2016年に発覚したEquifaxのセキュリティ問題
2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。
Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。
セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。
StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。
x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
2016年に話を進めると、x0rzという名前で活動している研究者のツイートによると、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。
Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。
セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。
StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。
x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。
Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。
セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。
StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。
x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
マティアスは、15年以上のソフトウェアセキュリティの実務経験を持つ研究者・開発者です。フォーティファイ・ソフトウェア社や自身の会社(Sensei Security)などでソリューションを開発してきました。キャリアの中で、Matiasは、商用製品につながる複数のアプリケーションセキュリティ研究プロジェクトを主導し、10件以上の特許を取得しています。また、RSAカンファレンス、Black Hat、DefCon、BSIMM、OWASP AppSec、BruConなどの世界的なカンファレンスで定期的に講演を行っているほか、高度なアプリケーションセキュリティトレーニング(courses )の講師も務めています。
Matiasはゲント大学でコンピュータ工学の博士号を取得し、アプリケーションの内部構造を隠すためのプログラム難読化によるアプリケーションセキュリティを研究しました。
2016年にEquifax社のウェブサイトで確認されたセキュリティ問題は、いまだに修正されていません。問題を特定するのは一歩ですが、それを修正するのはさらに大きな課題です。コードに戻って文脈を理解し、問題を修正するには時間とスキルが必要です。
Equifax社の開発者が大きなストレスを抱えていたことは明らかで、多くの既知の脆弱性が修正されませんでした。残念なことに、その対策の不備が、今、最悪の結果を招いています。
セキュリティは最初から組み込まれている必要があり、開発者は、既知の脆弱性を最小限に抑えるためのスキル、トレーニング、IDEツールが必要です。判明した問題を修正するには、特定の言語やフレームワークに関する知識が必要です。XSSの問題を解決するための一般的な原則は変わりませんが、実際の実装はフレームワークに依存します。
StrutsのXSS問題を修正する方法について、インタラクティブなトレーニングを行いたい場合は、https://portal.securecodewarrior.com/#/simple-flow/web/xss/reflected/java/strutsをご覧ください。
x0rzという名前で活動している研究者のツイートによると、2016年になって、セキュリティ研究者がEquifaxのメインサイトにクロスサイトスクリプティング(XSS)と呼ばれる一般的な脆弱性を発見しました。このようなXSSバグは、攻撃者が特別に作成したリンクをEquifaxの顧客に送信し、対象者がクリックしてサイトにログインすると、ユーザー名とパスワードがハッカーに知られてしまいます。
https://www.forbes.com/sites/thomasbrewster/2017/09/08/equifax-data-breach-history/#552ab1c9677c
目次
Matias Madou, Ph.D. セキュリティ専門家、研究者、CTO兼共同設立者(Secure Code Warrior )。Ghent大学でアプリケーションセキュリティの博士号を取得し、静的解析ソリューションに焦点を当てた。その後、米国Fortify社に入社し、開発者が安全なコードを書くことを支援せずに、コードの問題を検出するだけでは不十分であることに気づきました。開発者を支援し、セキュリティの負担を軽減し、お客様の期待を上回る製品を開発することを志すようになった。Team Awesomeの一員としてデスクワークをしていないときは、RSA Conference、BlackHat、DefConなどのカンファレンスでプレゼンテーションをするのが好きである。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約するダウンロード
.png)
