いかなと思いつつ、とにかく自前は怖い。いつか爆発するかも。 #tktksec
2024-02-04 13:02:09
ypresto
@yuya_presto
oO(パスワード入力欄なしでメールアドレスを先に入力させるの、SAMLが設定されているドメインのときにパスワードではなくSSOを起動しないといけないから、という説をわたしはもってます! (あってるかしら) #tktksec
2024-02-04 13:05:33
ypresto
@yuya_presto
<input type="password">、油断してたけど普通に絵文字パッドから絵文字を、コピペで日本語を入れられる。iPhoneではできなくなってるけど。 #tktksec
2024-02-04 13:10:25
ypresto
@yuya_presto
まだMD5をセキュア用途に使ってるやつ、パスワードのハッシュにソルト振ってないやつ、いねぇよなぁ!!? #tktksec pic.twitter.com/1e7agrem8d
2024-02-04 13:18:35
拡大
ypresto
@yuya_presto
oO(入力した新しいパスワードが受け付けられるかは、セキュリティ要件というよりUX的に表示してほしい #tktksec
2024-02-04 13:21:59
ypresto
@yuya_presto
oO(セッションタイムアウト結局何分にしたらええねん、みたいな具体的な値はOWASP Cheat SheetよりもASVSのほうにしっかり載ってたりする #tktksec github.com/OWASP/ASVS/blo…
2024-02-04 13:59:56
ypresto
@yuya_presto
Secure、HttpOnly、SameSite、Domain指定なし。Cookie Prefix (__Host) を使うと、外部からCookieをinjectされてないことを保証できる。 developer.mozilla.org/en-US/docs/Web… #tktksec
2024-02-04 14:11:02
ypresto
@yuya_presto
権限レベル (admin/user/guest) でのテストだけでなく、同じuser権限でも違うユーザー、でのテストが漏れがちなので忘れない #tktksec
2024-02-04 14:34:22