ハードコードされた認証情報はセキュリティリスクを招く可能性があります
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
ハードコーディングされた認証情報やソーシャルエンジニアリングに関連するリスクについて、Uber の最近のセキュリティインシデントや、組織が左にシフトして開発者が安全なコーディングのベストプラクティスを常に把握しておくことがなぜそれほど重要なのかを説明しているので、詳細をご覧ください。
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels chez Secure Code Warrior, où elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Mission Lab et Coding Lab.
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
Veuillez cliquer sur le lien ci-dessous pour télécharger le PDF de cette ressource.
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Afficher le rapportVeuillez réserver une démonstration.
Laura Verheyde est développeuse de logiciels chez Secure Code Warrior, où elle se consacre à la recherche de vulnérabilités et à la création de contenu pour Mission Lab et Coding Lab.
Secure Code Warriorは、安全でないコードによってもたらされる脆弱性のリスクを軽減するだけでなく、コードを安全に記述する方法について、セキュリティおよび開発者コミュニティを教育することに全力を注いでいます。この目標の一環として、私たちは開発中のストーリーを活用します Uberの最近のセキュリティインシデント 開発者主導のセキュリティと左派へのシフトの重要性について話し合う機会として。
Uber でのセキュリティインシデント
Uberは声明を発表しました 9月16日のサイバーセキュリティ事件について、そして彼らはそれを更新し続けています。読者は、これはまだ続いている話であることを覚えておくべきです。Uber のこれまでの発表やセキュリティコミュニティでの評判の良い投稿を通じて学んだことをまとめてみましょう。
ハッカーは、What'sAppの番号を見つけた後、Uberの従業員をソーシャルエンジニアリングすることから始めました。攻撃者は従業員に連絡し、疑いを持たない従業員に偽の Uber サイトにログインさせ、ユーザー名とパスワードを盗むことで、認証情報のフィッシングを開始しました。
Uber アカウントは多要素認証 (MFA) によって保護されています。つまり、ユーザーはパスワードの送信とは別に、本人確認のための 2 つ目の証拠を提示する必要があります。ほとんどの場合、これはモバイルデバイスに送信されるプロンプトです。
認証情報を取得した後、攻撃者は次の操作を開始しました MFA 疲労攻撃 正規の Uber サイトへのログインを試み続けると、デバイスに大量のプッシュ通知が送信されて従業員に圧倒されてしまいます。繰り返しになりますが、攻撃者はWhatsApp経由で被害者に連絡を取りました。今回は、伝えられるところによると ITサポートのふりをした 受け入れるよう説得することに成功しました
ハードコードされた認証情報
Uberのセキュリティ侵害の根底には、フィッシング攻撃の成功がありました。侵入者は、侵入者が PowerShell スクリプトを含むネットワーク共有を発見しました。これらのスクリプトの 1 つには、管理者ユーザーのハードコードされた認証情報が含まれていたため、AWS、G-Suite、コードリポジトリなどの Uber 内部サービスが侵害されました。ハッカーは Uber の HackerOne アカウントにもアクセスできました。しかし、Uberによると、「攻撃者がアクセスできたバグレポートはすべて修正されている」とのことです。
この脆弱性がコードでどのように見えるか知りたいですか?当社を試してみてください 無料のパワーシェルチャレンジ。
これらのタイプの攻撃はどの程度一般的ですか?
人的要因は常にサイバーセキュリティの最も弱い部分と考えられてきたため、攻撃ベクトルとしてのソーシャルエンジニアリングを防御することは困難です。Uberのハッキングは、MFAの実装が簡単に回避できることを明確に示しています。これを防ぐための鍵は、フィッシング攻撃の仕組みについて従業員の意識を高めることです。
しかし、Uberの内部サービスが公開される原因となったのは、PowerShellスクリプトで見つかった管理者のユーザー名とパスワードです。認証情報をハードコーディングすることは決して良いことではありません。どの開発者にとっても、基本的にはコードにアクセスできる人なら誰でも読めるようになるからです。
しかし、繰り返しになりますが、意識が鍵です!セキュリティ中心の考え方を持つ開発者は、脆弱性を発見する可能性が高く、脆弱性を書き込む可能性は低くなります。
ソーシャル・エンジニアリングに関する一般教育、より具体的にはプロアクティブなセキュア・コーディング・トレーニングという二面的なアプローチをとることで、コードベースの脆弱性の数が減り、セキュリティ上の脅威との闘いにおいて重要であることが証明されます。
安全なコーディングのベストプラクティスを常に把握する方法についてもっと知りたいですか?チェックアウト セキュア・コード・コーチ。ここでは、安全なコーディングのガイドラインを学び、トレーニング演習を無料で試すことができます。
Table des matières
Secure Code Warrior vous assiste dans la protection de votre code tout au long du cycle de vie du développement logiciel et dans la création d'une culture qui accorde la priorité à la cybersécurité. Que vous soyez responsable de la sécurité des applications, développeur, responsable de la sécurité des systèmes d'information ou professionnel de la sécurité, nous vous aidons à réduire les risques liés au code non sécurisé.
Veuillez réserver une démonstration.[Télécharger]Ressources pour débuter
Sujets et contenu de la formation sur le code sécurisé
Notre contenu, leader dans le secteur, évolue constamment en fonction de l'environnement de développement logiciel en constante mutation, tout en tenant compte du rôle de nos clients. Il couvre tous les sujets, de l'IA à l'injection XQuery, et s'adresse à divers rôles, des architectes et ingénieurs aux chefs de produit et responsables de l'assurance qualité. Nous vous invitons à consulter le catalogue de contenu pour découvrir son contenu par sujet et par rôle.
La Chambre de commerce établit la norme en matière de sécurité à grande échelle axée sur les développeurs
La Chambre de commerce néerlandaise explique comment elle a intégré le codage sécurisé dans le développement quotidien grâce à des certifications basées sur les rôles, à l'évaluation comparative du Trust Score et à une culture de responsabilité partagée en matière de sécurité.
%20(1).avif)
.avif)
Modélisation des menaces avec l'IA : transformer chaque développeur en modélisateur de menaces
Vous repartirez mieux équipé pour aider les développeurs à combiner les idées et les techniques de modélisation des menaces avec les outils d'IA qu'ils utilisent déjà pour renforcer la sécurité, améliorer la collaboration et créer des logiciels plus résilients dès le départ.
Ressources pour débuter
Cybermon est de retour : la mission IA consistant à vaincre le boss est désormais disponible à la demande.
Cybermon 2025 Beat the Boss est désormais disponible toute l'année sur SCW. Renforcez considérablement le développement sécurisé de l'IA en introduisant des défis de sécurité avancés en matière d'IA/LLM.
Explication de la loi sur la cyber-résilience : implications pour le développement de logiciels sécurisés dès la conception
Découvrez les exigences de la loi européenne sur la résilience cybernétique (CRA), à qui elle s'applique et comment les équipes d'ingénierie peuvent se préparer en matière de pratiques de sécurité dès la conception, de prévention des vulnérabilités et de développement des compétences des développeurs.
Facilitateur 1 : Critères de réussite prédéfinis et mesurables
Enabler 1 est le premier volet d'une série de dix intitulée « Enablers of Success » (Les catalyseurs de la réussite). Il présente comment associer le codage sécurisé à des résultats commerciaux tels que la réduction des risques et l'accélération des processus afin de faire évoluer le programme à long terme.
