● 81 entries
アプリケーションセキュリティ
- API セキュリティ認証・認可・データ露出・濫用耐性が攻撃下でも崩れないように API を設計・実装・運用する分野。
- ASLRASLR はコード、スタック、ヒープ、ライブラリの配置アドレスを実行ごとに乱数化し、攻撃者がエクスプロイトに使う目標アドレスを予測できないようにする緩和策です。
- CAPTCHA人間と自動化ボットを区別するために設計されたチャレンジ-レスポンステスト。一般にサインアップ、ログイン、フォーム送信のエンドポイントに導入される。
- CI/CD セキュリティ継続的インテグレーションと継続的デリバリーのパイプラインを、侵害・コード注入・シークレット漏洩・不正デプロイから守るための一連の統制。
- CORS(オリジン間リソース共有)ブラウザが強制する仕組みで、サーバーが同一オリジンポリシーを選択的に緩め、あるオリジンの JavaScript から別オリジンのレスポンスを読み取れるようにする。
- CosignSigstore プロジェクト由来のオープンソース CLI で、OCI 成果物などのソフトウェアに対し、鍵あり・鍵なし両方のワークフローで署名・検証・アテステーションを行うツール。
- DAST(動的アプリケーションセキュリティテスト)稼働中のアプリケーションにネットワーク経由でアクセスして行うブラックボックス型のセキュリティテストで、ランタイムでのみ現れる脆弱性を検出する。
- DEP(データ実行防止)DEP(NX ビット、W^X)はメモリページを実行不可と印付けし、スタックやヒープに注入されたシェルコードの実行を阻止します。
- DevSecOpsセキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
- ELF バイナリ形式Linux・BSD など System V Unix 系で標準的に用いられる実行ファイル・オブジェクト・共有ライブラリのバイナリ形式 Executable and Linkable Format。
- GitOps セキュリティインフラとアプリケーションの宣言的な望ましい状態を Git に保存し、自動化されたコントローラーが本番環境と継続的にリコンサイルする GitOps ワークフローのセキュリティ実践。
- HTTP セキュリティヘッダHTTPS 強制・フレーム制限・コンテンツポリシー・リファラ制御などの防御動作をブラウザに指示するレスポンスヘッダ群。
- HttpOnly Cookie フラグdocument.cookie からのアクセスを禁じて Cookie を JavaScript から隠す属性で、XSS が悪用された際のセッション窃取を抑止する。
- IAST(対話型アプリケーションセキュリティテスト)稼働中のアプリケーション内部に計装を仕込み、トラフィックやテストで動作している間にコード実行を観察するセキュリティテスト手法。
- iframe の sandbox 属性iframe の内容に追加の制限を課す HTML 属性。明示的に許可しない限り、スクリプト・フォーム・遷移・同一オリジンアクセスをすべて禁止する。
- in-totoソフトウェアサプライチェーンの各ステップを暗号学的に証明し、利用者がプロジェクト所有者の意図どおりに成果物が構築・処理されたことを検証できるようにするオープンフレームワーク。
- Intel CETIntel CET(制御フロー強制技術)は、ハードウェアシャドースタックと間接分岐追跡(IBT)を組み合わせ、ROP/JOP/COP の悪用を阻止する CPU 機能です。
- JIT スプレーJIT コンパイラを悪用し、合法に生成された実行可能メモリページの中に攻撃者が選んだ実行可能バイト列を埋め込むエクスプロイト技法。
- JWT の脆弱性JSON Web Token の検証実装に潜む欠陥群で、トークンの偽造・権限昇格・認証バイパスを許す。
- KASLRKASLR(カーネル ASLR)は起動ごとにカーネル基底とモジュール配置を乱数化し、攻撃者が固定カーネルシンボルに依存したローカル権限昇格を行えないようにします。
- Mach-OMach-O は macOS・iOS・watchOS・tvOS が使用する実行ファイル、オブジェクト、共有ライブラリのネイティブ形式で、Apple のツールチェインが生成する。
- MIME スニッフィングブラウザがレスポンスのバイト列からコンテンツタイプを推測する挙動。攻撃者にアップロードファイルをスクリプトとして実行されるリスクがある。
- PDF エクスプロイト細工された PDF が、パーサーの不具合、埋め込み JavaScript、フォント、外部アクションなどを悪用し、PDF ビューア上でコード実行やデータ窃取を行う攻撃。
- PE 実行ファイル形式Portable Executable は Windows で .exe・.dll・.sys・.ocx などに使われるバイナリ形式で、旧来の COFF オブジェクト形式から派生している。
- Playwright のセキュリティMicrosoft のクロスブラウザ自動化フレームワーク Playwright のセキュリティに関する留意点。隔離されたコンテキストで Chromium・Firefox・WebKit を操作する。
- Puppeteer のセキュリティGoogle が公開する Node.js ライブラリ Puppeteer のセキュリティに関する留意点。DevTools Protocol 経由で Chrome や Chromium を自動操作する。
- RASP(ランタイムアプリケーション自己防御)稼働中のアプリケーション内部に組み込まれ、実行コンテキストを監視してインジェクションやデシリアライゼーションなどの悪意ある挙動をリアルタイムにブロックする防御機構。
- robots.txtサイトのルートに置かれるテキストファイルで、行儀のよいクローラーに対して取得を許可・禁止するパスを伝える。IETF RFC 9309 で標準化されている。
- Rust のセキュリティ特性Rust は所有権・借用・ライフタイムにより、ガベージコレクタなしに UAF やデータ競合を含む典型的な未定義動作をコンパイル時に排除します。
- SameSite Cookieクロスサイトリクエストで Cookie を送信するかをブラウザに指示する属性で、値は Strict・Lax・None。主に CSRF 対策に用いる。
- SAST(静的アプリケーションセキュリティテスト)ソースコード・バイトコード・バイナリを実行せずに自動解析し、インジェクションや安全でない API、弱い暗号などのセキュリティ欠陥を検出する手法。
- SCA(ソフトウェアコンポジション解析)アプリケーションが利用するオープンソース・サードパーティコンポーネントを自動解析し、既知の脆弱性、ライセンス問題、古い・危険な依存関係を洗い出す手法。
- Secure Cookie フラグCookie を HTTPS でのみ送信させる属性で、ネットワーク上の平文露出を防ぐ。
- Sigstore短命な鍵・OIDC ID・透明性ログを組み合わせ、ソフトウェア成果物の署名・検証・保護を容易にする、Linux Foundation のオープンソースプロジェクト。
- SLSA FrameworkSupply-chain Levels for Software Artifacts:OpenSSF が公開する段階的要件集で、ソフトウェアのビルド・署名・検証を強化し、サプライチェーン改ざんに対する耐性を段階的に高めるもの。
- SMEP / SMAPSMEP と SMAP は、カーネルがユーザー空間のページを実行したりアクセスしたりすることを禁じる CPU 機能で、典型的なローカル権限昇格を阻止します。
- Trusted TypesDOM ベースの XSS を防ぐためのブラウザ API と CSP ディレクティブ。危険な DOM シンクには生文字列ではなく、ポリシーで検証された型付き値しか渡せなくする。
- User-Agent スプーフィングUser-Agent ヘッダーや関連する Client Hints を偽装し、実際とは異なるブラウザ・端末・OS からのリクエストに見せかける手法。
- アビューズケース悪意ある攻撃者がシステムを意図的に悪用してユーザー・データ・ビジネスに損害を与える経路を記述した要求成果物。
- アプリケーションセキュリティ(AppSec)ソフトウェアのライフサイクル全体を通じて、悪用・改ざん・不正アクセスに耐えられるように設計・構築・テスト・運用する分野。
- カバレッジガイド付きファジングターゲットを計装してコードカバレッジを測定し、未踏のパスに到達する入力を進化させることで、バグ発見効率を大幅に高めるファジング手法。
- キャプチャー・ザ・フラッグ(CTF)参加者が課題を解いて隠されたトークン(フラグ)を取得するサイバーセキュリティ競技。教育・採用・コミュニティ形成に利用される。
- コードへのハードコードされたシークレット認証情報・API キー・トークン・暗号資産をソースコード・設定ファイル・コンテナイメージに直接埋め込むことで、容易に発見・悪用される状態。
- コンテンツセキュリティポリシー (CSP)スクリプト・スタイル・フレームなどの読み込み元をブラウザに指示する HTTP レスポンスヘッダで、XSS やデータ注入攻撃の影響を抑える。
- コントロールフロー整合性(CFI)CFI はプログラムの間接呼び出しと戻りを事前計算した正当な遷移先集合に制限し、ROP や JOP による制御フロー奪取を阻止します。
- サイト分離異なるサイトのドキュメントを別々の OS プロセスに割り当て、侵害された描画プロセスからクロスサイトのデータを読み取れないようにする Chromium のセキュリティ機構。
- サブリソース完全性 (SRI)サードパーティから読み込んだスクリプトやスタイルシートを実行する前に、ブラウザが暗号学的ハッシュを検証し、改ざんされたファイルの実行を防ぐ仕組み。
- シフトレフトセキュリティセキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
- シャドースタックシャドースタックは戻りアドレスの控えを保持する独立した保護スタックで、通常スタックの改ざんを CPU が検出して ROP 攻撃を阻止します。
- シンボリック実行具体的な値ではなく記号値を入力としてプログラムを実行し、各パスの制約を SMT ソルバで解いて欠陥を発見するプログラム解析手法。
- スタックカナリアスタックカナリアは、関数のローカルバッファと保存された戻りアドレスの間に置かれた秘密値で、制御フローを奪取される前にスタックオーバーフローを検出します。
- セキュアコーディング防御的パターン・言語固有のルール・公認ガイドラインに従い、セキュリティ欠陥を最小化するようにソースコードを書く実践。
- セキュアソフトウェア開発ライフサイクル(SSDLC)要件・設計・実装・テスト・リリース・運用といったソフトウェア開発の各フェーズにセキュリティ活動を組み込んだライフサイクル。
- セキュリティ要件機密性・完全性・可用性・プライバシーを守るためにシステムが何を行い何を行ってはならないかを明確かつ検証可能な形で示した記述。
- セッション固定化攻撃者が事前に既知のセッション ID を被害者のブラウザに仕込み、認証後もそのまま自分が利用できる状態にする攻撃。
- ソフトウェアサプライチェーンセキュリティソースコード・依存関係・ビルド・署名・配布・デプロイに至るまで、ソフトウェア製造の各リンクを改ざん・悪意あるコード・完全性喪失から守る取り組み。
- ソフトウェア部品表(SBOM)ソフトウェアを構成するコンポーネント・ライブラリ・依存関係を、バージョンや関係とともに機械可読な形で正式に列挙したインベントリ。
- パッケージ署名ソフトウェアパッケージに暗号学的署名を付与し、利用者が発行者の身元と公開後に改ざんされていないことを検証できるようにする仕組み。
- パラメータ化クエリ値を SQL 本文とは別にプレースホルダ経由で渡すデータベースクエリで、ユーザー入力がクエリ構造を変えられないようにする。
- ファジング(Fuzz Testing)プログラムに大量の不正・ランダム・想定外な入力を与え、クラッシュ・メモリ破壊・セキュリティ脆弱性を自動的に発見するテスト手法。
- ブラウザサンドボックスOS レベルの分離層で、ブラウザのレンダラーやヘルパープロセスを閉じ込め、侵害された Web コードがファイルシステムや他アプリへアクセスできないようにする。
- プロベナンスアテステーションソフトウェア成果物がどのように作られたか(ソース・ビルドシステム・パラメータ・依存関係)を、署名付きかつ機械可読な形で記述する宣言で、利用者がその出所を信頼できるようにするもの。
- ヘッドレスブラウザGUI を持たずプログラムから制御される本物のブラウザで、テスト、スクレイピング、セキュリティ自動化などに利用される。
- ミスユースケースシステムが阻止すべき相互作用を記述したネガティブなユースケースで、正規のユースケースと同じ図上で分析する。
- ミューテーションファジング正常な既存サンプルを、ビット反転・バイト挿入・ファイルの結合などでランダムに変異させて新たな入力を作るファジング戦略。
- メモリ安全言語Rust、Go、Swift、Java、C# などのメモリ安全言語は、C/C++ における悪用可能な脆弱性の大半を生む空間的・時間的なメモリエラーを構造的に防ぎます。
- メモリ安全性メモリ安全性とは、プログラムが正当に確保していないメモリを読み書きしたり実行したりしないという性質で、脆弱性のクラスをまとめて排除できます。
- リターン指向プログラミング(ROP)ROP は、RET で終わる短い命令列(ガジェット)を連結して、新しいコードを注入することなく任意の計算を実現するコード再利用型のエクスプロイト手法です。
- リファラーポリシー (Referrer Policy)外向きリクエストの Referer ヘッダーに送信元 URL のどれだけの情報を含めるかを制御する HTTP 応答ヘッダー(または meta タグ)。
- 悪意のあるブラウザ拡張付与された強い権限を悪用して認証情報窃取、セッションハイジャック、広告挿入、データ外発を行うブラウザ拡張機能。正規拡張の侵害された更新で配布されることが多い。
- 暗号部品表(CBOM)ソフトウェアやシステムが利用するすべての暗号資産(アルゴリズム・鍵長・証明書・ライブラリ・プロトコル)を一覧化し、暗号アジリティとポスト量子対応を支えるインベントリ。
- 依存関係のピン留めソフトウェア依存関係を厳密なバージョン、可能なら暗号学的ハッシュとともに固定し、ビルドが常に同一の成果物を取得することでサプライチェーン改ざんへの耐性を高める手法。
- 依存関係混同攻撃(Dependency Confusion)攻撃者が組織内部の依存関係と同じ名前の悪意あるパッケージをパブリックレジストリに公開し、ビルドツールにパブリック版を取得させるサプライチェーン攻撃。
- 脅威モデリング資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
- 型混乱の脆弱性実際の確保型と矛盾する型を介してオブジェクトへアクセスしてしまうメモリ安全性のバグで、任意読み書きやコード実行に直結することが多い。
- 混在コンテンツHTTPS で配信されたページがスクリプト・スタイル・画像・XHR などのサブリソースを平文 HTTP で読み込み、ページ全体のセキュリティを低下させる状態。
- 再現可能ビルド同じソースコードを同じ手順でビルドすれば、いつどこで実行しても1ビットまで同一の成果物が得られるように設計するビルド手法。
- 出力エンコーディング信頼できないデータを HTML・JavaScript・URL・SQL・シェルなど特定の出力コンテキストで安全な形式に変換し、コードとして実行されるのを防ぐ処理。
- 投機的実行サイドチャネル本来実行されるべきでない経路で命令を投機的に実行した結果、CPU がキャッシュや予測器を介してデータを漏らしてしまうマイクロアーキテクチャ脆弱性の総称。
- 同一オリジンポリシー (SOP)あるオリジンから読み込まれた文書やスクリプトが、別のオリジンのリソースとどのように相互作用できるかを制限するブラウザのセキュリティ規則。
- 入力検証アプリケーションが処理する前に、信頼できないすべての入力が期待する型・長さ・範囲・形式・値集合に合致しているかをサーバー側で確認する処理。