Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASPの歩き方

Fumina Chihama
April 09, 2024
1
370

 OWASPの歩き方

Fumina Chihama

April 09, 2024
Tweet

More Decks by Fumina Chihama

See All by Fumina Chihama
事業の進化とデータ構造で苦しんだ話
fumina
0
36
香りECスタートアップにおける データの更新によって生まれた データ負債事例と学び
fumina
0
190
位置情報データをコスト最適化しつつ 分析に活かすための データ管理と運用方法について
fumina
1
340
お部屋探しアプリで データ負債に挑む
fumina
0
370
ビッグデータ生成処理の失敗と挑戦
fumina
0
290
急成長スタートアップを支える データ基盤の裏側
fumina
2
330
GraphQL 「良さ」・「難しさ」 再探訪 〜スタディサプリにおける実例〜
fumina
3
630
toBサービスで外部決済サービスを導入し、うまくいったこといかなかったこと
fumina
0
360
LT&ディスカッション5ラウンド!うひょさん・よしこさんと改めて考えるReactコンポーネント設計
fumina
7
1.8k

Featured

See All Featured
Faster Mobile Websites
deanohume
300
30k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
What's new in Ruby 2.0
geeforr
337
31k
Building a Modern Day 
E-commerce SEO Strategy
aleyda
21
6.4k
Fontdeck: Realign not Redesign
paulrobertlloyd
76
4.9k
The Illustrated Children's Guide to Kubernetes
chrisshort
32
46k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
Web Components: a chance to create the future
zenorocha
306
41k
Build The Right Thing And Hit Your Dates
maggiecrowley
25
2k
Become a Pro
speakerdeck
PRO
13
4.6k
Producing Creativity
orderedlist
PRO
338
39k
4 Signs Your Business is Dying
shpigford
176
21k

Transcript

  1. OWASPの歩き⽅ OWASP Japan Chapter Leader Sen Ueno

  2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術⼤学院⼤学で情報セキュリティを専攻、2006年に株式会社トライコーダを設⽴。ハッ キング技術を駆使して企業などに侵⼊を⾏うペネトレーションテストや各種サイバーセキュリティ実践ト レーニングなどを提供

    OWASP Japan代表、株式会社Flatt Security社外取締役、グローバルセキュリティエキスパート株式会 社社外取締役、ScanNetSecurity 編集⻑、情報処理安全確保⽀援⼠ カリキュラム検討委員会・実践講習 講師、JNSA ISOG-J WG1リーダー、⼀般社団法⼈セキュリティ・キャンプ協議会理事・顧問、 Hardening Project 実⾏委員、SECCON 実⾏委員、⽇本ハッカー協会理事、⼀般社団法⼈ ITキャリア推 進協会 (JAIC) アドバイザリーボードメンバー、情報経営イノベーション専⾨職⼤学 客員教員などを務め る 第11回 ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 第16回 情報セキュリティ⽂化賞受賞 主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術、HTTPの教科書、 めんどうくさいWebセキュリティ、他多数 

  3. OWASP Foundation について • Open Worldwide Application Security Project (OWASP)

    • ソフトウェアのセキュリティを向上させる開発者・技術者・エ ヴァンジェリストのコミュニティ – ⽶国の⾮営利慈善団体 – 世界中に250以上の⽀部、数万⼈の会員 • ツール、コード、ドキュメント、ガイドラインを含むコミュニ ティ主導のオープンソースプロジェクト • https://owasp.org/ 3

  4. OWASP Projects • Flagship Projects – OWASP とアプリケーションセキュリティ全体にとって戦略的価値を実 証したプロジェクト •

    Production Projects – 本番稼動可能なプロジェクト • その他 – Lab, Incubator • https://owasp.org/projects/ 4

  5. Flagship Projects • OWASP Amass • OWASP Application Security Verification

    Standard • OWASP Cheat Sheet Series • OWASP CycloneDX • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Application Security • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Shepherd • OWASP Top 10 • OWASP Web Security Testing Guide 5

  6. 代表的なプロジェクト OWASP Projects

  7. 代表的なプロジェクト 全体 • OWASP Top 10 要件定義 • Webシステム/Webアプリケーションセキュリティ要件書 設計・開発

    • OWASP ASVS • OWASP Cheat Sheet Series テスト • Webアプリケーション脆弱性診断ガイドライン • OWASP Testing Guide • ZAP 運⽤・保守 • OWASP Dependency-Check 要件定義 設計・開発 テスト 運⽤・保守 7

  8. OWASP Top 10 • Webアプリケーションに対する重⼤なセキュリティリスク – 単なるランキングではなく、脆弱性の解説、防⽌⽅法、攻撃シナリオの解説も含まれる – 世界中のさまざまなガイドラインなどから参照されている •

    OWASP Top 10:2021 – A01 アクセス制御の不備 – A02 暗号化の失敗 – A03 インジェクション – A04 安全が確認されない不安な設計 – A05 セキュリティの設定ミス – A06 脆弱で古くなったコンポーネント – A07 識別と認証の失敗 – A08 ソフトウェアとデータの整合性の不具合 – A09 セキュリティログとモニタリングの失敗 – A10 サーバーサイドリクエストフォージェリ (SSRF) https://owasp.org/Top10/ja/ 8

  9. Webシステム/Webアプリケーションセキュリティ要件書 • 安全なWebアプリケーションの開発に必要な要件書 – 認証・認可、セッション管理、⼊⼒処理、出⼒処理、HTTPS、cookie、 提出物について https://github.com/OWASP/www-chapter-japan/tree/master/secreq 9

  10. OWASP ASVS (Application Security Verification Standard) • 業界標準のアプリケーションセキュリティ検証標準 – 設計・開発・テストに必要なセキュリティ要件および管理策のフレーム

    ワークの標準化 – 要求されるセキュリティレベルに応じて定義 https://owasp.org/www-project-application-security-verification-standard/ V1: アーキテクチャ、設計、脅威モデリング要件 V2: 認証の検証要件 V3: セッション管理の検証要件 V4: アクセス制御検証要件 V5: バリデーション、無害化とエンコーディング 検証要件 V6: 保存時の暗号化の検証要件 V7: エラー処理とログ記録の検証要件 V8: データ保護の検証要件 V9: 通信の検証要件 V10: 悪性コードの検証要件 V11: ビジネスロジックの検証要件 V12: ファイルとリソースの検証要件 V13: APIとWebサービスの検証要件 V14: 構成の検証要件 10

  11. OWASP Cheat Sheet Series • さまざまなセキュリティトピックに関する設計・実装事例集 – Top10やASVSとの対応⼀覧もある https://cheatsheetseries.owasp.org/ •

    AJAX Security • Abuse Case • Access Control • Attack Surface Analysis • Authentication • Authorization • Authorization Testing Automation • Bean Validation • C-Based Toolchain Hardening • CI CD Security • Choosing and Using Security Questions • Clickjacking Defense • Content Security Policy • Credential Stuffing Prevention • Cross-Site Request Forgery Prevention • Cross Site Scripting Prevention • Cryptographic Storage • DOM Clobbering Prevention • DOM based XSS Prevention • Database Security • Denial of Service • Deserialization • Django REST Framework • Django Security • Docker Security • DotNet Security • Error Handling • File Upload • Forgot Password • GraphQL • HTML5 Security • HTTP Headers • HTTP Strict Transport Security • Infrastructure as Code Security 掲載されているチートシートの⼀例 11

  12. Webアプリケーション脆弱性診断ガイドライン • Webアプリケーションに最低限必要な診断項⽬と⼿順書 – 主に⼿動診断で実施する項⽬について記載 • OWASP Testing Guide –

    Webアプリケーションに関しての多岐に渡るテスト⼿法の解説 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines https://owasp.org/www-project-web-security-testing-guide/ 12

  13. ZAP • プロキシ型Webアプリケーション脆弱性診断ツール – ⼿動/⾃動診断に対応、CI/CDに組み込み可能 – もともとOWASPのプロジェクト https://www.zaproxy.org/ 13

  14. OWASP Dependency-Check • ソフトウェア構成分析ツール(SCA:Software Composition Analysis) – ソフトウェアの依存関係内に含まれる脆弱性を検出する https://owasp.org/www-project-dependency-check/ 14

  15. ⽬的に応じたプロジェクトを探す Application Security Wayfinder https://owasp.org/projects/ 15

  16. OWASPに関わる • 寄付をする – 個⼈会員になる • 年間50USD(グローバル)、500USD(ライフタイム) • サポートするチャプター(⽀部)を選ぶことができる –

    企業として • ローカル・スポンサーシップ • サポートするチャプター(⽀部)を選ぶことができる • WGに参加する – 脆弱性診断⼠スキルマッププロジェクト • プロジェクトに参加する – 1単語の翻訳から参加できるプロジェクトもある https://owasp.org/www-chapter-japan/ 16