Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
elegance_of_OWASP_Top10_2017
OWASP Japan
January 10, 2018
Technology
2
420
elegance_of_OWASP_Top10_2017
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
550
20190107_AbuseCaseCheatSheet
owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
500
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.4k
Shifting Left Like a Boss
owaspjapan
2
190
OWASP Top 10 and Your Web Apps
owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
170
OWASP Top10 Translation YOMOYAMA talk by Ando-san
owaspjapan
0
400
Other Decks in Technology
See All in Technology
データエンジニアリングの潮流を俯瞰する
tetsuroito
1
730
Building smarter apps with machine learning, from magic to reality
picardparis
4
3.2k
Retca Cloud
bau
0
510
複数のスクラムチームをサポートするエンジニアリングマネジメントの話
okeicalm
0
1.1k
スタートアップと技術選定と AWS
track3jyo
PRO
2
330
eBPF for Security Observability
lizrice
0
170
#JP_Stripes Sapporo Stripeの活用例を色々ご紹介します!
miu_crescent
0
110
Oracle Cloud Infrastructure:2022年6月度サービス・アップデート
oracle4engineer
PRO
0
140
音のような言葉 〜ちゃちゃっとチャットで楽しむちょっとしたコツ〜 / words like sounds
satoryu
1
1.4k
Target SDK Versionを上げない Notification runtime permission対応
napplecomputer
0
140
SwiftUI Layout
auramagi
1
100
Persistence in Serverless Applications - ServerlessDays NYC
marcduiker
0
240
Featured
See All Featured
Happy Clients
brianwarren
89
5.6k
jQuery: Nuts, Bolts and Bling
dougneiner
56
6.4k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
351
21k
Web Components: a chance to create the future
zenorocha
303
40k
Atom: Resistance is Futile
akmur
255
20k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
226
15k
Testing 201, or: Great Expectations
jmmastey
21
5.4k
Pencils Down: Stop Designing & Start Developing
hursman
112
9.8k
Raft: Consensus for Rubyists
vanstee
126
5.4k
Visualization
eitanlees
125
11k
Typedesign – Prime Four
hannesfritz
34
1.4k
Gamification - CAS2011
davidbonilla
75
3.9k
Transcript
WASNight 2018 Kick-Off OWASP Top10 2017の趣 Promotion Team Lead 仲⽥
翔⼀ ✕
OWASP Top10ではTop10リスクしか⾒ていないというそこのあなた No Top10 2017 リスク A1 インジェクション A2 認証の不備
A3 機微情報の露出 A4 XXE A5 アクセス制御の不備 A6 不適切なセキュリティ処理 A7 XSS A8 安全でないデシリアライゼーション A9 脆弱性のあるコンポーネントの使⽤ A10 不⼗分なロギングとモニタリング
Top10リスクの理解に基づきテストを⾏うだけでなく、セキュリティ戦略策定 への参画や開発チームとの協働など幅広い知⾒を獲得する機運が⾼まっています +V: 検証者向けの次ステップ ▪ コードレビュー ▪ セキュリティとペネトレーションテスト ➞ コードレビュー/セキュリティとペネトレーションテストの両⾯でリスクを検出する
+T: セキュリティテスト担当者のための次のステップ ▪ 脅威モデルの理解 ➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる ▪ SDLC(ソフトウェア開発ライフサイクル)の理解 ➞ 開発チームの効率性を損なわないよう適切にフィードバックする ▪ テスト戦略 ➞ 簡単で、⾼速、かつ、正確なテストを実施する ▪ 範囲と正確さの達成 ➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する ▪ 明確な結果の伝達 ➞ 開発チームに結果を効果的に伝える year=year+4; 2013 2017
Top10 2013 構成 Top10 2017 構成 はじめに、OWASPについて、注意事項 ⽬次、OWASPについて、前書き イントロダクション 導⼊
リリースノート リリースノート アプリケーションのセキュリティリスク アプリケーションセキュリティリスク OWASP Top10アプリケーションのセキュリティリスク - 2013 OWASP Top10アプリケーションのセキュリティリスク - 2017 Top10リスク Top10リスク 開発者向けの次ステップ 開発者のための次のステップ 検証者向けの次ステップ セキュリティテスト担当者のための次のステップ 組織のための次ステップ 組織のための次のステップ アプリケーションマネージャのための次のステップ リスクに関する注記 リスクに関する注記 リスク因⼦に関する詳細 リスクファクターに関する詳細 ⽅法論とデータ Top10リスクの中⾝ではなく、Top10 2017の特徴やTop10 2013からの変更 といった趣深い箇所をピックアップして紹介します 変更2: ランクの根拠を明⽰ 変更1: ランクの変動 序章 変更3: ライフサイクル全体の管理 特徴: “あなた”のリスクを考慮 導⼊書としての位置付け
特徴: “あなた”のリスクを考慮 10まででやめず、あなたのリスクを考慮すべきであることが強調されています ▪「導⼊」の記載内容 ▪「リスクファクターに関する詳細」の記載内容 ▪「アプリケーションセキュリティリスク」の記載内容
特徴: 導⼊書としての位置付け 幅広い知⾒の獲得促進のため、関連するOWASP PJを参照できるようになっています ▪「A1:Injection」の記載内容 ▪「前書き」の記載内容
No Top10 2013 変更内容 Top10 2017 リスク リスク スコア A1
インジェクション 同様 インジェクション 8 A2 セッション管理の不備 同様 認証の不備 7 A3 XSS ダウン(↘A7) 機微情報の露出 7 A4 安全でないオブジェクト直接参照 A7とマージ(A5) XXE 7 A5 セキュリティ設定のミス ダウン(↘A6) アクセス制御の不備 6 A6 機密データの露出 アップ(↗A3) 不適切なセキュリティ処理 6 A7 機能レベルアクセス制御の⽋落 A4とマージ(A5) XSS 6 A8 CSRF ダウン(↓圏外) 安全でないデシリアライゼーション 5 A9 既知の脆弱性を持つコンポーネントの使⽤ 同様 脆弱性のあるコンポーネントの使⽤ 4.7 A10 未検討のリダイレクトとフォーワード ダウン(↓圏外) 不⼗分なロギングとモニタリング 4 変更1: ランクの変動 新しいリスクがランクインする中、XSSがダウンし、CSRFは圏外になっています ※⾚字は新しいリスク
2017 2013 悪⽤のしやすさ 蔓延度 検出のしやすさ 技術⾯への影響 No リスク No 変化
2013 2017 変化 2013 2017 変化 2013 2017 変化 2013 2017 A1 インジェクション A1 → 容易 容易 → よく⾒られる よく⾒られる ↗ 平均的 容易 → 深刻 深刻 A2 認証の不備 A2 ↗ 平均的 容易 ↘ 広い よく⾒られる → 平均的 平均的 → 深刻 深刻 A3 機微情報の露出 A6 ↗ 困難 平均的 ↑ まれ 広い → 平均的 平均的 → 深刻 深刻 A4 XXE A5 アクセス制御の不 備 A6 不適切なセキュリ ティ処理 A5 → 容易 容易 ↗ よく⾒られる 広い → 容易 容易 → 中程度 中程度 A7 XSS A3 ↗ 平均的 容易 ↘ 極めて広い 広い → 容易 容易 → 中程度 中程度 A8 安全でないデシリ アライゼーション A9 脆弱性のあるコン ポーネントの使⽤ A9 → 平均的 平均的 → 広い 広い ↗ 困難 平均的 → 中程度 中程度 A10 不⼗分なロギング とモニタリング 変更1: ランクの変動 2013と同じリスクでも悪⽤のしやすさ等の評価に細かい変更があります 良 悪
変更2: ランクの根拠を明⽰ RCが複数あったため、「⽅法論とデータ」等に根拠を⽰しているのかもしれません No Top10 2017 RC1 Top10 2017 RC2
Top10 2017 Fin A1 インジェクション インジェクション インジェクション A2 認証とセッション管理の不備 認証とセッション管理の不備 認証の不備 A3 XSS 機微情報の露出 機微情報の露出 A4 アクセス制御の不備 XXE XXE A5 不適切なセキュリティ処理 アクセス制御の不備 アクセス制御の不備 A6 機微情報の露出 不適切なセキュリティ処理 不適切なセキュリティ処理 A7 不⼗分な攻撃保護 XSS XSS A8 CSRF 安全でないデシリアライゼーション 安全でないデシリアライゼーション A9 脆弱性のあるコンポーネントの使⽤ 脆弱性のあるコンポーネントの使⽤ 脆弱性のあるコンポーネントの使⽤ A10 保護されていないAPI 不⼗分なロギングとモニタリング 不⼗分なロギングとモニタリング
変更3: ライフサイクル全体の管理 いわゆるプロダクトマネージャの確⽴を推奨しており、その役割を⽰しています リソース管理 の要件 RFPと 契約 計画と設計 デプロイ、テスト 及び公開
運⽤及びチェンジ マネジメント システムの廃棄 ビジネス要件、機能及び⾮機能のセキュリティ要件を策定し、設計から 運⽤までの予算を計画、確保する セキュリティ要件やSLA等の技術的な要件を社内外の開発者等と交渉す る 予想される脅威に応じたセキュリティアーキテクチャの実装やリスク受 容を含むリスクへの対策を実施する デプロイ⾃動化、予想される脅威に応じたテスト実施、セキュリティアー キテクチャ等に関する⽂書を確定する パッチ管理等のガイドラインを策定し、利⽤者のセキュリティ意識を⾼ め、適宜運⽤⼿順書等の⽂書を更新する 必要なデータはアーカイブし、不要なデータは削除、システムを廃棄、 構成管理データベースのステータスを更新する
⼀歩進んでウェブ脆弱性 テストに! OWASP ASVS OWASP ZAP 設計・開発時の リファレンスに! ウェブ開発における 事前対策に!
セキュリティの 取組の設定・確認に! 開発セキュリティ・ ガバナンスの強化に! OWASP Proactive Controls OWASP Cheat Sheet Series OWASP SAMM 以上OWASP Top10 2017の趣深い点の紹介でした! OWASP Top10 2017を起点にOWASP PJを活⽤、セキュリティを⾼めましょう! ウェブテストの枠組みや 詳細な内容の理解に! OWASP Testing Guide
謝辞 ⽇本語版翻訳コントリビュータのみなさま、ありがとうございました! Akitsugu Ito Albert Hsieh Chie Tazawa Hideko Igarashi
Hiroshi Tokumaru Naoto Katsumi Riotaro Okada Robert Dracea Satoru Takahashi Sen Ueno Shoichi Nakata Takanori Ando Takanori Nakanowatari Tomohiro Sanae
参考: OWASP Top10から参照されているOWASP PJのURL (1/2) OWASP PJ URL OWASP Cheat
Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets https://docs.google.com/spreadsheets/d/ 1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0 https://jpcertcc.github.io/OWASPdocuments/ OWASP ASVS https://www.owasp.org/index.php/ Category:OWASP_Application_Security_Verification_Standard_Project https://jpcertcc.github.io/OWASPdocuments/ASVS/ OWASPApplicationSecurityVerificationStandard3.0.pdf OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls https://www.owasp.org/images/a/a8/ OWASPTop10ProactiveControls2016-Japanese.pdf OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology(Japanese) Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling
参考: OWASP Top10から参照されているOWASP PJのURL (2/2) OWASP PJ URL OWASP Automated
Threats to Web Applications https://www.owasp.org/index.php/ OWASP_Automated_Threats_to_Web_Applications OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/ Category:OWASP_ModSecurity_Core_Rule_Set_Project OWASP Secure Software Contract Annex https://www.owasp.org/index.php/ OWASP_Secure_Software_Contract_Annex OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project OWASP Broken Web Application Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project OWASP Security Knowledge Framework https://www.owasp.org/index.php/ OWASP_Security_Knowledge_Framework Application Security Guide for CISOs https://www.owasp.org/index.php/ Application_Security_Guide_For_CISOs
https://www.owasp.org/index.php/japan https://twitter.com/owaspjapan https://www.facebook.com/owaspjapan http://blog.owaspjapan.org ご静聴ありがとうございました!