Security Tips

• Binary
• Chaos Engineering
• CISO
• Cloud
• Cryptography
• CSIRT
• CTF
• DNS
• Framework
• Game
• General
• Hacking
• History
• JavaScript
• Law
• License
• Machine Learning
• Malware
• Python
• Red Team
• Study Platform
• Tool
• Web
• Other

Android

• Android Security 安全なアプリケーションを作成するために

Architecture

• セキュア・バイ・デザイン

Authentication / Authorization

General

• C向けサービスで 使われている認証方式と安全な使い方
• Passwords Evolved: Authentication Guidance for the Modern Era

OAuth

• OAuth 2.0 Security Best Current Practice draft-ietf-oauth-security-topics-19
• 雰囲気で使わずきちんと理解する！整理してOAuth2.0を使うためのチュートリアルガイド
• 【電子版】OAuth、OAuth認証、OpenID Connectの違いを整理して理解できる本
• OAuth & OIDC 勉強会 【入門編】
• OAuth & OIDC 勉強会 【アクセストークン編】

JWT

• 攻撃して学ぶJWT【ハンズオンあり】
• セキュリティ視点からの JWT 入門
• 2020年版 チーム内勉強会資料その1 : JSON Web Token

SAML

• 进宫 SAML 2.0 安全

Browser

• 電子情報学特論：Chromiumのアーキテクチャを解き明かす
• Inside look at modern web browser (part 1)
• Inside look at modern web browser (part 2)
• Inside look at modern web browser (part 3)
• Inside look at modern web browser (part 4)
• Awesome browser security
• Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する

Bug Bounty

Company

• cybozu
• LINE

Platform

• IssueHunt
• HackerOne
• Initigriti

Knowledge

• Google Hacking Database
• urlscan.io
• IPAddress.com
• trickest/cve
• grep.app
• Github Code Search
• Google Hacking Database
• AttackerKB

Career

• セキュリティエンジニアへの道：私のキャリアチェンジ物語
• 放送大学と学位授与機構で情報工学の学位を取る（科目対応表付き）
• 海外大学のCS修士課程に進学することになった
• 文系出身者がジョージア工科大学のコンピュータサイエンス修士に合格するまで
• 趣味のプログラミングで博士号を取った社会人の覚え書き
• See Yourself in Cyber with OffSec: Penetration Testing
• Cyber Security Career Pathways
• A rough guide to launching a career in cybersecurity
• How to become a penetration tester: Part 1 – your path into offensive security testing
• How to become a penetration tester: Part 2 – ‘Mr hacking’ John Jackson on the virtue of ‘endless curiosity’

Case Study

• 1,000プロジェクトを越えるサイバーエージェントグループのクラウドセキュリティモニタリング
• プロダクトコードの静的解析にhorusecを入れた話
• ZOZOにおけるID基盤のk8sへのリプレイスとセキュリティの取り組み
• GitHub API を使ったリポジトリの監査を始めました
• メルカリ エンジニアリングブログ
• 入社4日目のAWS専任者が挑むセキュリティの向上 “土地勘”がないからこそ選んだ「OODAループ」という考え方
• How Flipkart Reacts to Security Vulnerabilities
• 全リージョン、複数AWSアカウントのAWS Security Hubのコントロールをコードで統制・管理する
• Zoncolan: How Facebook uses static analysis to detect and prevent security issues
• セキュリティを測定可能にする技術
• 脅威 Intelligence と log 運用

Certification

• 情報処理技術者試験・情報処理安全確保支援士
• 認定脆弱性診断士
• Burp Suite Certified Practitioner
  • 有効期限：5年間
• OFFENSIVE SECURITY
  • 有効期限：無期限
• (ISC)^2
• EC-Council
• AWS Certified Security - Specialty
  • 有効期限：3年間
  • https://aws.amazon.com/jp/certification/recertification/
• The Linux Foundation
• HTB Academy
• Security Certification Roadmap
• Linux Professional Institute LPIC-3 セキュリティ

CI/CD

• StepSecurity - Produce Software With Confidence
• Ratchet
• 未知の脅威に対抗するメルカリのCI再設計

CircleCI

• CircleCI Docs Security recommendations
• DevSecOps and CircleCI orbs: secure your CI/CD pipeline

Container

Docker

• Dockerfile best practices

General

• コンテナのセキュリティを中身から理解しよう
• [AWS Black Belt Online Seminar] コンテナセキュリティ入門
• アプリケーションコンテナセキュリティガイド
• container-dev-security
• OSSで始めるコンテナセキュリティ
• Container Security Considerations: Security Best Practices and Common Threats
• 実践 Linux コンテナ実行基盤セキュリティ
• Keeping Docker secrets secure (even if you’re not using Kubernetes)
• コンテナの作り方、壊し方

Kubernetes

• 脅威モデリングで考える Kubernetes セキュリティ
• サイバー攻撃から Kubernetes クラスタを守るための効果的なセキュリティ対策

Corporate

• 業務する環境をセキュアにした話 その1
• 業務する環境をセキュアにした話 その2
• 業務する環境をセキュアにした話 その3
• 業務する環境をセキュアにした話 その4
• 業務する環境をセキュアにした話 その5
• 業務する環境をセキュアにした話 その6

Curation List

• Open source security tools
• Software Supply-Chain Security Reading List

Datadog

• Accelerate incident investigations with Log Anomaly Detection
• Detect cryptocurrency mining in your environment with Datadog Cloud SIEM

DevSecOps

• アジャイル開発におけるセキュリティ | パターン・ランゲージ
• Building a Product Security program from scratch
• Product Security Roadmap
• A Lightweight Approach To Implement Secure Software Development LifeCycle (Secure SDLC)
• OWASP DevSecOps Maturity Model
• セキュリティ・バイ・デザイン導入指南書
• DevOpsSec
• 2022.11.14 プロダクトセキュリティのはじめ方 in Ubie
• Web サービススタートアップにおけるプロダクトセキュリティの始め方
• エウレカのDevSecOps

eBPF

• eBPFってなんだ？
• eBPFで実現するコンテナランタイムセキュリティ
• eBPFに3日で入門した話

Education

• 従業員向けセキュリティ教育のネタ

English

• セキュリティエンジニアのための English Reading

Fuzzing

• t-reqs

DATABASE

MySQL

• MySQLのデータ暗号化いろいろ

Github

• GitHubリポジトリにおけるレビュープロセスの統制
• GitHubセキュリティ Organization運用のベストプラクティス
• Github Actions Security guides
• GitHubをorgレベルでセキュアに運用する設定
• GitHub ActionsのTipsやベストプラクティスを淡々と記録する
• GitHub EnterpriseのOrganizationに関するガイド　[GitHub Enterprise管理者向け]
• GitHub EnterpriseのOrganization管理　ベストプラクティス　[GitHub Enterprise管理者向け]
• GitHub Organizationの安全な運用とモニタリングに関するスライド（全44ページ）を公開しました
• GitHub Actions Workflow チェックリスト
• Keeping your GitHub Actions and workflows secure Part 1: Preventing pwn requests
• Keeping your GitHub Actions and workflows secure Part 2: Untrusted input
• Keeping your GitHub Actions and workflows secure Part 3: How to trust your building blocks
• GitGoat
• How to protect yourself against GitHub/OAuth Apps Supply Chain Attacks
• Composite Action実践ガイド：GitHub Actionsのメンテナンス性を高める技法

Golang

• ソースコードから脆弱性を見つけよう
• OWASP Secure Coding Practices(日本語版)

HTML

• HTML5 Security Cheatsheet
• Securely embed content on your site

Incident Response

• IRM-2022 (Incident Response Methodologies 2022)

iOS

• iOSアプリのセキュアコーディング入門

Job

• freee
• Github
• mercari
• PayPay
• SanSan
• Speee
• デジタル庁

Log Management

• Best practices for reducing sensitive data blindspots and risk
• 高度サイバー攻撃への対処におけるログの活用と分析方法

Mail

• 電子メール技術移転：メールプロトコル勉強会をチームで開催してみた

Monitoring

• 入門 監視――モダンなモニタリングのためのデザインパターン

Node.js

• Node.js Security Best Practices

Okta

• Threat hunting in Okta logs
• マスタリングOkta

OPA/Rego

• OPA/Rego入門

Perspective

• 「仕様の脆弱性」まとめブログ用のチェックシート

Phishing

• GitHub を狙った Reverse Proxy 型フィッシングサイトの探索と報告
• Phising Hunter

Protocol

• The Illustrated TLS 1.3 Connection
• The Illustrated QUIC Connection
• マスタリングTCP/IP 情報セキュリティ編
• プロフェッショナルSSL/TLS

Ruby / Rails

• Securing Rails Applications
• Deserialization on Rails
• How to hack with ransack
• Round Two: An Updated Universal Deserialisation Gadget for Ruby 2.x-3.x
• Security Best Practices for Your Rails Application
• 研鑽Rubyプログラミング β版

Risk Analysis

• 制御システムのセキュリティリスク分析ガイド

Secret Management

• Best practices for managing and storing secrets including API keys and other credentials [cheat sheet included]
• 機密情報が間違ってログ出力されたことを検知する仕組みを、Datadogのセンシティブデータスキャナーで作る

Shell

• 実践 bashによるサイバーセキュリティ対策――セキュリティ技術者のためのシェルスクリプト活用術

Source of information

• Flatt Security Blog
• はてなブックマーク セキュリティ技術
• 徳丸浩の日記
• 徳丸浩のウェブセキュリティ講座
• 徳丸先生のDocswellスライド一覧
• OWASP Cheat Sheet Series
• Webアプリケーション脆弱性診断ガイドライン
• AWS ホワイトペーパーとガイド
• GitHub Advisory Database
• Github Topics
• Github Marketplace
• The Github Blog
• tl;dr sec
• NahamCon2022
• arrinca
• Speaker Deck @rung

Static Analysis

Container

• Snyk Container
• dockle

General

• CodeQL
• Semgrep
• horusec
• Snyk Code
• recheck

Go

• gosec

IaC

• Snyk Infrastructure as Code

Ruby

• brakeman

Theory

• プログラム解析入門、もしくはC/C++を安全に書くのが難しすぎる話

SSL / TLS

• TLS, HTTP/2演習

Study Guide

• So you want to be a web security researcher?
• Your Guide to Starting an Application Security Career
• 「攻撃テクニック」を学ぶ方法｜高度なセキュリティを実現する組織の在り方
• A rough guide to launching a career in cybersecurity
• PENTESTERLAB BOOTCAMP

Supply Chain

SLSA

• How to SLSA Part 1 - The Basics
• How to SLSA Part 2 - The Details
• How to SLSA Part 3 - Putting it all together
• Introducing SLSA, an End-to-End Framework for Supply Chain Integrity
• Achieving SLSA 3 Compliance with GitHub Actions and Sigstore for Go modules
• General availability of SLSA3 Generic Generator for GitHub Actions

Uncategorized

• 改ざんできないビルドでソフトウェア サプライ チェーンのセキュリティを改善する
• サプライチェーンセキュリティにおける脅威と対策の再評価

npm

• NPM security: preventing supply chain attacks

Threat

Account Takeover

• Hackers can take over accounts you haven’t even created yet

Buffer Overflow

• Buffer overflow attacks in C++: A hands-on guide

Cookie

• Cookie Prefixのバイパス

CORS Misconfigurations

• Exploiting CORS Misconfigurations

CSRF

• 検出例から学ぶクロスサイトリクエストフォージェリ

Deserialization

• NotSoCereal-Lab: A Deserialization exploit playground

Drive-by attacks

• Why are developers so vulnerable to drive-by attacks?

ReDoS

• 正規表現とReDoS
• 正規表現の脆弱性「ReDoS」徹底解説 ～原理と対策から、Perlでの最適化まで（1）

SQL Injection

• SQL injection cheat sheet

XSS

• Cross-site scripting (XSS) cheat sheet
• Browser's XSS Filter Bypass Cheat Sheet
• AngularJS Sandbox Bypass Collection
• Attacking web wihout JS - CSS injection

XS-Leaks

• XS-Leaks Wiki

XXE

• PortSwigger Web Security Academy
• How to find and fix XML entity vulnerabilities

Uncategorized

• DataBinding2Shell

Threat Intelligence

• 脅威インテリジェンスの教科書

Vulnerable App

• DVWS
• RailsGoat
• TUDO

HTTP

• HTTP/3入門 進化するHTTPの歩み
• HTTP/3入門 詳解QUIC
• HTTP/3入門 詳解HTTP/3
• HTTP/3入門 実践HTTP/3
• HTTP/3入門 HTTP/3の拡張と応用
• マイクロサービス／分散モノリス的アーキテクチャへの攻撃手法
• XMLHttpRequest とはなんだったのか

WASM

• Wasmはなぜセキュアなのか？

Webhook

• How to secure Twilio webhook URLs in Node.js
• Best practices for creating secure webhooks

Zero Trust

• ゼロトラスト移行のすゝめ
• ゼロトラストセキュリティ入門