Upgrade to Pro — share decks privately, control downloads, hide ads and more …

elegance_of_OWASP_Top10_2017

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
January 10, 2018
Technology
2
420

 elegance_of_OWASP_Top10_2017

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

January 10, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
550
20190107_AbuseCaseCheatSheet
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
5
500
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
9
2.4k
Shifting Left Like a Boss
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
190
OWASP Top 10 and Your Web Apps
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
1
170
OWASP Top10 Translation YOMOYAMA talk by Ando-san
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
400

Other Decks in Technology

See All in Technology
データエンジニアリングの潮流を俯瞰する
Cb7edd153cf503f44c727b73647558bf?s=48 tetsuroito
1
730
Building smarter apps with machine learning, from magic to reality
7e6a435700dda6cdb22105d601f20892?s=48 picardparis
4
3.2k
Retca Cloud
7e116e0bb743dee7e0a906f01bd44082?s=48 bau
0
510
複数のスクラムチームをサポートするエンジニアリングマネジメントの話
4bddf664b03da8ad6b8d61660dcdc682?s=48 okeicalm
0
1.1k
スタートアップと技術選定と AWS
Bf5ee9059859ed5d855b5ff4680e63e2?s=48 track3jyo
PRO
2
330
eBPF for Security Observability
676c8aec28ade455c442e648abfa1db5?s=48 lizrice
0
170
#JP_Stripes Sapporo Stripeの活用例を色々ご紹介します!
74cec195bfb6cb5165256d88cb7fcf0f?s=48 miu_crescent
0
110
Oracle Cloud Infrastructure:2022年6月度サービス・アップデート
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
0
140
音のような言葉 〜ちゃちゃっとチャットで楽しむちょっとしたコツ〜 / words like sounds
8db3c91c8b3d3e5686f62fbf43c303dd?s=48 satoryu
1
1.4k
Target SDK Versionを上げない Notification runtime permission対応
0c5e92294cc0cfba620641c589db9378?s=48 napplecomputer
0
140
SwiftUI Layout
0863933c047ef45d283fe4e1d26bbddc?s=48 auramagi
1
100
Persistence in Serverless Applications - ServerlessDays NYC
Fd55de4174accaf3b4f030e43a8a70c6?s=48 marcduiker
0
240

Featured

See All Featured
Happy Clients
C51b39fa3c79ccb99dcb8a076bc98287?s=48 brianwarren
89
5.6k
jQuery: Nuts, Bolts and Bling
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
56
6.4k
Dealing with People You Can't Stand - Big Design 2015
44b54d2ffcb7857004071cc6795dde11?s=48 cassininazir
351
21k
Web Components: a chance to create the future
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
303
40k
Atom: Resistance is Futile
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
255
20k
Fight the Zombie Pattern Library - RWD Summit 2016
9fa239b3154a0169d99ab7bf1422dd12?s=48 marcelosomers
226
15k
Testing 201, or: Great Expectations
A9704266587836f7e784235e5073b93e?s=48 jmmastey
21
5.4k
Pencils Down: Stop Designing & Start Developing
79acae287842acf29084005533a7fb3b?s=48 hursman
112
9.8k
Raft: Consensus for Rubyists
B6a8f005f39d23ffc930508ac9da68b9?s=48 vanstee
126
5.4k
Visualization
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
125
11k
Typedesign – Prime Four
A0517b08532aec8ab2aae3f65d40ad86?s=48 hannesfritz
34
1.4k
Gamification - CAS2011
4394ceb8b277f35ee3da7030384efb5d?s=48 davidbonilla
75
3.9k

Transcript

  1. WASNight 2018 Kick-Off OWASP Top10 2017の趣 Promotion Team Lead 仲⽥

    翔⼀ ✕

  2. OWASP Top10ではTop10リスクしか⾒ていないというそこのあなた No Top10 2017 リスク A1 インジェクション A2 認証の不備

    A3 機微情報の露出 A4 XXE A5 アクセス制御の不備 A6 不適切なセキュリティ処理 A7 XSS A8 安全でないデシリアライゼーション A9 脆弱性のあるコンポーネントの使⽤ A10 不⼗分なロギングとモニタリング

  3. Top10リスクの理解に基づきテストを⾏うだけでなく、セキュリティ戦略策定 への参画や開発チームとの協働など幅広い知⾒を獲得する機運が⾼まっています +V: 検証者向けの次ステップ ▪ コードレビュー ▪ セキュリティとペネトレーションテスト ➞ コードレビュー/セキュリティとペネトレーションテストの両⾯でリスクを検出する

    +T: セキュリティテスト担当者のための次のステップ ▪ 脅威モデルの理解 ➞ 優先順位を検討し、費⽤対効果の⾼い⼿法をとる ▪ SDLC(ソフトウェア開発ライフサイクル)の理解 ➞ 開発チームの効率性を損なわないよう適切にフィードバックする ▪ テスト戦略 ➞ 簡単で、⾼速、かつ、正確なテストを実施する ▪ 範囲と正確さの達成 ➞ すべてをテストする必要はなく、重要なことから始め段階的に拡張する ▪ 明確な結果の伝達 ➞ 開発チームに結果を効果的に伝える year=year+4; 2013 2017

  4. Top10 2013 構成 Top10 2017 構成 はじめに、OWASPについて、注意事項 ⽬次、OWASPについて、前書き イントロダクション 導⼊

    リリースノート リリースノート アプリケーションのセキュリティリスク アプリケーションセキュリティリスク OWASP Top10アプリケーションのセキュリティリスク - 2013 OWASP Top10アプリケーションのセキュリティリスク - 2017 Top10リスク Top10リスク 開発者向けの次ステップ 開発者のための次のステップ 検証者向けの次ステップ セキュリティテスト担当者のための次のステップ 組織のための次ステップ 組織のための次のステップ ­ アプリケーションマネージャのための次のステップ リスクに関する注記 リスクに関する注記 リスク因⼦に関する詳細 リスクファクターに関する詳細 ­ ⽅法論とデータ Top10リスクの中⾝ではなく、Top10 2017の特徴やTop10 2013からの変更 といった趣深い箇所をピックアップして紹介します 変更2: ランクの根拠を明⽰ 変更1: ランクの変動 序章 変更3: ライフサイクル全体の管理 特徴: “あなた”のリスクを考慮 導⼊書としての位置付け

  5. 特徴: “あなた”のリスクを考慮 10まででやめず、あなたのリスクを考慮すべきであることが強調されています ▪「導⼊」の記載内容 ▪「リスクファクターに関する詳細」の記載内容 ▪「アプリケーションセキュリティリスク」の記載内容

  6. 特徴: 導⼊書としての位置付け 幅広い知⾒の獲得促進のため、関連するOWASP PJを参照できるようになっています ▪「A1:Injection」の記載内容 ▪「前書き」の記載内容

  7. No Top10 2013 変更内容 Top10 2017 リスク リスク スコア A1

    インジェクション 同様 インジェクション 8 A2 セッション管理の不備 同様 認証の不備 7 A3 XSS ダウン(↘A7) 機微情報の露出 7 A4 安全でないオブジェクト直接参照 A7とマージ(A5) XXE 7 A5 セキュリティ設定のミス ダウン(↘A6) アクセス制御の不備 6 A6 機密データの露出 アップ(↗A3) 不適切なセキュリティ処理 6 A7 機能レベルアクセス制御の⽋落 A4とマージ(A5) XSS 6 A8 CSRF ダウン(↓圏外) 安全でないデシリアライゼーション 5 A9 既知の脆弱性を持つコンポーネントの使⽤ 同様 脆弱性のあるコンポーネントの使⽤ 4.7 A10 未検討のリダイレクトとフォーワード ダウン(↓圏外) 不⼗分なロギングとモニタリング 4 変更1: ランクの変動
 新しいリスクがランクインする中、XSSがダウンし、CSRFは圏外になっています ※⾚字は新しいリスク

  8. 2017 2013 悪⽤のしやすさ 蔓延度 検出のしやすさ 技術⾯への影響 No リスク No 変化

    2013 2017 変化 2013 2017 変化 2013 2017 変化 2013 2017 A1 インジェクション A1 → 容易 容易 → よく⾒られる よく⾒られる ↗ 平均的 容易 → 深刻 深刻 A2 認証の不備 A2 ↗ 平均的 容易 ↘ 広い よく⾒られる → 平均的 平均的 → 深刻 深刻 A3 機微情報の露出 A6 ↗ 困難 平均的 ↑ まれ 広い → 平均的 平均的 → 深刻 深刻 A4 XXE ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ A5 アクセス制御の不 備 ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ A6 不適切なセキュリ ティ処理 A5 → 容易 容易 ↗ よく⾒られる 広い → 容易 容易 → 中程度 中程度 A7 XSS A3 ↗ 平均的 容易 ↘ 極めて広い 広い → 容易 容易 → 中程度 中程度 A8 安全でないデシリ アライゼーション ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ A9 脆弱性のあるコン ポーネントの使⽤ A9 → 平均的 平均的 → 広い 広い ↗ 困難 平均的 → 中程度 中程度 A10 不⼗分なロギング とモニタリング ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ ­ 変更1: ランクの変動 2013と同じリスクでも悪⽤のしやすさ等の評価に細かい変更があります 良 悪

  9. 変更2: ランクの根拠を明⽰ RCが複数あったため、「⽅法論とデータ」等に根拠を⽰しているのかもしれません No Top10 2017 RC1 Top10 2017 RC2

    Top10 2017 Fin A1 インジェクション インジェクション インジェクション A2 認証とセッション管理の不備 認証とセッション管理の不備 認証の不備 A3 XSS 機微情報の露出 機微情報の露出 A4 アクセス制御の不備 XXE XXE A5 不適切なセキュリティ処理 アクセス制御の不備 アクセス制御の不備 A6 機微情報の露出 不適切なセキュリティ処理 不適切なセキュリティ処理 A7 不⼗分な攻撃保護 XSS XSS A8 CSRF 安全でないデシリアライゼーション 安全でないデシリアライゼーション A9 脆弱性のあるコンポーネントの使⽤ 脆弱性のあるコンポーネントの使⽤ 脆弱性のあるコンポーネントの使⽤ A10 保護されていないAPI 不⼗分なロギングとモニタリング 不⼗分なロギングとモニタリング

  10. 変更3: ライフサイクル全体の管理 いわゆるプロダクトマネージャの確⽴を推奨しており、その役割を⽰しています リソース管理 の要件 RFPと 契約 計画と設計 デプロイ、テスト 及び公開

    運⽤及びチェンジ マネジメント システムの廃棄 ビジネス要件、機能及び⾮機能のセキュリティ要件を策定し、設計から 運⽤までの予算を計画、確保する セキュリティ要件やSLA等の技術的な要件を社内外の開発者等と交渉す る 予想される脅威に応じたセキュリティアーキテクチャの実装やリスク受 容を含むリスクへの対策を実施する デプロイ⾃動化、予想される脅威に応じたテスト実施、セキュリティアー キテクチャ等に関する⽂書を確定する パッチ管理等のガイドラインを策定し、利⽤者のセキュリティ意識を⾼ め、適宜運⽤⼿順書等の⽂書を更新する 必要なデータはアーカイブし、不要なデータは削除、システムを廃棄、 構成管理データベースのステータスを更新する

  11. ⼀歩進んでウェブ脆弱性 テストに! OWASP ASVS OWASP ZAP 設計・開発時の リファレンスに! ウェブ開発における 事前対策に!

    セキュリティの 取組の設定・確認に! 開発セキュリティ・ ガバナンスの強化に! OWASP Proactive Controls OWASP Cheat Sheet Series OWASP SAMM 以上OWASP Top10 2017の趣深い点の紹介でした!
 OWASP Top10 2017を起点にOWASP PJを活⽤、セキュリティを⾼めましょう! ウェブテストの枠組みや 詳細な内容の理解に! OWASP Testing Guide

  12. 謝辞 ⽇本語版翻訳コントリビュータのみなさま、ありがとうございました! Akitsugu Ito Albert Hsieh Chie Tazawa Hideko Igarashi

    Hiroshi Tokumaru Naoto Katsumi Riotaro Okada Robert Dracea Satoru Takahashi Sen Ueno Shoichi Nakata Takanori Ando Takanori Nakanowatari Tomohiro Sanae

  13. 参考: OWASP Top10から参照されているOWASP PJのURL (1/2) OWASP PJ URL OWASP Cheat

    Sheet Series https://www.owasp.org/index.php/Category:Cheatsheets https://docs.google.com/spreadsheets/d/ 1KNsAK1QbGih3WvmeTNeX5dj3_H1IHJTXrr98ZbFZZkg/edit#gid=0 https://jpcertcc.github.io/OWASPdocuments/ OWASP ASVS https://www.owasp.org/index.php/ Category:OWASP_Application_Security_Verification_Standard_Project https://jpcertcc.github.io/OWASPdocuments/ASVS/ OWASPApplicationSecurityVerificationStandard3.0.pdf OWASP Proactive Controls https://www.owasp.org/index.php/OWASP_Proactive_Controls https://www.owasp.org/images/a/a8/ OWASPTop10ProactiveControls2016-Japanese.pdf OWASP SAMM https://www.owasp.org/index.php/OWASP_SAMM_Project https://www.jpcert.or.jp/research/2010/SAMM_20100407.pdf OWASP Testing Guide https://www.owasp.org/index.php/OWASP_Testing_Project https://www.owasp.org/images/1/1e/OTGv3Japanese.pdf OWASP Risk Rating Methdology https://www.owasp.org/index.php/OWASP_Risk_Rating_Methodology https://www.owasp.org/index.php/ OWASP_Risk_Rating_Methodology(Japanese) Thread Risk Modeling https://www.owasp.org/index.php/Threat_Risk_Modeling

  14. 参考: OWASP Top10から参照されているOWASP PJのURL (2/2) OWASP PJ URL OWASP Automated

    Threats to Web Applications https://www.owasp.org/index.php/ OWASP_Automated_Threats_to_Web_Applications OWASP Secure Headers Project https://www.owasp.org/index.php/OWASP_Secure_Headers_Project OWASP Java Encoder Project https://www.owasp.org/index.php/OWASP_Java_Encoder_Project OWASP Dependency Check https://www.owasp.org/index.php/OWASP_Dependency_Check Virtual Patching Best Practices https://www.owasp.org/index.php/Virtual_Patching_Best_Practices OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project OWASP AppSensor https://www.owasp.org/index.php/OWASP_AppSensor_Project OWASP ModSecurity Core Rule Set Project https://www.owasp.org/index.php/ Category:OWASP_ModSecurity_Core_Rule_Set_Project OWASP Secure Software Contract Annex https://www.owasp.org/index.php/ OWASP_Secure_Software_Contract_Annex OWASP WebGoat Project https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project OWASP Juice Shop Project https://www.owasp.org/index.php/OWASP_Juice_Shop_Project OWASP Broken Web Application Project https://www.owasp.org/index.php/ OWASP_Broken_Web_Applications_Project OWASP Security Knowledge Framework https://www.owasp.org/index.php/ OWASP_Security_Knowledge_Framework Application Security Guide for CISOs https://www.owasp.org/index.php/ Application_Security_Guide_For_CISOs

  15. https://www.owasp.org/index.php/japan https://twitter.com/owaspjapan https://www.facebook.com/owaspjapan http://blog.owaspjapan.org ご静聴ありがとうございました!