Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Top10 Translation YOMOYAMA talk by Ando-san

D2c0774c30304e4970b502118aa791fe?s=47 OWASP Japan
January 10, 2018
0
400

OWASP Top10 Translation YOMOYAMA talk by Ando-san

D2c0774c30304e4970b502118aa791fe?s=128

OWASP Japan

January 10, 2018
Tweet

More Decks by OWASP Japan

See All by OWASP Japan
OWASP Night 2019.03 Tokyo
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
270
OWASP SAMMを活用したセキュア開発の推進
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
560
20190107_AbuseCaseCheatSheet
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
0
120
セキュリティ要求定義で使える非機能要求グレードとASVS
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
5
510
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
9
2.4k
Shifting Left Like a Boss
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
190
OWASP Top 10 and Your Web Apps
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
350
OWASP Japan Proposal: Encouraging Japanese Translation
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
1
170
elegance_of_OWASP_Top10_2017
D2c0774c30304e4970b502118aa791fe?s=48 owaspjapan
2
420

Featured

See All Featured
Web Components: a chance to create the future
E190023b66e2b8aa73a842b106920c93?s=48 zenorocha
303
40k
Mobile First: as difficult as doing things right
0fe2973fa8d27d96547e43322341183a?s=48 swwweet
213
7.5k
Creatively Recalculating Your Daily Design Routine
48c098b6579220a67a6ba949be6e4b5a?s=48 revolveconf
207
10k
Easily Structure & Communicate Ideas using Wireframe
0c6fd6a08d0f898159cda7cafcacf07f?s=48 afnizarnur
181
15k
Producing Creativity
Ae14cc4491ac334f9cd23f9f93b4305e?s=48 orderedlist
PRO
334
37k
Done Done
282d599b414022eba5096510f675b6e2?s=48 chrislema
174
14k
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
127
8.5k
Unsuck your backbone
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
659
55k
The Invisible Side of Design
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
290
48k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
B3d6434763caa0ef5dc4b792662c49f7?s=48 smashingmag
237
19k
Keith and Marios Guide to Fast Websites
E14f55d3f939977cecbf51b64ff6f861?s=48 keithpitt
404
21k
A Tale of Four Properties
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
149
21k

Transcript

  1. OWASP Top10翻訳の よもやま話 (株)オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off

    = OWASP x WASForum Night

  2. 自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –

    Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1

  3. 参画の手順わかりますか? 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる

  4. 翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利! Slackを追い かける

    とにかく翻訳 とにかく githubにpush とにかくSlack に投稿

  5. やりたいことをやるべし! • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい! • A1 インジェクション

    – OWT 2017でA1を題材にしたから変わった部分を知り たい! • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う! 2017/9/30 4

  6. 2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •

    SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう

  7. 2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな

    い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映

  8. 2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •

    失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する

  9. 2017:全般 ESAPIの言及が消えた! 2017/9/30 8

  10. 2017/9/30 9 JOIN OWASP