AzureにおけるリダイレクトURI乗っ取りの脆弱性
※本記事は、https://www.secureworks.com/ で公開されている AZURE REDIRECT URI TAKEOVER VULNERABILITY を翻訳したもので、 2024年3月28日執筆時点の見解となります。 概要 Secureworks® Counter Threat Unit™(CTU)リサーチャーは、Azureのマルチテナントアプリケーションの脆弱性を発見しました。この脆弱性は、アプリケーションのリダイレクトURI(応答URLとも呼ばれる)に、アプリケーションには登録されているがAzureリソースには登録されていないサブドメインエントリーが含まれている場合に問題となります。リダイレクトURIのエンドポイントは認可コードフロー処理を容易にするために使用されますが、攻撃者によって、ユーザーの認証コードとIDトークンを窃取するために悪用される可能性があります。
ゼロからはじめるAzure(23) 「Azure Key Vault」を使ってセキュアなアプリを作ろう
はじめに 今回はAzureが提供するセキュリティ関連ソリューションである「Azure Key Vault」について説明します。Azure Key Vaultの仕組みと機密情報を保管する方法について説明していきます。 Azure Key Vaultとは Azure Key Vaultは、システムにまつわる機密情報を保管する保管庫(Vault)としての役割と、保管した機密情報に安全にアクセスするための仕組みを備えたAzureのセキュリティ関連サービスです。APIキー、パスワード、証明書などの、システムへのアクセスを制御する際に使用するセンシティブな情報を保管できます。 これらの機密情報を一元的に管理することでセキュリティリスクが局所化されます。Azure Key Vaultでは後述する認証認可の仕組みによって外部からの不正なアクセスを防ぐことはもちろんのこと、組織内部からのセキュリティリスクに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
