2020.09.02 UP

私はこうやってEGSSに潜り込んだ（中途/IT業界未経験編）1

シリーズ第3弾です。3人目ともなると弊社の採用基準の多様さが徐々に見えてくるかと思います。今回の投稿もそれほど長文というわけではないので、軽い読み物としてお付き合いください。

read more

2020.07.22 UP

私はこうやってEGSSに潜り込んだ　他業種中途編2

こんにちは、EGセキュアソリューションズ(EGSS)の黒木です。 前回に引き続き「こうやってEGSSに潜り込んだシリーズ」として他業種から中途入社した私(黒木)の事例を紹介します。

read more

2020.06.03 UP

私はこうやってEGSSに潜り込んだ　新卒編3

こんにちは。エンジニアの竹添です。 本日は、新卒でセキュリティエンジニアになった私が、どのような経緯で業界に足を踏み入れ、どのようなお仕事をしているのか、というテーマで記事を書いてみたいと思います。

read more

2020.01.30 UP

Apacheが最新版(2.4.41)かどうかを確認する方法4

こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。

read more

2019.05.10 UP

【サービスのご紹介】徳丸本講座

こんにちは。EGセキュアソリューションズ セミナー運営事務局です。

read more

2019.03.29 UP

【連載】JSONとJSONPの違い、そしてそれにまつわる脆弱性

こんにちは。EGセキュアソリューションズ診断チームです。 JSONとJSONPという、Webサイトを構築する上でよく目にする技術について、 使用する上で注意すべき脆弱性を、解説を交えながら紹介したいと思います。

read more

2019.02.22 UP

WordPressサイト移行に便利なDB置換ツールを使う際の注意点

WordPressサイトの引っ越しや、開発環境から本番環境への移行等によりドメイン名やディレクトリ構造を変更する必要がある場合、データベース内のドメインやURLをSQLで直接書き換えるのではなく、DB置換ツール（Search Replace DB）が広く利用されているようです。

read more

2017.11.24 UP

OWASP Top 10 2017に対する弊社脆弱性診断の対応

先日OWASP Top 10の最新リリースである2017版が正式に公開されました。

read more

2017.09.07 UP

診断文字列を打ち込まずにPHPのバージョンを推測する

脆弱性診断においてApacheのバージョンを外部から調べる方法を複数の専門家がブログ記事に書いておられます。

read more

2017.05.12 UP

ECセキュリティ対策セミナー（大阪）開催します

HASHコンサルティング株式会社は、本日からEGセキュアソリューションズ株式会社に社名変更いたしました。

read more

2017.04.18 UP

「危険な脆弱性にいかに対処するか実践的ウェブサイト防衛セミナー」開催します

4月26日（水）HASHコンサルティング株式会社は、株式会社ジェイピー・セキュアと共催にて標記セミナーを開催いたします。

read more

2016.11.16 UP

HASHコンサルティングはWordPressを使っています

こんにちは。HASHコンサルティングの一ノ瀬太樹です。 前回の記事では「弊社のWordPressに対する取り組み（by HASHコンサルティング 松本）」について書かせて頂きました。

read more

2016.10.26 UP

WordPressとセキュリティ「ゆりかごから墓場まで」

こんにちは。HASHコンサルティングの松本隆則です。 今回は弊社のWordPressに対する取り組みについてお話させていただきます。

read more

2016.09.06 UP

私は如何にして心配するのを止めてOWASP ZAPハンズオンセミナーを愛するようになったか

はじめまして。HASHコンサルティングでエンジニアをしている松本隆則と申します。 弊社一ノ瀬に続き、私もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。

read more

2016.07.23 UP

httpoxyでAffected指定されているけどPoCが無いフレームワークで再現試験をした話

はじめまして。HASHコンサルティングでエンジニアをしている一ノ瀬と申します。ご存知の通り、現在HASHコンサルティングは現在も積極的にセキュリティエンジニアを募集しています。従業員も少しずつ増えてきましたので、今回の投稿から弊社の代表である徳丸と共に従業員もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。というわけで、従業員の投稿第1弾は2016/7/19に公開され話題となったhttpoxyの話です。

read more

2016.03.03 UP

HASHコンサルティングの入社試験ではウェブ健康診断実技を実施しています

HASHコンサルティング株式会社では、一緒に働く仲間を募集しています。弊社はウェブアプリケーションのセキュリティを専門分野にしていますので、ウェブアプリケーションの開発経験のある方を歓迎いたします。セキュリティの専門知識や経験は、入社いただく時点では必須とはしておりません。

read more

2015.10.13 UP

PHPのJSON HashDosに関する注意喚起

4年前にHashDos（Hash Collision Attack）に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。

read more

2015.07.07 UP

【10社限定】イー・ガーディアン主催のセミナーにて講演します

HASHコンサルティング株式会社がイー・ガーディアン株式会社にジョインして初のセミナーをイー・ガーディアン主催で行うことになりましたので報告します。

read more

2014.08.05 UP

[PR]リアルタイム改ざん検知・復旧システムであるウェブアルゴスを使ってみた

重要事項説明: 本稿は、HASHコンサルティング株式会社が、デジタルインフォメーションテクノロジー株式会社(以下DIT)から依頼を受けて「ウェブアルゴス」を評価し、その結果を執筆した記事広告です。

• #UYUYU
• #YUYU

read more

2013.12.06 UP

弊社のホームページにContent Security Policy(CSP)を導入しました

弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。

read more

2013.08.26 UP

バラクーダネットワークスジャパンのセミナー（名古屋）で講演します

8月29日バラクーダネットワークスジャパン株式会社の「企業公開サイトのセキュリティ対策セミナー」にて講演致します。まだ若干お席があるようですので、ご案内いたします。

read more

2012.12.30 UP

日本3大SNSのログイン画面について、SSL利用状況を検証する

このエントリは弊社メールマガジンの第一号（2012年4月27日発行）の記事の転載です。入力フォームをSSLにしないことの問題が話題となっていますので、読者の参考のため公開するものです。 この件に関連して、私はtwitterで以下のようにつぶやきました。

read more

2012.12.30 UP

ロリポップ上のWordPressをWAFで防御する方法

(2013/08/29)追記:ロリポップ上のWordPressが不正アクセスされる事例が増えているようです（参考）。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました

read more

2012.10.10 UP

[PR]日本ベリサインの「脆弱性アセスメント」機能を使ってみた

本稿は、HASHコンサルティング株式会社が、日本ベリサイン株式会社から依頼を受けて「脆弱性アセスメント」を評価し、その結果を執筆した記事広告です。

read more

2012.06.26 UP

インフィニテック社のセミナーで基調講演します

7月5日株式会社インフィニテックの「第４回 セキュリティ&コンプライアンスセミナー 2012」で基調講演致します。

read more

2012.06.18 UP

HASHコンサルティングメールマガジン第3号を配信しました

HASHコンサルティングメールマガジン第3号を配信しました

read more

2012.05.17 UP

HASHコンサルティングメールマガジン第2号を配信しました

HASHコンサルティングメールマガジン第2号を配信しました

read more

2012.04.27 UP

HASHコンサルティングメールマガジン創刊号を配信しました

HASHコンサルティングメールマガジン創刊号を配信しました

read more

2012.04.24 UP

HASHコンサルティング株式会社のメールマガジンを創刊します

HASHコンサルティング株式会社では、このたび無償メールマガジン（以降、メルマガと表記）を創刊することに致しました。セキュリティや弊社代表徳丸浩に関する記事を、ほぼ毎月（努力目標）お届けいたします。 第1回の発行（送信）は四月末頃を予定しています。

read more

2012.04.21 UP

PHPカンファレンス北海道講演資料

PHPカンファレンス北海道講演資料

read more

2012.03.27 UP

OWASP JAPAN 1st Local Chapter Meeting講演資料

OWASP JAPAN 1st Local Chapter Meeting講演資料

read more

2012.01.30 UP

ホスト型の廉価版WAFであるSiteGuard Liteを評価した

版の評価結果を報告します。SiteGuard Liteは、ModSecurityのようにApacheにモジュールとして組み込むタイプのWAFです。

read more

2011.10.16 UP

10月14日YAPC::ASIA Tokyo2011でトークしました

YAPC::ASIA Tokyo2011トーク資料

read more

2011.09.11 UP

9月10日PHPカンファレンス2011で講演しました

PHPカンファレンス2011講演資料

read more

2010.05.22 UP

WAS Forum Conference 2010講演資料

WAS Forum Conference 2010講演資料 日付 2010年05月22日（土曜日） 時間 10時00分～18時00分 場所 コクヨホール 演題 ケータイ2.0が開けてしまったパンドラの箱 ケータイ2.0が […]

read more

2010.03.19 UP

「かんたんログイン」DNSリバインディング耐性のチェック方法

このエントリでは、ケータイ向けWebサイトがDNSリバインディング攻撃に対する防御耐性があるかどうかをチェックする方法を説明します。ケータイ向けに「かんたんログイン」機能をもつWebサイトをチェック対象とします。

read more

2009.11.24 UP

iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性

iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性

read more

2009.09.06 UP

9月4日 PHPカンファレンス2009 ビジネスデイで発表しました

こちらの日記はずいぶん後沙汰しておりますが、標記のように、 PHPカンファレンス2009 ビジネスデイにて発表する機会をいただきました。関係者のみなさまありがとうございました。

read more

2008.06.22 UP

WASForum Conference 2008で講演します

標記のように、WASForum Conference 2008の7/5 Developers DAY - 事件は現場で起こっている……セキュリティライフサイクルとマルプラクティスにて、「SQLインジェクション対策再考」のタイトルで講演させていただくことになりました。7月5日土曜日、東銀座時事通信ホールです。

read more

2008.06.15 UP

安全なWebアプリケーションのために発注者がなすべきこと – 発注者のためのWebアプリケーションセキュリティ入門(1)

このブログでの連載開始にあたり、Webアプリケーションを発注する立場でのセキュリティに対する責任や、なすべきことを説明したいと思います。

read more

2008.06.11 UP

セキュアなWebアプリケーション開発のためのノウハウを提供します

こんにちは。HASHコンサルティング株式会社の徳丸浩です。私はこれまで二種類のブログを運営してきましたが、いずれも技術的な内容にフォーカスした内容でした。

read more