Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASPの歩き方

Fumina Chihama
April 09, 2024
1
640

 OWASPの歩き方

Fumina Chihama

April 09, 2024
Tweet

More Decks by Fumina Chihama

See All by Fumina Chihama
Monoxer講演資料_書籍出版記念対談.pdf
fumina
0
53
DBの選び方LT
fumina
2
240
Azure OpenAI を活用して金融機関にお届けする LLM + RAG サービス
fumina
1
340
RAGを活用した動画学習コンテンツの推薦 ~実装の工夫と課題~
fumina
0
490
RAGの基本と最新技術動向
fumina
0
730
二刀流で切り開くRAG活用術
fumina
0
350
営業組織から「がんばっているのに売れない」 をなくす、たった1つの”急所”とは
fumina
1
130
事業の進化とデータ構造で苦しんだ話
fumina
0
220
香りECスタートアップにおける データの更新によって生まれた データ負債事例と学び
fumina
0
450

Featured

See All Featured
The World Runs on Bad Software
bkeepers
PRO
65
11k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
48k
BBQ
matthewcrist
85
9.3k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
356
29k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
4
370
Automating Front-end Workflow
addyosmani
1366
200k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
RailsConf 2023
tenderlove
29
900
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
280
13k

Transcript

  1. OWASPの歩き⽅ OWASP Japan Chapter Leader Sen Ueno

  2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術⼤学院⼤学で情報セキュリティを専攻、2006年に株式会社トライコーダを設⽴。ハッ キング技術を駆使して企業などに侵⼊を⾏うペネトレーションテストや各種サイバーセキュリティ実践ト レーニングなどを提供

    OWASP Japan代表、株式会社Flatt Security社外取締役、グローバルセキュリティエキスパート株式会 社社外取締役、ScanNetSecurity 編集⻑、情報処理安全確保⽀援⼠ カリキュラム検討委員会・実践講習 講師、JNSA ISOG-J WG1リーダー、⼀般社団法⼈セキュリティ・キャンプ協議会理事・顧問、 Hardening Project 実⾏委員、SECCON 実⾏委員、⽇本ハッカー協会理事、⼀般社団法⼈ ITキャリア推 進協会 (JAIC) アドバイザリーボードメンバー、情報経営イノベーション専⾨職⼤学 客員教員などを務め る 第11回 ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 第16回 情報セキュリティ⽂化賞受賞 主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術、HTTPの教科書、 めんどうくさいWebセキュリティ、他多数 

  3. OWASP Foundation について • Open Worldwide Application Security Project (OWASP)

    • ソフトウェアのセキュリティを向上させる開発者・技術者・エ ヴァンジェリストのコミュニティ – ⽶国の⾮営利慈善団体 – 世界中に250以上の⽀部、数万⼈の会員 • ツール、コード、ドキュメント、ガイドラインを含むコミュニ ティ主導のオープンソースプロジェクト • https://owasp.org/ 3

  4. OWASP Projects • Flagship Projects – OWASP とアプリケーションセキュリティ全体にとって戦略的価値を実 証したプロジェクト •

    Production Projects – 本番稼動可能なプロジェクト • その他 – Lab, Incubator • https://owasp.org/projects/ 4

  5. Flagship Projects • OWASP Amass • OWASP Application Security Verification

    Standard • OWASP Cheat Sheet Series • OWASP CycloneDX • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Application Security • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Shepherd • OWASP Top 10 • OWASP Web Security Testing Guide 5

  6. 代表的なプロジェクト OWASP Projects

  7. 代表的なプロジェクト 全体 • OWASP Top 10 要件定義 • Webシステム/Webアプリケーションセキュリティ要件書 設計・開発

    • OWASP ASVS • OWASP Cheat Sheet Series テスト • Webアプリケーション脆弱性診断ガイドライン • OWASP Testing Guide • ZAP 運⽤・保守 • OWASP Dependency-Check 要件定義 設計・開発 テスト 運⽤・保守 7

  8. OWASP Top 10 • Webアプリケーションに対する重⼤なセキュリティリスク – 単なるランキングではなく、脆弱性の解説、防⽌⽅法、攻撃シナリオの解説も含まれる – 世界中のさまざまなガイドラインなどから参照されている •

    OWASP Top 10:2021 – A01 アクセス制御の不備 – A02 暗号化の失敗 – A03 インジェクション – A04 安全が確認されない不安な設計 – A05 セキュリティの設定ミス – A06 脆弱で古くなったコンポーネント – A07 識別と認証の失敗 – A08 ソフトウェアとデータの整合性の不具合 – A09 セキュリティログとモニタリングの失敗 – A10 サーバーサイドリクエストフォージェリ (SSRF) https://owasp.org/Top10/ja/ 8

  9. Webシステム/Webアプリケーションセキュリティ要件書 • 安全なWebアプリケーションの開発に必要な要件書 – 認証・認可、セッション管理、⼊⼒処理、出⼒処理、HTTPS、cookie、 提出物について https://github.com/OWASP/www-chapter-japan/tree/master/secreq 9

  10. OWASP ASVS (Application Security Verification Standard) • 業界標準のアプリケーションセキュリティ検証標準 – 設計・開発・テストに必要なセキュリティ要件および管理策のフレーム

    ワークの標準化 – 要求されるセキュリティレベルに応じて定義 https://owasp.org/www-project-application-security-verification-standard/ V1: アーキテクチャ、設計、脅威モデリング要件 V2: 認証の検証要件 V3: セッション管理の検証要件 V4: アクセス制御検証要件 V5: バリデーション、無害化とエンコーディング 検証要件 V6: 保存時の暗号化の検証要件 V7: エラー処理とログ記録の検証要件 V8: データ保護の検証要件 V9: 通信の検証要件 V10: 悪性コードの検証要件 V11: ビジネスロジックの検証要件 V12: ファイルとリソースの検証要件 V13: APIとWebサービスの検証要件 V14: 構成の検証要件 10

  11. OWASP Cheat Sheet Series • さまざまなセキュリティトピックに関する設計・実装事例集 – Top10やASVSとの対応⼀覧もある https://cheatsheetseries.owasp.org/ •

    AJAX Security • Abuse Case • Access Control • Attack Surface Analysis • Authentication • Authorization • Authorization Testing Automation • Bean Validation • C-Based Toolchain Hardening • CI CD Security • Choosing and Using Security Questions • Clickjacking Defense • Content Security Policy • Credential Stuffing Prevention • Cross-Site Request Forgery Prevention • Cross Site Scripting Prevention • Cryptographic Storage • DOM Clobbering Prevention • DOM based XSS Prevention • Database Security • Denial of Service • Deserialization • Django REST Framework • Django Security • Docker Security • DotNet Security • Error Handling • File Upload • Forgot Password • GraphQL • HTML5 Security • HTTP Headers • HTTP Strict Transport Security • Infrastructure as Code Security 掲載されているチートシートの⼀例 11

  12. Webアプリケーション脆弱性診断ガイドライン • Webアプリケーションに最低限必要な診断項⽬と⼿順書 – 主に⼿動診断で実施する項⽬について記載 • OWASP Testing Guide –

    Webアプリケーションに関しての多岐に渡るテスト⼿法の解説 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines https://owasp.org/www-project-web-security-testing-guide/ 12

  13. ZAP • プロキシ型Webアプリケーション脆弱性診断ツール – ⼿動/⾃動診断に対応、CI/CDに組み込み可能 – もともとOWASPのプロジェクト https://www.zaproxy.org/ 13

  14. OWASP Dependency-Check • ソフトウェア構成分析ツール(SCA:Software Composition Analysis) – ソフトウェアの依存関係内に含まれる脆弱性を検出する https://owasp.org/www-project-dependency-check/ 14

  15. ⽬的に応じたプロジェクトを探す Application Security Wayfinder https://owasp.org/projects/ 15

  16. OWASPに関わる • 寄付をする – 個⼈会員になる • 年間50USD(グローバル)、500USD(ライフタイム) • サポートするチャプター(⽀部)を選ぶことができる –

    企業として • ローカル・スポンサーシップ • サポートするチャプター(⽀部)を選ぶことができる • WGに参加する – 脆弱性診断⼠スキルマッププロジェクト • プロジェクトに参加する – 1単語の翻訳から参加できるプロジェクトもある https://owasp.org/www-chapter-japan/ 16