Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top10 Translation YOMOYAMA talk by Ando-san

OWASP Japan
January 10, 2018
430

OWASP Top10 Translation YOMOYAMA talk by Ando-san

OWASP Japan

January 10, 2018
Tweet

Transcript

  1. OWASP Top10翻訳の
    よもやま話
    (株)オージス総研
    アプリケーションセキュリティソリューション部
    安藤 崇周
    WASNight 2018 Kick-Off =
    OWASP x WASForum Night

    View Slide

  2. 自己紹介
    • 仕事
    – ITアーキテクト
    – ITコンサルタント
    – PM
    – Scrum Master(CSM&CSPO)
    – プログラマ
    • OWASP活動
    – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー
    https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10
    2017/9/30 1

    View Slide

  3. 参画の手順わかりますか?
    2017/9/30 2
    Owasp-Japan
    メーリングリス
    トで募集連絡
    経歴をメールで
    送る
    SlackにInviteさ
    れる

    View Slide

  4. 翻訳作業の流れ
    2017/9/30 3
    OWASP Top10の原文はmdファイ
    ル。Visual Studio Code便利!
    Slackを追い
    かける
    とにかく翻訳
    とにかく
    githubにpush
    とにかくSlack
    に投稿

    View Slide

  5. やりたいことをやるべし!
    • A10 不十分なロギングとモニタリング
    – アーキテクトとしては「ロギングとモニタリング」は当
    然やりたい!
    • A1 インジェクション
    – OWT 2017でA1を題材にしたから変わった部分を知り
    たい!
    • A5 アクセス制御の不備
    – みんなが奥ゆかしくて手を挙げないからやっちゃお
    う!
    2017/9/30 4

    View Slide

  6. 2017:A1 インジェクション
    2017/9/30 5
    • やっぱりインジェクションがA1に
    • 脆弱性発見のポイントや防止方法において、
    2013年よりもより具体的に記載
    • SASTとDASTといったツールの有効性に言及
    • どんなデータソースもインジェクションの経路
    になりえる…Top10の全部を読むのが面倒な
    人もA1は見ましょう

    View Slide

  7. 2017:A5 アクセス制御の不備
    2017/9/30 6
    • 2013:A4「安全でないオブジェクト直接参照」と
    2013:A7「機能レベルアクセス制御の欠落」を
    マージ
    • SAST、DASTだけでは有効性の検証ができな
    い。アクセス制御に関する機能面での単体・
    結合テストが有効
    • マイクロサービス、SPA対応が大きく反映

    View Slide

  8. 2017:A10 不十分なロギングとモニタリング
    2017/9/30 7
    • 2017年版の新項目
    • タイムリーなインシデント対応のためにログと
    モニタリングを整備する
    • 失敗したログインのログも取りましょう
    • テストでの検証が大切
    • ASVS V8:エラー処理とログの保存に関する検
    証要件も併せて参照する

    View Slide

  9. 2017:全般 ESAPIの言及が消えた!
    2017/9/30 8

    View Slide

  10. 2017/9/30 9
    JOIN OWASP

    View Slide