Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Speaker Deck
PRO
Sign in
Sign up for free
OWASP Top10 Translation YOMOYAMA talk by Ando-san
OWASP Japan
January 10, 2018
0
400
OWASP Top10 Translation YOMOYAMA talk by Ando-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
560
20190107_AbuseCaseCheatSheet
owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
510
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
2.4k
Shifting Left Like a Boss
owaspjapan
2
190
OWASP Top 10 and Your Web Apps
owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
170
elegance_of_OWASP_Top10_2017
owaspjapan
2
420
Featured
See All Featured
Web Components: a chance to create the future
zenorocha
303
40k
Mobile First: as difficult as doing things right
swwweet
213
7.5k
Creatively Recalculating Your Daily Design Routine
revolveconf
207
10k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
181
15k
Producing Creativity
orderedlist
PRO
334
37k
Done Done
chrislema
174
14k
Streamline your AJAX requests with AmplifyJS and jQuery
dougneiner
127
8.5k
Unsuck your backbone
ammeep
659
55k
The Invisible Side of Design
smashingmag
290
48k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
237
19k
Keith and Marios Guide to Fast Websites
keithpitt
404
21k
A Tale of Four Properties
chriscoyier
149
21k
Transcript
OWASP Top10翻訳の よもやま話 (株)オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off
= OWASP x WASForum Night
自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –
Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1
参画の手順わかりますか? 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる
翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利! Slackを追い かける
とにかく翻訳 とにかく githubにpush とにかくSlack に投稿
やりたいことをやるべし! • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい! • A1 インジェクション
– OWT 2017でA1を題材にしたから変わった部分を知り たい! • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う! 2017/9/30 4
2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •
SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう
2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな
い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映
2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •
失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する
2017:全般 ESAPIの言及が消えた! 2017/9/30 8
2017/9/30 9 JOIN OWASP