この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。1... Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-mem…

この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。

Androidのゲーム、銀行系アプリケーションを開発する上で、チート等の不正を可能にするRoot化や改ざんといった行為からアプリケーションを保護するのは必須と言えます。 そこで本稿では、どのようにアプリケーションを保護すれば良いのかを攻撃者側からの観…

本稿では、Amazon S3 の脆弱な使い方によるセキュリティリスクと対策を解説し、実際の設定不備などに関する事例についても紹介します。

下記のTweetで出題させていただいた、Flatt Security Developers' Quiz #2にご参加いただきありがとうございました！景品の獲得条件を満たした方には追ってメールでご連絡を差し上げますので、ご確認いただけますと幸いです。なお、景品獲得条件を満たさなか…

はじめに こんにちは、Policy as Code の取り組みを実現するセキュリティプラットフォーム、Shisho Cloudのプロダクトマネージャーの小島です。先日、Shisho Cloudの3つのソフトウェアエンジニアのポジションの募集を開始しました！ flatt.tech 今回の募集開…

これまで弊社ブログでは様々な「仕様とセキュリティ観点の解説記事」を発表してきました。今回はいままでの記事を改めて紹介しつつ、読者の皆様が開発中のサービスでセルフチェックを行えるよう「仕様とセキュリティ観点チェックリスト」を作成しました。ご…

本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性と比較して語られること…

今回、HackerOneとGitHubが開催するライブハッキングイベント「H1-512」に招待されたため、6月14日から6月18日の間テキサス州オースティンに行っていました。 本稿では、H-512に参加するために国内/国外含めて記憶がある中では初めての飛行機を使った旅行を…

はじめに 下記のTweetで出題させていただいた、Flatt Security Developers' Quizにご参加いただきありがとうございました！ ⚡️ Flatt Security Developers' Quiz開催！ ⚡️PHPコードに潜む脆弱性を見つけられますか？先着10名の方に公式Tシャツとステッカーを…

本記事では、NETGEAR社のWAC124(AC2000)ルーターにおいて、様々な脆弱性を発見し、いくつかの脆弱性を連鎖させて、前提条件なしに未認証ユーザーの立場からコマンドを実行する方法について説明します。 私は1週間ほどかけてこれらのバグをすべて見つけ出し、…

GitHub Organizationを安全に運用していくためのベストプラクティス、そしてそのベストプラクティスがきちんと開発組織の中で運用されているかをモニタリングする方法についてまとめたスライドを公開しました。 この記事では、そのスライドを公開のお知らせ…