Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Let's know OWASP!#BPStudy20160226
Search
OWASP Japan
February 26, 2016
650
2
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Let's know OWASP!#BPStudy20160226
OWASP Japan
February 26, 2016
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
400
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
220
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.2k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.5k
Shifting Left Like a Boss
owaspjapan
2
340
OWASP Top 10 and Your Web Apps
owaspjapan
2
430
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
300
elegance_of_OWASP_Top10_2017
owaspjapan
2
580
Featured
See All Featured
Docker and Python
trallard
47
3.9k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Stewardship and Sustainability of Urban and Community Forests
pwiseman
0
270
The SEO Collaboration Effect
kristinabergwall1
1
500
Done Done
chrislema
186
16k
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.2k
How to train your dragon (web standard)
notwaldorf
97
6.7k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
akashhashmi
0
390
Accessibility Awareness
sabderemane
1
150
Lightning Talk: Beautiful Slides for Beginners
inesmontani
PRO
2
600
Prompt Engineering for Job Search
mfonobong
0
370
Producing Creativity
orderedlist
PRO
348
40k
Transcript
Let's know OWASP! Promotion Team
What is OWASP?
ウェブを取り巻く問題を解決するための 国際的なオープンコミュニティ
None
in Japan?
OWASP Kyushu 2015.3〜 OWASP Kansai 2014.3〜 OWASP Japan 2012.3〜 OWASP
Sendai ⽇本では現在4つのチャプターが存在
定期的に勉強会(OWASP Night)を開催
⽇本独⾃の成果物も公開中 OWASP ZAP運⽤マニュアル OWASP セキュリティ要件書 OWASP成果物⽇本語版 脆弱性診断⼠ スキルマップ
⽇本でOWASP Global AppSecを開催
What kinds of projects?
現在100以上の成果物が公開 Category:OWASP Project - OWASP : https://www.owasp.org/ index.php/Category:OWASP_Project#tab=Project_Inventory
① 要件定義 OWASP ASVS(Application Security Verification Standard ) Web システム/Web
アプリケーションセキュリティ要件書 ② 設計・開発 OWASP Cheat Sheet Series OWASP Proactive Controls ③ テスト・導⼊ OWASP ZAP(Zed Attack Proxy) OWASP Testing Guide ④ 運⽤・保守 OWASP AppSensor OWASP Dependency Check ⑨ 知識 OWASP Top10 / Mobile Top10 / IoT Top 10 OWASP Snakes and Ladders テスト・導⼊ 運⽤・保守 設計・開発 要件定義 1 2 3 4 システムライフサイクルの各段階で活⽤可能
introduction !
TOP 10 SERIES
OWASP Top 10 概要 ウェブアプリにおいて最も注意すべき 10の脆弱性とその対処法を理解するた めの資料 特徴 公的な機関においても本書に掲載され ている脆弱性への対策がセキュリティ
要件として定められることも
No ウェブアプリにおける脆弱性 A1 インジェクション A2 セッション管理の不備 A3 クロスサイトスクリプティング A4 安全でないオブジェクト直接参照
A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルアクセス制御の⽋落 A8 クロスサイトリクエストフォージェリ A9 既知の脆弱性を持つコンポーネントの使⽤ A10 未検討のリダイレクトとフォーワード 脆弱性、攻撃シナリオ、防⽌⽅法などを紹介
OWASP Mobile Top10 & IoT Top10 概要 OWASP Mobile Security
Projectの⼀つ であり、モバイルアプリケーションに おける脅威と対処策を記載 概要 OWASP Internet of Things (IoT) Projectの⼀つであり、IoTにおける 脅威と対処策を記載
GUIDELINE DOCUMENT
OWASP Cheat Sheet Series 概要 Builder(設計・開発)、Breaker(テス ト・導⼊)、Defender(運⽤・保守)を 対象にセキュリティを⾼めるための知識 /機能を実装するための⽅法論を紹介 特徴
本発表時点でドラフト版を含めて48もの チートシートが公開され、いずれも頻繁 に更新されている
チートシートシリーズ概要⽇本語版を公開中 OWASP Japan Blog : OWASP Cheat Sheet Seriesを⽇本語訳して馴染みやすくしてみた。 http://blog.owaspjapan.org/post/130374053294/
OWASP Proactive Controls 概要 ウェブ開発時に考慮すべき10の セキュリティ技術を紹介 特徴 OWASP Top10やOWASP Cheat
Sheet Seriesとの関連性が⾼い。最近 2016年版がリリースされ、現在⽇本 語に翻訳中であり、まもなく公開予定
OWASP Top10のどの脆弱性に対応できるかなども 把握できる
OWASP ASVS 概要 セキュアなウェブ開発のためのセキュ リティの取組の設定・確認に活⽤可能 なガイドライン 特徴 OWASPグローバルで最近最も評価され ているプロジェクトであり、1.0版は⽇ 本語化済み、最新の3.0版が2015年末
にリリース
Level0 テストする価値なし Level1 簡単に脆弱性が⾒つかる Level2 標準的 Level3 より進んだ脆弱性に対応 まずはどのレベルにありたいかを設定
No 要件設定 V1 セキュリティアーキテクチャ、設計、脅威モデ ルに関する要件 V2 認証に関する要件 V3 セッション管理に関する要件 V4
アクセスコントロールに関する要件 V5 ⼊⼒のバリデーションに関する要件 V7 暗号化に関する要件 V8 エラー処理及びログの記録に関する要件 V9 データの保護に関する要件 V10 通信のセキュリティに関する要件 V11 HTTPのセキュリティに関する要件 V13 悪意のあるコードに関する要件 V15 ビジネスロジックに関する要件 V16 ファイル及びリソースに関する要件 V17 モバイルに関する要件 V18 ウェブサービスに関する要件 V19 構成管理に関する要件 V20 クライアントサイドセキュリティに関する要件 No 認証に関する要件設定 1 2 3 V2.1 ⾃由なアクセスを意図していない全て のページ及びリソースに認証がかかっ ている ✓ ✓ ✓ V2.2 パスワードフォームのオートコンプ リートが無効である ✓ ✓ ✓ V2.4 全ての認証管理がサーバ側で⾏われる ✓ ✓ ✓ V2.5 外部認証サービスを利⽤しているラ イブラリを含む全ての認証制御が 集中実装されている ✓ V2.6 認証失敗の場合の安全対策を施してい ることを保証する ✓ ✓ ✓ V2.7 実働環境における典型的な脅威に対し て、認証の証明が⼗分な対策を施し ている ✓ ✓ V2.8 全てのアカウント管理機能は、基礎的 な認証メカニズムとしての機能を備 えており攻撃に耐えうる ✓ ✓ ・・・ ・・・・・・・・・・・・・・・・ ・ ・ ・ 設定レベルに応じた必要な要件を把握
TOOLS
OWASP ZAP 概要 実⾏ボタン1つでも簡易なウェブ脆弱性テスト を実施可能なツール 特徴 IPAテクニカルウォッチ「ウェブサイトにおけ る脆弱性検査⼿法の紹介」において、セキュリ ティ初学者でも使いやすく、検知精度が⾼く、 ⾮常に効率的と評価
参考:https://www.ipa.go.jp/about/technicalwatch/ 20131212.html
OWASP Dependency Check 概要 指定したディレクトリやファイルをスキャン し、脆弱性が報告されているようなライブラ リを利⽤していないかチェックするツール 特徴 現在はJava・.Net・pythonアプリケーショ ンをサポート
コマンドライン以外にも、以下のような連携 プラグインが⽤意されている • Maven Plugin • Ant Task • Jenkins Plugin
をチェックすべし!! OWASPでビルトイン・セキュリティ http://codezine.jp/article/corner/608
Let's join OWASP!
まずは、OWASPJapanメーリングリストに 参加しよう! • 会合の告知 • ボランティアの募集 • カンファレンスの早期登録の ご案内 •
プロジェクト参加の募集 • ドキュメントのレビューなどの 呼びかけ https://lists.owasp.org/mailman/listinfo/owasp-japan
公式HPに加え、FacebookやTwitterからも 情報発信しています! https://www.facebook.com/owaspjapan https://twitter.com/owaspjapan https://www.owasp.org/index.php/Japan
昨年よりブログも始めました! OWASP Japan Blog 〜I can blog a little〜 http://
blog.owaspjapan.org/ 公式サイトではお伝えしきれない、 マル得情報が配信されるかも!
OWASP Nightに参加しよう!
Promotion Teamに参加しませんか?
ご清聴ありがとうございました! ウェブをたしかなものに