前提：「セッション」ってなに？
Webサイトやアプリでは、ユーザーがログインしたりカートに商品を入れたりするときに、
「誰がどんな操作をしているか」を識別するために一時的な情報を持っています。
この「ユーザーの一連の操作状態」のことをセッション（Session）といいます。

例：
Aさんがサイトにログイン → サーバーが「Aさんのセッション」を発行
その後のリクエスト（ページ移動など）でも、「Aさんのセッション[…]

脆弱性の「強制ブラウジング」について説明したいと思います。

強制ブラウジングとは、本来アクセス権限がないはずのリソースやページに、ユーザーが直接URLを指定することで不正にアクセスする攻撃手法を指します。
通常、Webアプリケーションはユーザーの認証や権限確認を行ってコンテンツへのアクセスを制御しています。
しかし、開発側が適切なアクセス制御を設けていない場合、攻撃者は推測や総当たり（例：「/admin」「/back[…]

X-Content-Type-Optionsヘッダーについて

X-Content-Type-Optionsヘッダーは、ウェブアプリケーションのセキュリティを向上させるために重要な役割を果たします。このヘッダーを使用することで、以下の理由からウェブサイトの安全性が高まります。
1.MIMEタイプのスニッフィング防止：ブラウザによるコンテンツタイプの推測を防ぎ、意図しないスクリプトの実行を阻止します。
2.クロスサイトス[…]

はじめまして、Rと申します。
2024年3月から当協会に加入させていただきました。

IT技術が好きで、常に何かしらの検証をしています。
開発、インフラ、セキュリティ、コンサル 等、色々やっております。
様々な人と交流したいと考えておりますので、是非お気軽に連絡ください。

また、一緒に技術検証や勉強会のメンバーも募集しております。
興味がありましたら是非お声がけください。
今後とも宜しくお願いします。