Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASPの歩き方

Fumina Chihama
April 09, 2024
1
630

 OWASPの歩き方

Fumina Chihama

April 09, 2024
Tweet

More Decks by Fumina Chihama

See All by Fumina Chihama
DBの選び方LT
fumina
2
230
Azure OpenAI を活用して金融機関にお届けする LLM + RAG サービス
fumina
1
310
RAGを活用した動画学習コンテンツの推薦 ~実装の工夫と課題~
fumina
0
440
RAGの基本と最新技術動向
fumina
0
670
二刀流で切り開くRAG活用術
fumina
0
330
営業組織から「がんばっているのに売れない」 をなくす、たった1つの”急所”とは
fumina
1
130
事業の進化とデータ構造で苦しんだ話
fumina
0
210
香りECスタートアップにおける データの更新によって生まれた データ負債事例と学び
fumina
0
450
位置情報データをコスト最適化しつつ 分析に活かすための データ管理と運用方法について
fumina
1
590

Featured

See All Featured
Why Our Code Smells
bkeepers
PRO
334
57k
Rails Girls Zürich Keynote
gr2m
93
13k
Unsuck your backbone
ammeep
668
57k
[RailsConf 2023] Rails as a piece of cake
palkan
51
4.9k
Facilitating Awesome Meetings
lara
49
6k
No one is an island. Learnings from fostering a developers community.
thoeni
19
3k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
jQuery: Nuts, Bolts and Bling
dougneiner
61
7.5k
A designer walks into a library…
pauljervisheath
202
24k
Code Review Best Practice
trishagee
64
17k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
26
1.4k
Designing on Purpose - Digital PM Summit 2013
jponch
115
6.9k

Transcript

  1. OWASPの歩き⽅ OWASP Japan Chapter Leader Sen Ueno

  2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術⼤学院⼤学で情報セキュリティを専攻、2006年に株式会社トライコーダを設⽴。ハッ キング技術を駆使して企業などに侵⼊を⾏うペネトレーションテストや各種サイバーセキュリティ実践ト レーニングなどを提供

    OWASP Japan代表、株式会社Flatt Security社外取締役、グローバルセキュリティエキスパート株式会 社社外取締役、ScanNetSecurity 編集⻑、情報処理安全確保⽀援⼠ カリキュラム検討委員会・実践講習 講師、JNSA ISOG-J WG1リーダー、⼀般社団法⼈セキュリティ・キャンプ協議会理事・顧問、 Hardening Project 実⾏委員、SECCON 実⾏委員、⽇本ハッカー協会理事、⼀般社団法⼈ ITキャリア推 進協会 (JAIC) アドバイザリーボードメンバー、情報経営イノベーション専⾨職⼤学 客員教員などを務め る 第11回 ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 第16回 情報セキュリティ⽂化賞受賞 主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術、HTTPの教科書、 めんどうくさいWebセキュリティ、他多数 

  3. OWASP Foundation について • Open Worldwide Application Security Project (OWASP)

    • ソフトウェアのセキュリティを向上させる開発者・技術者・エ ヴァンジェリストのコミュニティ – ⽶国の⾮営利慈善団体 – 世界中に250以上の⽀部、数万⼈の会員 • ツール、コード、ドキュメント、ガイドラインを含むコミュニ ティ主導のオープンソースプロジェクト • https://owasp.org/ 3

  4. OWASP Projects • Flagship Projects – OWASP とアプリケーションセキュリティ全体にとって戦略的価値を実 証したプロジェクト •

    Production Projects – 本番稼動可能なプロジェクト • その他 – Lab, Incubator • https://owasp.org/projects/ 4

  5. Flagship Projects • OWASP Amass • OWASP Application Security Verification

    Standard • OWASP Cheat Sheet Series • OWASP CycloneDX • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Application Security • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Shepherd • OWASP Top 10 • OWASP Web Security Testing Guide 5

  6. 代表的なプロジェクト OWASP Projects

  7. 代表的なプロジェクト 全体 • OWASP Top 10 要件定義 • Webシステム/Webアプリケーションセキュリティ要件書 設計・開発

    • OWASP ASVS • OWASP Cheat Sheet Series テスト • Webアプリケーション脆弱性診断ガイドライン • OWASP Testing Guide • ZAP 運⽤・保守 • OWASP Dependency-Check 要件定義 設計・開発 テスト 運⽤・保守 7

  8. OWASP Top 10 • Webアプリケーションに対する重⼤なセキュリティリスク – 単なるランキングではなく、脆弱性の解説、防⽌⽅法、攻撃シナリオの解説も含まれる – 世界中のさまざまなガイドラインなどから参照されている •

    OWASP Top 10:2021 – A01 アクセス制御の不備 – A02 暗号化の失敗 – A03 インジェクション – A04 安全が確認されない不安な設計 – A05 セキュリティの設定ミス – A06 脆弱で古くなったコンポーネント – A07 識別と認証の失敗 – A08 ソフトウェアとデータの整合性の不具合 – A09 セキュリティログとモニタリングの失敗 – A10 サーバーサイドリクエストフォージェリ (SSRF) https://owasp.org/Top10/ja/ 8

  9. Webシステム/Webアプリケーションセキュリティ要件書 • 安全なWebアプリケーションの開発に必要な要件書 – 認証・認可、セッション管理、⼊⼒処理、出⼒処理、HTTPS、cookie、 提出物について https://github.com/OWASP/www-chapter-japan/tree/master/secreq 9

  10. OWASP ASVS (Application Security Verification Standard) • 業界標準のアプリケーションセキュリティ検証標準 – 設計・開発・テストに必要なセキュリティ要件および管理策のフレーム

    ワークの標準化 – 要求されるセキュリティレベルに応じて定義 https://owasp.org/www-project-application-security-verification-standard/ V1: アーキテクチャ、設計、脅威モデリング要件 V2: 認証の検証要件 V3: セッション管理の検証要件 V4: アクセス制御検証要件 V5: バリデーション、無害化とエンコーディング 検証要件 V6: 保存時の暗号化の検証要件 V7: エラー処理とログ記録の検証要件 V8: データ保護の検証要件 V9: 通信の検証要件 V10: 悪性コードの検証要件 V11: ビジネスロジックの検証要件 V12: ファイルとリソースの検証要件 V13: APIとWebサービスの検証要件 V14: 構成の検証要件 10

  11. OWASP Cheat Sheet Series • さまざまなセキュリティトピックに関する設計・実装事例集 – Top10やASVSとの対応⼀覧もある https://cheatsheetseries.owasp.org/ •

    AJAX Security • Abuse Case • Access Control • Attack Surface Analysis • Authentication • Authorization • Authorization Testing Automation • Bean Validation • C-Based Toolchain Hardening • CI CD Security • Choosing and Using Security Questions • Clickjacking Defense • Content Security Policy • Credential Stuffing Prevention • Cross-Site Request Forgery Prevention • Cross Site Scripting Prevention • Cryptographic Storage • DOM Clobbering Prevention • DOM based XSS Prevention • Database Security • Denial of Service • Deserialization • Django REST Framework • Django Security • Docker Security • DotNet Security • Error Handling • File Upload • Forgot Password • GraphQL • HTML5 Security • HTTP Headers • HTTP Strict Transport Security • Infrastructure as Code Security 掲載されているチートシートの⼀例 11

  12. Webアプリケーション脆弱性診断ガイドライン • Webアプリケーションに最低限必要な診断項⽬と⼿順書 – 主に⼿動診断で実施する項⽬について記載 • OWASP Testing Guide –

    Webアプリケーションに関しての多岐に渡るテスト⼿法の解説 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines https://owasp.org/www-project-web-security-testing-guide/ 12

  13. ZAP • プロキシ型Webアプリケーション脆弱性診断ツール – ⼿動/⾃動診断に対応、CI/CDに組み込み可能 – もともとOWASPのプロジェクト https://www.zaproxy.org/ 13

  14. OWASP Dependency-Check • ソフトウェア構成分析ツール(SCA:Software Composition Analysis) – ソフトウェアの依存関係内に含まれる脆弱性を検出する https://owasp.org/www-project-dependency-check/ 14

  15. ⽬的に応じたプロジェクトを探す Application Security Wayfinder https://owasp.org/projects/ 15

  16. OWASPに関わる • 寄付をする – 個⼈会員になる • 年間50USD(グローバル)、500USD(ライフタイム) • サポートするチャプター(⽀部)を選ぶことができる –

    企業として • ローカル・スポンサーシップ • サポートするチャプター(⽀部)を選ぶことができる • WGに参加する – 脆弱性診断⼠スキルマッププロジェクト • プロジェクトに参加する – 1単語の翻訳から参加できるプロジェクトもある https://owasp.org/www-chapter-japan/ 16