S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点

技術 AWS セキュリティ診断

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめた…

2024-05-23

「YAMLパース占い」in RubyKaigi 2024 で伝えたかったこと

技術セキュリティ診断イベント参加

今年もRubyKaigiに協賛させていただきました！ Flatt Security 執行役員CCO / プロフェッショナルサービス事業部長の @toyojuni です。先日沖縄県那覇市で開催されたRubyKaigi 2024の振り返りと皆様への感謝の気持ちを込めて本記事を執筆します。昨年に引き…

2024-05-21

オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する

技術セキュリティ診断 AWS

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、オブジェクトストレージに対する書き込みに関連するセキュリティリスクの理解と対策についてお話しします。本ブログは、2024年3月30日に開催された BSides Tokyo で登壇した際の発表について…

2024-05-13

Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう

技術セキュリティ診断 Web

こんにちは、 @okazu_dm です。前回の記事に引き続きCookie関連のセキュリティに関する記事となります。今回は、Cookieの仕様を定めたRFC6265(https://datatracker.ietf.org/doc/html/rfc6265)自体に含まれるSecure属性の問題点と、その対策について紹介…

Flatt Security Blog

株式会社Flatt Securityの公式ブログです。プロダクト開発やプロダクトセキュリティに関する技術的な知見・トレンドを伝える記事を発信しています。

2024-05-01から1ヶ月間の記事一覧

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点

「YAMLパース占い」in RubyKaigi 2024 で伝えたかったこと

オブジェクトストレージにおけるファイルアップロードセキュリティ - クラウド時代に"悪意のあるデータの書き込み"を再考する

Is Secure Cookie secure? - CookieのSecure属性・__Host-プレフィックス・HSTSを正しく理解しよう