[B! セキュリティ] efclのブックマーク

efcl id:efcl

セキュリティに関するefclのブックマーク (30)

http://utf-8.jp/public/20150917/owasp.pdf
efcl 2015/09/17
DOM Based XSSについて

セキュリティ

slide
リンク
OWASP San Diego 8 August 2015 Presentation (Public)
Where Content Security Policy Is and Where It's Heading Next Open Web Platform Security Joel Weinberger jww@{chromium.org,google.com} @metromoxie Originally, I was going to present what’s up and coming in Content Security Policy, but really, what we’ve been working on goes well past just CSP. So ...
efcl 2015/09/02
CSPについての解説

google

slide

セキュリティ
リンク
SSL/TLSの基礎と最新動向
30分でわかるマイクロサービスアーキテクチャ第2版 - Forkwell Library #17 https://forkwell.connpass.com/event/273812/ https://www.youtube.com/watch?v=xYTtw0ZgUNU オライリー・ジャパン > マイクロサービスアーキテクチャ第2版 https://www.oreilly.co.jp/books/9784814400010/
efcl 2015/08/14
TLSハンドシェイクのやり方について

セキュリティ

slide
リンク
AWS Black Belt Techシリーズ AWS IAM
This document discusses Amazon SageMaker, an AWS service that allows users to build, train, and deploy machine learning models. It provides an overview of SageMaker's key capabilities like the SageMaker SDK, hosted Jupyter notebooks, built-in algorithms, and integration with other AWS services. Examples of using SageMaker with frameworks like Chainer and TensorFlow are also presented.
efcl 2015/08/07
AWSのIAMについてのスライド

aws

セキュリティ

slide
リンク
進化するWebトラッキングの話 #ssmjp
2. 自己紹介  HN: そにっくん / sonickun  Twitter: @y_hag  Web: http://sonickun.xyz  大学でセキュリティの研究やってます  2015/2の#ssmjpで「ダークネットのはなし」を発表しました． – http://www.slideshare.net/sonickun/ss-44926963 2
efcl 2015/08/01
evercookieとかトラッキング手法の話。 DSPのCookie Syncingの仕組み

browser

slide

セキュリティ

privacy
リンク
Frontend Security: Applying Contextual Escaping Automatically, or How to Stop XSS in Seconds
Frontend Security: Applying Contextual Escaping Automatically, or How to Stop XSS in Seconds - The document discusses the probl em of cross-site scripting (XSS) and proposes an approach called Secure Handlebars to automatically apply contextual escaping to templates to prevent XSS. - Secure Handlebars works by preprocessing templates to insert contextual escaping filters and checks for security iss
efcl 2015/07/03
http://yahoo.github.io/secure-handlebars/ のデザインについてのスライド

セキュリティ

template

slide
リンク
いでよ、電卓！
2. 自己紹介(1) • Masato Kinugawa • 脆弱性を発見することが好き • 学生ではない http://labs.cybozu.co.jp/recruit/youth.html
efcl 2015/04/01
アーカイバーのクラッシュする様子を見て、電卓を起動するまでの話バグハンター

セキュリティ

slide
リンク
ES6時代におけるWeb開発者とセキュリティ業界の乖離
3. いまどきのWeb開発 • 静的なHTML+API • アプリとWebの共通化、ＳＰＡ • コンパイルされたＪＳ • AltJS、Closure Compiler • MV*、データバインディング • Vue.js、AngularJS • Virtual DOM • React 4. 静的なHTML+API • サーバサイドではHTMLを生成しない • スマホ用アプリとWebでバックエンドを共通化 • Single Page Applicationsの台頭 • JSON等のAPIのみのレスポンス • 脆弱性検査する側 • 「ページ単位」でのボリューム管理の破たん • 反射型、蓄積型XSSの根絶 • もちろんSQLインジェクションなども存在しない 5. コンパイルされたJS • AltJS、Closure Compiler等の利用 • TypeScript、CoffeeScript、JS
efcl 2015/03/08
JavaScriptの変化とセキュリティの変化

JavaScript

セキュリティ

slide
リンク
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes, and everything else
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes, and everything else ECMAScript 6, in short ES6, has been boiling in a copper pot for many years by now and step-by-step, browser vendors come forward to taste the first sips of this mystery soup. So, ES6 is no longer a theoretic language but already crawled across the doorstep and now lurks under your bed, ready for the
efcl 2015/02/06
ES6とXSSについてのスライド。 ES5環境を想定した判定を破る可能性、Template Stringsと関数実行、新しいシンタックスでのXSSフィルターのバイパス、Symbolsとクロスドメインでの影響、Computed propetiesやデフォルトパラメータの悪用

JavaScript

セキュリティ

slide
リンク
Breaking av software
2. Breaking antivirus software  Introduction  Attacking antivirus engines  Finding vulnerabilities  Initial experiments  Exploiting antivirus engines  Antivirus vulnerabilities  Conclusions  Recommendations 3. Antivirus products  What is an Antivirus? Extracted from Wikipedia:  “An antivirus is a software used to prevent, detect and remove malware such as computer viruses”.  AV software
efcl 2015/01/13
ウイルス対策ソフトの脆弱性調査、見つけたバグ等について

セキュリティ

software

slide
リンク
CSP Lv.2の話
#ssmjp 2014/10 XSSの運用の話間違いなどありましたら @yagihashoo まで。 ## 10/28 9:26追記 nonce-value、規格上はBase64だよ！という指摘をいただいたのでスライド18-19を修正しました。詳細は以下をご覧ください。 http://www.w3.org/TR/CSP2/#source-list-valid-nonces ## 10/29 15:00追記 Path matchingの例示について間違いがあったためスライド14を修正しました。Read less
efcl 2014/10/28
CSP Level2の機能についての紹介スライド。 Path matching、Nonce source、Source hash、frame-ancestors、referrer、sandbox等によくまとまっている

CSP

slide

セキュリティ
リンク
Keeping secrets with JavaScript - An Introduction to the WebCrypto API
October 29, 2014 With the web slowly maturing as a platform the demand for cryptography in the browser has risen, especially in a post-Snowden era. Many of us have heard about the upcoming Web Cryptography API but at the time of writing there seem to be no good introductions available. We will take a look at the proposed W3C spec and its current state of implementation. https://github.com/ttaubert
efcl 2014/09/17
Web Cryptography APIについてのスライド

セキュリティ

slide
リンク
BSidesLA Managing Content Security Policy
Talks about how to succeed at CSP. Tips on applying policies, managing reports, and managing a project. It also talks about CSP level 2 features such as…
efcl 2014/09/15
CSPについてのスライド。 CSPとは何か、どうやって適応するか、どうやって管理するか。 CSP Lv2のhashについてやCSPレポート解析と http://caspr.io/ ついて

セキュリティ

CSP

browser

slide
リンク
On Breaking PHP-Based Cross-Site Scripting Protections In The Wild
On Breaking PHP-based cross-site scripting protection Mechanisms in the wild A talk by Ashar Javed @ Garage4Hackers WebCast (28-07-2014) Previously presented at OWASP Spain Chapter Meeting 13-06-2014, Barcelona (Spain) Recorded Webcast here https://www.youtube.com/watch?v=TKn5qdti66c monkey testing --- According to wikipedia In computer science, a Monkey test (aka. Mark Testing) is a unit test tha
efcl 2014/08/06
いろいろなXSS事例についてのスライド

XSS

php

セキュリティ

slide
リンク
そろそろ押さえておきたい AngularJSのセキュリティ
開発者にとってシェルが必要不可欠なものであることは論を俟ちませんが、当たり前の存在すぎてこれがどのように実現されているのかを知る機会はあまりないと思います。本トークでは、シェルがどのように実現されているのかを、実際にシェルを実装する過程を通じてお話しします。 ※ もともとのトークのタイトルは「入門シェル」でしたが，わかりやすさのため「入門シェル実装」にタイトルを変更しています．
efcl 2014/07/28
AngularJSのデータバインディングとDOM Based XSSについてのスライド。ホワイトリストによるフィルタリング、自作のディレクティブでの扱い、SCE、ng-cspについて。

JavaScript

Angular

XSS

DOM

セキュリティ

slide
リンク
Conference Days全資料公開！ | OWASP AppSec APAC 2014
OWASP Global AppSec APAC 2014にご参加いただきありがとうございました！ご来場くださった皆様のおかげで、感動的なカンファレンスとなりました。この2日間で合計25セッションが27名のスピーカーにより提供されました。カンファレンス最終セッションにあたり、全てのプレゼンテーション資料を以下のとおり公開いたします。さらに、STUDENT IN APPSECなどのゲストスピーカーの資料も随時追加する予定です。プレゼンテーション資料は、以下のリンク先にて閲覧できます。 https://speakerdeck.com/owaspjapan/ また以下のリンク先からは各資料を直接閲覧できます。 3月19日 Deploying information security management for proper data life-cycle ／ Suguru Yamag
efcl 2014/04/01
OWASP Global AppSec APAC 2014のスライド

セキュリティ

slide
リンク
Webアプリ開発者のためのHTML5セキュリティ入門
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
efcl 2014/03/01
CORS、XHR Lv2のリクエストヘッダにCSRF検証用のカスタムヘッダを付ける話、WebSocketにはOriginの制限がないためOriginの検証について。 Content-Typeとnosniff、WebStorageとクッキーのアクセス権範囲の違いや使い分けについて。 CSPの機

XHR

slide

JavaScript

browser

セキュリティ
リンク
Hacking HTML5 workshops
efcl 2014/01/27
HTML5とXSSについてのスライド。 hrefとdataURL、Web MessagingとCORS、XHRでのファイルアップロード、AppCache、iframeのクリックジャッキングバイパス、XSSフィルタ

HTML5

セキュリティ

slide
リンク
SECCON2013 slide
SECCON2013北陸前日勉強会のスライドです http://2013.seccon.jp/2013events.html 元データここ https://gist.github.com/mala/8112696
efcl 2013/12/25
mala. ウェブでのXSSとWebViewでのXSS. mitmproxyを使った通信キャプチャ、アプリ間連携の検証、WebViewの持つべき権限

セキュリティ

slide
リンク
JSMVCOMFG - To sternly look at JavaScript MVC and Templating Frameworks
JSMVCOMFG - To sternly look at JavaScript MVC and Templating Frameworks The document discusses JavaScript MVC and templating frameworks and security issues found during penetration testing. Several frameworks were found to execute arbitrary JavaScript from markup in dangerous ways due to overuse of eval-like functions and lack of separation between code and content. This could lead to bypassing of
efcl 2013/12/15
data-*属性にはXSSフィルターが効かないため、Knockoutのような仕組みだとXSSを検知しにくい。テンプレートとXSS、AngularJSのCSPモード、Chrome Packaged Appについて. MV*のセキュリティメトリクス

JavaScript

MVC

セキュリティ

slide
リンク
1 2 次のページ