Lock in $30 Savings on PRO—Offer Ends Soon! ⏳
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Ando-san
Search
OWASP Japan
January 10, 2018
0
550
OWASP Top10 Translation YOMOYAMA talk by Ando-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
370
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
1.1k
20190107_AbuseCaseCheatSheet
owaspjapan
0
200
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
1.1k
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.4k
Shifting Left Like a Boss
owaspjapan
2
310
OWASP Top 10 and Your Web Apps
owaspjapan
2
400
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
260
elegance_of_OWASP_Top10_2017
owaspjapan
2
540
Featured
See All Featured
Raft: Consensus for Rubyists
vanstee
141
7.2k
Mozcon NYC 2025: Stop Losing SEO Traffic
samtorres
0
82
Agile that works and the tools we love
rasmusluckow
331
21k
The Impact of AI in SEO - AI Overviews June 2024 Edition
aleyda
5
680
We Have a Design System, Now What?
morganepeng
54
7.9k
Paper Plane (Part 1)
katiecoart
PRO
0
1.9k
Optimising Largest Contentful Paint
csswizardry
37
3.5k
The SEO identity crisis: Don't let AI make you average
varn
0
35
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
48
9.8k
Leadership Guide Workshop - DevTernity 2021
reverentgeek
0
160
Typedesign – Prime Four
hannesfritz
42
2.9k
Design in an AI World
tapps
0
97
Transcript
OWASP Top10翻訳の よもやま話 (株)オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off
= OWASP x WASForum Night
自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –
Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1
参画の手順わかりますか? 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる
翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利! Slackを追い かける
とにかく翻訳 とにかく githubにpush とにかくSlack に投稿
やりたいことをやるべし! • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい! • A1 インジェクション
– OWT 2017でA1を題材にしたから変わった部分を知り たい! • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う! 2017/9/30 4
2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •
SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう
2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな
い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映
2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •
失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する
2017:全般 ESAPIの言及が消えた! 2017/9/30 8
2017/9/30 9 JOIN OWASP
owaspjapan
vanstee
samtorres
rasmusluckow
aleyda
morganepeng
katiecoart
csswizardry
varn
mongodb
reverentgeek
hannesfritz
tapps
