Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

OWASP Japan
March 10, 2018
3.2k

 AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値

OWASP Japan

March 10, 2018
Tweet

Transcript

  1. システムを作るときには⾊々考えることがあります 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結

    アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 (≒品質) 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 DevOpsによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 (≒コスト・時間がかかる) ウェブデザイン セキュリティ要件 ⾮直結
  2. セキュリティにはネガティブなイメージが、、、 要件⼤項⽬ 要件⼩項⽬ 実装 ユーザ満⾜ ⼯夫できることの⼀例 機能要件 ビジネスロジック 必須 直結

    アジャイルやプロトタイピン グなどスピード感のある開発 ⼿法の導⼊ 画⾯⼀覧・画⾯遷移 データモデル 外部インタフェース バッチ⼀覧 帳票⼀覧 ⾮機能要件 (≒品質) 規模・性能要件 オンプレからクラウドに移⾏ 運⽤・保守要件 DevOpsによる⾃動化 UI・UX 任意 専⾨職の採⽤ 外部に委譲 (≒コスト・時間がかかる) ウェブデザイン セキュリティ要件 ⾮直結 Ⓐ Ⓑ Ⓒ Ⓓ
  3. いろいろ考慮しなくてはならないセキュリティ ⽴場 ⼯程 考慮すべきセキュリティ事象 作成者 企画・要件定義 セキュリティ要件 設計・開発 セキュリティバイデザイン セキュアコーディング

    テスト ペネトレーションテスト 運⽤・保守 インシデントハンドリング IDマネジメント パッチマネジメント 利⽤者 ⽇常 ウイルス/マルウェア対策 ソフトウェアアップデート アカウント乗っ取り対策(パスワード保護) フィッシング/ワンクリック詐欺対策 可搬記憶媒体の管理          ・・・等
  4. プロダクトマネジャー、CISO (Manager) アーキテクト、開発者 (Builder) 品質担当者、脆弱性診断⼠ (Breaker) 運⽤保守担当者、管理者 (Defender) 実施すべきセキュリティ対策例 ・開発⽅針・体制整備

    ・セキュリティ要件の決定 活⽤可能な資料・ツール例 ・ASVS ・セキュリティ要件書 実施すべきセキュリティ対策例 ・構成管理 ・脆弱性への対応 活⽤可能な資料・ツール例 ・ModSecurity Core Rule Set ・Dependency Check 実施すべきセキュリティ対策例 ・脆弱性を作りこまない設計・実装 ・セキュアコーディング 活⽤可能な資料・ツール例 ・Proactive Controls ・Cheat Sheet Series 実施すべきセキュリティ対策例 ・単体、結合、総合テスト ・ペネトレーションテスト 活⽤可能な資料・ツール例 ・ZAP ・Testing Guide 基礎 知識 OWASPからは幅広い資料・ツールが公開 企画 要件定義 設計 開発 テスト 運⽤ 保守 全員 活⽤可能な資料・ツール例 ・OWASP Top10 ・OWASP SAMM
  5. それぞれの資料・ツールの概要は以下のとおり # ⼯程 資料・ツール名 概要 1 基礎知識 OWASP Top10 ウェブアプリにおいて最も注意すべき10のセキュリティリスク

    を理解するための資料 2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策 定・実施を⽀援するための資料 3 企画・ 要件定義 ASVS(Application Security Verification Standard ) 組織におけるセキュリティに関する取組のレベルを設定し、その レベルに応じた要件を実現するのに活⽤するための資料 4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ リティ要件を理解するための資料 5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理 解するための資料。OWASP Top10の脆弱性とも対応している  Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法 を理解するための資料。50以上の分冊で構成されている 7 テスト ZAP (Zed Attack Proxy) ウェブアプリに対するセキュリティテストを実施するためのツー ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている  Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す るための資料 9 運⽤・保守 ModSecurity Core Rule Set OWASP Top10のリスク等に対応したModSecurityのルールが記 載されている資料  Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認 するためのツール。Jenkins等のプラグインも存在している
  6. 今⽇はOWASP Top10を深掘りして紹介 # ⼯程 資料・ツール名 概要 1 基礎知識 OWASP Top10

    ウェブアプリにおいて最も注意すべき10のセキュリティリスク を理解するための資料 2 OWASP SAMM ⼯程ごとに組織が直⾯するリスクに応じたセキュリティ対策の策 定・実施を⽀援するための資料 3 企画・ 要件定義 ASVS(Application Security Verification Standard ) 組織におけるセキュリティに関する取組のレベルを設定し、その レベルに応じた要件を実現するのに活⽤するための資料 4 セキュリティ要件書 ウェブアプリに対して⼀般的に盛り込むべきと考えられるセキュ リティ要件を理解するための資料 5 設計・開発 Proactive Controls ウェブアプリの開発者が注意すべき10のセキュリティ技術を理 解するための資料。OWASP Top10の脆弱性とも対応している  Cheat Sheet Series セキュリティを⾼めるための知識や、それら機能を実装する⽅法 を理解するための資料。50以上の分冊で構成されている 7 テスト ZAP (Zed Attack Proxy) ウェブアプリに対するセキュリティテストを実施するためのツー ル。v2.1に対応した⽇本語の運⽤マニュアルが整備されている  Testing Guide ウェブアプリに対するテストに関して、その⽬的や⽅法を理解す るための資料 9 運⽤・保守 ModSecurity Core Rule Set OWASP Top10のリスク等に対応したModSecurityのルールが記 載されている資料  Dependency Check 脆弱性が報告されているライブラリが利⽤されていないかを確認 するためのツール。Jenkins等のプラグインも存在している
  7. OWASPが誇る最⾼の成果物 セキュリティベンダの脆弱性診断においてOWASP Top10に掲載されているリス クに対応できているかを確認することがサービスメニューとなっていることもあ る等、⾮常に影響⼒の⾼い資料 Top10アプリケーションのセキュリティリスクに注⽬が集まりがちだが、「セキュ リティテスト担当者のための次のステップ」等のTipsも実は⾒逃してはならない # Top10 2017

    構成 1 ⽬次、OWASPについて、前書き、導⼊、リリースノート 2 アプリケーションセキュリティリスク 3 OWASP Top10アプリケーションのセキュリティリスク 4 開発者のための次のステップ 5 セキュリティテスト担当者のための次のステップ 6 組織のための次のステップ 7 アプリケーションマネージャのための次のステップ 8 リスクに関する注記、リスクファクターに関する詳細 9 ⽅法論とデータ 洲崎さんが説明 次ページ以降
  8. 設計・開発⼯程でセキュリティ対策をするのが最も安い! 約 93%のコスト抑制効果 設計・開発 テスト 運⽤・保守 セ キ ュ リ

    テ ィ 対 策 に か か る コ ス ト Kevin Soo Hoo, “Tangible ROI through Secure Software Engineering.”Security Business Quarterly,. Vol.1, No.2, Fourth Quarter, 2001.参考 ⼯程 7 100
  9. セキュリティテスト担当者のためのTipsが4年で⼤きく変わっており、 テスト⼯程だけではなく前⼯程から活躍が求められるように +V: 検証者向けの次ステップ ▪ コードレビュー ▪ セキュリティとペネトレーションテスト ➞ コードレビュー/セキュリティとペネトレーションテストの両⾯でリスクを検出する

    +T: セキュリティテスト担当者のための次のステップ ▪ 脅威モデルの理解 ➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる ▪ SDLC(ソフトウェア開発ライフサイクル)の理解 ➞ 開発チームの効率性を損なわないよう適切にフィードバックする ▪ テスト戦略 ➞ 簡単で、⾼速、かつ、正確なテストを実施する ▪ 範囲と正確さの達成 ➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する ▪ 明確な結果の伝達 ➞ 開発チームに結果を効果的に伝える year=year+4; 2013 2017
  10. ⾃⼰紹介 Shun Suzaki(洲崎 俊) ITイベントの参加・開催や⽇々の脆弱性検証を
 ライフワークとする「とあるセキュリティエンジニア」 IʼM A CERTAIN PENTESTER!

    Twitter: とある診断員@tigerszk • ISOG-J WG1 • Burp Suite Japan User Group • OWASP JAPAN Promotion Team • 謎のIT勉強会「#ssmjp」 公開スライド:http://www.slideshare.net/zaki4649/ Blog:http://tigerszk.hatenablog.com/
  11. OWASP Top10 Webアプリにおける重要度の⾼い脆弱性Top 10を選定したもの 2017年11⽉に新しいバージョンが公開 OWASP Top 10 - 2017

    https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf A1 インジェクション A2 認証の不備 A3 機微な情報の露出 A4 XML 外部エンティティ参照 (XXE) A5 アクセス制御の不備 A6 不適切なセキュリティ設定 A7 クロスサイトスクリプティング(XSS) A8 安全でないデシリアライゼーション A9 既知の脆弱性のあるコンポーネントの使⽤ A10 不⼗分なロギングとモニタリング
  12.    AWS WAF • AWSが提供しているWAF(Web Application Firewall)サービス • Cloudfront・ELB・ALBに追加する形で導⼊ • 従量課⾦制なのでWAFとしては低コストで


    導⼊できる 関連するOWASP Top10の項⽬ A1:インジェクション、A7:クロスサイトスクリプティング(XSS)などを含んだ各種項⽬ ※適⽤するルールセットによってカバーできる内容は変化
  13.     AWS Trusted Advisor • 「セキュリティ」以外にも「コスト最適化」、「パフォーマン ス」、「フォールトトレーランス」の4つの観点から利⽤者の AWS環境を⾃動で精査し、推奨設定を知らせてくれるサービス • 「セキュリティ」についてはIAMアカウント、セキュリティグ

    ループの設定状況などを含めた複数の項⽬を⾃動で調査し、通 知してくれる • 全ての機能ではないが、いくつかの監査項⽬は無償で利⽤がで きる 関連するOWASP Top10の項⽬ A6:不適切なセキュリティ設定
  14.     Amazon Inspector • EC2におけるOS・ミドルウェアのセキュリティ評価を実施 してくれるサービス • パッケージソフトのパッチの適⽤状況や推奨されない設定な どについて⾃動で洗い出しを実施してくれる •

    ホスト側にエージェントのインストールが必要 • 本サービスはペネトレーションテスト申請が不要であり、
 継続的なプラットフォーム側のリスクの可視化が期待できる 関連するOWASP Top10の項⽬ A6:不適切なセキュリティ設定 A9:既知の脆弱性のあるコンポーネント使⽤
  15. マネージドな認証サービスの利⽤ • AWS Cognito Webやモバイルアプリで利⽤できるAWSが提供する
 認証・認可基盤サービス • AWS Directory Service

    AWSが提供するマネージド型のディレクトリサービス 関連するOWASP Top10の項⽬ A2:認証の不備 ར༻༻్ͳͲʹΑͬͯ͸"84ଆ͕ఏڙ͍ͯ͠Δೝূج൫Λ ར༻͢Δ͜ͱͰɺೝূػೳࣗମͷಠ࣮ࣗ૷Λආ͚Δ
 Ξϓϩʔν΋͋Γ·͢
  16. マネージドなログ取得・監視サービスの利⽤ • AWS Cloud Trail AWSアカウントのアクティビティを記録してくれるサービス • VPC Flow Logs

    VPC内のネットワークインターフェイスを通過するIPトラフィック情報を
 記録できるサービス • Amazon CloudWatch AWSが提供しているマネージドな運⽤監視サービス • Amazon GuardDuty 複数のデータソースを分析し、AWS内で予期しない活動や、悪意ある⾏為を
 検出するサービス 関連するOWASP Top10の項⽬ A10:不⼗分なロギングとモニタリング 取得したいログや監視したい項⽬にあったサービスの
 利⽤をご検討をしてみてはいかがでしょうか
  17. ḟࢠࡏॅɻझຯ͸ङྌ࠾ूɻ BBQͰϚάϩͦͯͨ͠·ʹಲΛ͞͹͖·͢ɻ ʲॴଐʳ
 ɾOwasp Japan Promotion Team ɾMINI Hardening ӡӦ(ϑΝγϦςʔγϣϯʣ

    
 Masahiro Tabataʢా୺ ੓߂ʣ
 γεςϜίϯαϧλϯτͯ͠·͢ɻ
 ηΩϡϦςΟ͸ͨ͠ͳΈఔ౓ɻ ⾃⼰紹介 @delphinz
  18. Hardening Project - 競技の概要 Ҿ༻8"4/JHIU,JDLP⒎CZLVSPNBNF )JSPTIJ,BXBHVDIJ  IUUQTTQFBLFSEFDLDPNLBXBHVDIJXBTOJHIULJDLP⒎CZLVSPNBNF ໊લޙͷ νʔϜઓ

    ୆Λ௒͑Δ αʔόͷݎ࿚Խ &$αΠτͷ 4-"ɾച্61 ച্͔ۚΒ֎෦αʔ Ϗεͷߪೖ΋Մೳ ੓෎๊͓͑ϋοΧʔʹ ΑΔ՗྽ͳ߈ܸʂ ͍͔ͭΒ͔ʮਫ਼ਆͱ࣌ͷ෦԰ʯͱݺ͹ΕΔΑ͏
  19. Hardening Project から始まった派⽣プロジェクト。 もっとライトなHardeningを実現したいという思いを持つ 有志が2014年 に⽴ち上げました。 コンセプトは「カジュアルにインシデント体験を!」 
 MINI Hardeningでは全⾏程半⽇程度で以下を実施

    ① Hardening競技(3時間) ② 参加者による振り返り ③ 運営チームによるフィードバック MINI Hardeningの紹介 ૝ఆࢀՃऀɿ ৽ਓCSIRT୲౰ऀɺΠϯϑϥӡ༻ɺΞϓϦ։ൃऀ
  20. ɾ৘ใ࿙Ӯͷൃ֮ ɾϋΫςΟϏετʹΑΔ ɹ൜ߦ੠໌ ɾαʔόμ΢ϯ ɾhttpsରԠ ɾෆਖ਼ͳԾ૝௨՟ϚΠχϯά 具体的なインシデント体験をご紹介 ɾӡ༻ใࠂॻͷ࡞੒ ɾࣾ௕͔Βແ஡ϒϦϝʔϧ ෆ۩߹ରԠ

    ϏδωεରԠ աڈʹى͖ͨࣄ݅ͷମݧ 4-"؂ࢹύωϧͰ αʔόঢ়ଶΛදࣔ ΍΍͍͜͠Ϗδωε൑அ Λ؅ཧऀʹഭΔࣾ௕ %%04߈ܸΛ։࢝͢Δɻ γϣʔλΠϜͩʂ
  21. ɾ߈ܸ͸γϯϓϧ ɾಘҙ෼໺Ͱߩݙ ɾࣗ༝ͳ׆ಈ ɾϦϞʔτΑΓࢀՃ ɾڧྗͳαϙʔτ ୭Ͱ΋ࢀՃՄೳ ɾνʔϜྗͰରԠ ɾ܇࿅ɾ୾ྗɾݱ৔ྗ ɾ࣮ફྗ޲্ ɾ໨ઢΛ্͛ͯ΋Β͏

    ɾৼΓฦΓɾؾ͖ͮ MINI Hardeningの”カジュアル”実現に向けて ɾجૅରԠ ɾԭೄͷ࿅शʹ ɾγφϦΦ௨Γͷ߈ܸ ɾͲ͜Ͱ΋։࠵Մೳ ɾΫϥ΢υ׆༻ ࢀՃऀʹΧδϡΞϧΛ ؀ڥΛΧδϡΞϧʹ Staff΋ΧδϡΞϧʹ "84Λ࢖༻͢Δ͜ͱͰ͜ͷϙΠϯτΛ ࣮ݱ͢Δ͜ͱ͕Մೳʹͳͬͨʂ ೥࣌఺ʣ ˞ͪͳΈʹ"84Ϛωδϝϯτίϯιʔϧͷ೔ຊޠԽ͸೥
  22. 競技環境はAWS上に構築しています。 MINI Hardening 競技環境の構成図(バージョン2) ڝٕऀ؀ڥ(8ηοτ) 踏み台サーバ 管理⽤PC ӡӦऀ؀ڥ 踏み台サーバ 攻撃サーバ

    社⻑PC ECサーバ 運営チーム 購⼊クローラ/認証局 競技者 ߈ܸύέοτ͸ ઈର࿙Β͞ͳ͍ ؀ڥ͸Πϝʔδ Խͯ͠࠶ར༻ 採点対象はココだけ
  23. 現在バージョン3開催に向けて鋭意構築中! MINI Hardening バージョン3(構想) ڝٕऀ؀ڥ(8ηοτ) 踏み台サーバ 管理⽤PC ӡӦऀ؀ڥ 踏み台サーバ 攻撃サーバ

    社⻑PC ECサーバ 運営チーム 購⼊クローラ/認証局 競技者 ؀ڥߏஙͷ ׬શࣗಈԽ Ϋϥ΢υ޲ ͚ͷ؅ཧػೳ ϩάӾཡ༻ ύωϧͷఏڙ 8JOEPXT ΋࠾఺ର৅ʹ ࠾఺ͷࣗಈԽ
 MBNCEB 08"41501 Λ࠾༻ ͍ͨ͠
  24. よく「AWS侵⼊テスト申請」って⼤変じゃないですか?」 という質問をいただくのでその⽅法を公開します! 運営ノウハウ2 - AWS侵⼊テスト申請 Ҿ༻ɿIUUQTBXTBNB[PODPNKQTFDVSJUZQFOFUSBUJPOUFTUJOH ODI@MT 【イベント種類】 【申請に必要な項⽬】 ηΩϡϦςΟ

    ήʔϜͱͯ͠ਃ੥ ਃ੥ϑΥʔϜʹ *1ࢦఆͷهࡌ͋Γ $5'Έ͍ͨͳήʔϜΛ71$಺ͰΠϯελϯε୆͘Β͍࢖ͬͯ%04߈ܸ ΋΍Γ·͢ɻͰ΋·ͩ*1΍&$ͷ*OTUBODF*%͸Θ͔Μͳ͍ɻ ͍͍Αʔɻྑ͍ΠϕϯτʹͳΔͱ͍͍Ͷʔɻ ݁࿦ɿਃ੥͸ҙ֎ͱ͔ܰͬͨɻԲͤͣਃ੥ͯ͠Έ·͠ΐ͏ʂ 私 AWS
  25. 申請フォームにワナがあるのでご注意を! AWSの侵⼊テスト申請ひとこと⾔いたい Ҿ༻ɿͱ͋Δ਍அһͷඋ๨࿥ʮ"84ͷ৵ೖςετਃ੥ϑΥʔϜ͕มߋ͞Εͨ݅ʯ   IUUQUJHFST[LIBUFOBCMPHDPNFOUSZ ͪͳΈʹSource Dataͷ߲໨ʹ ʮDoes the

    testing company haveɹa NDS with AWS?ʯ ͱه ࡌ͕͋ΓɺॳΊ͸͜ͷʮNDSʯʹ͍ͭͯௐ΂ͯ΋ྑ͘Θ͔Βͳ͔ͬͨͷͰṖͩͬͨͷͰ͢ ͕ɺ஌Γ߹͍ͷํΑΓͲ͏΍ΒʮNDAʯͷهࡌϛεΒ͍͠ͱ͍͏͓࿩͠Λฉ͖·ͨ͆͠ 【申請フォームの「source data」より】 ޡهࡌͱ͍͏͜ͱ͕֬ఆͰ͢ͷͰɺͦͷ಺मਖ਼͍͚ͨͩΔͷͩͱࢥ͍·͢ɻ ͜ͷϒϩάΛ ެ։͔ͯ͠ΒɺԿਓ͔ͷ஌Γ߹͍ͷํʹʮ΍ͬͺΓΈΜͳͦΕ໰͍߹Θͤ·͢ΑͶʔ͆ʯ ͱ͔ͬͯ͝࿈བྷΛ͍͍ͨͩͨͷ͕ͪΐͬͱ໘ന͔ͬͨͰ͆͢ /%4ͬͯԿʁ "84͞Μमਖ਼Λ͓ئ͍·͢ʂ
  26. ࢮͳͳ͍ఔ౓ͷमཏ৔͕ͦ͜ඈ༂తͳ੒௕Λଅ͢͜ͱ͕ ূ໌͞Ε͍ͯΔʂ ຊՈHardening Project → ਫ਼ਆͱ࣌ͷ෦԰ MINI Hardening → ΧϦϯౝͰͷमߦ

    マイルドな修羅場に⾝を投じよう! ʮετϨονͳ؀ڥ͕ਓΛҭͯΔʯ@ٴ઒୎໵
 ʢݩMicrosoft , ݩgoogleɺݱqiita ϓϩμΫτϚωʔδϟ) http://www.slideshare.net/takoratta/civictechhack-code-for-japan-summit-2016
  27. 参考: OWASP Top10から参照されているOWASP PJのURL (1/2) OWASP PJ URL OWASP Cheat

    Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets https://docs.google.com/spreadsheets/d/ 1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0 https://jpcertcc.github.io/OWASPdocuments/ OWASP ASVS https://www.owasp.org/index.php/ Category:OWASP_Application_Security_Verification_Standard_Project https://jpcertcc.github.io/OWASPdocuments/ASVS/ OWASPApplicationSecurityVerificationStandard3.0.pdf OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls https://www.owasp.org/images/a/a8/ OWASPTop10ProactiveControls2016-Japanese.pdf OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology(Japanese) Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling
  28. 参考: OWASP Top10から参照されているOWASP PJのURL (2/2) OWASP PJ URL OWASP Automated

    Threats to Web Applications https://www.owasp.org/index.php/ OWASP_Automated_Threats_to_Web_Applications OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/ Category:OWASP_ModSecurity_Core_Rule_Set_Project OWASP Secure Software Contract Annex https://www.owasp.org/index.php/ OWASP_Secure_Software_Contract_Annex OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project OWASP Broken Web Application Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project OWASP Security Knowledge Framework https://www.owasp.org/index.php/ OWASP_Security_Knowledge_Framework Application Security Guide for CISOs https://www.owasp.org/index.php/ Application_Security_Guide_For_CISOs