Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

OWASP Kansai
June 16, 2019
Technology
0
700

OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

「OWASP Kansai ローカルチャプターミーティング 2019.06 〜CyBEERセキュリティをたこ・こなもんに〜」にて
神戸デジタルラボ 松田 康司さんに発表いただいたLT3「OWASP ASVS 4.0から思うこと」です

OWASP Kansai

June 16, 2019
Tweet

More Decks by OWASP Kansai

See All by OWASP Kansai
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
10
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
260
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
760
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
310
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
880
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
330
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
150
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
200
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
340

Other Decks in Technology

See All in Technology
ドメイン名の終活について - JPAAWG 7th -
mikit
33
20k
透過型SMTPプロキシによる送信メールの可観測性向上: Update Edition / Improved observability of outgoing emails with transparent smtp proxy: Update edition
linyows
2
210
マルチモーダル / AI Agent / LLMOps 3つの技術トレンドで理解するLLMの今後の展望
hirosatogamo
37
12k
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
28
12k
信頼性に挑む中で拡張できる・得られる1人のスキルセットとは?
ken5scal
2
530
iOSチームとAndroidチームでブランチ運用が違ったので整理してます
sansantech
PRO
0
130
障害対応指揮の意思決定と情報共有における価値観 / Waroom Meetup #2
arthur1
5
470
安心してください、日本語使えますよ―Ubuntu日本語Remix提供休止に寄せて― 2024-11-17
nobutomurata
1
990
B2B SaaSから見た最近のC#/.NETの進化
sansantech
PRO
0
680
AWS Media Services 最新サービスアップデート 2024
eijikominami
0
190
Incident Response Practices: Waroom's Features and Future Challenges
rrreeeyyy
0
160
複雑なState管理からの脱却
sansantech
PRO
1
140

Featured

See All Featured
Facilitating Awesome Meetings
lara
50
6.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
159
15k
Practical Orchestrator
shlominoach
186
10k
Navigating Team Friction
lara
183
14k
Bash Introduction
62gerente
608
210k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Git: the NoSQL Database
bkeepers
PRO
427
64k
For a Future-Friendly Web
brad_frost
175
9.4k
[RailsConf 2023] Rails as a piece of cake
palkan
52
4.9k
Scaling GitHub
holman
458
140k
Intergalactic Javascript Robots from Outer Space
tanoku
269
27k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
169
50k

Transcript

  1. OWASP ASVS 4.0から思うこと 松田康司(@koujimatsuda11)

  2. 自己紹介 松田康司(まつだこうじ) お仕事 • 神戸 • SIer歴10年ぐらい • セキュリティは、3年ぐらい •

    脆弱性診断してます • 家にPCはないです(セキュア!!)

  3. What's OWASP ASVS Application Security Verification Standard アプリケーションセキュリティ検証標準 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0)

    https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html (v3.0.1 日本語)

  4. What's OWASP ASVS Web アプリケーションを設計、開発、テストするときに必要となる、セ キュリティ要件および管理策(controls)のフレームワーク ◆ASVSには、3つの検査レベルがあり、アプリケーションの内容によって決まる。 ASVS レベル 1

    は、すべてのソフトウェアを対象とする ASVS レベル 2 は、保護を必要とする機微なデータを含むアプリケーションを対象とする ASVS レベル 3 は、最も重要度が高いアプリケーション、つまり、最高レベルの信頼性を 必要とするあらゆるアプリケーション (高い価値を伴う取引を行うものや,機微な医療デー タを含むものなど) を対象とする レベルごとの検証要件がある。

  5. What's OWASP ASVS V2: 認証に関する検証要件

  6. OWASP ASVS 4.0

  7. What's new in 4.0 • NIST 800-63-3 Digital Identity Guidelines

    の採用 • ASVS番号が一新された • CWEへのマッピングを追加 • OWASP Top 10 2017およびOWASP Proactive Controls 2018 • ASVS 4.0 Level 1がPCI DSS 3.2.1 Sections 6.5のスーパーセット となるよう着手 • モノリシックなサーバサイドのみのcontrolsからの脱却 • モバイルセクションは、モバイルアプリケーションセキュリティ 検証標準(MASVS)へ • 影響の少ないcontrolsの削除

  8. ASVS Level 1 ◆4.0 ASVS Level 1 is for low

    assurance levels, and is completely penetration testable ◆3.0.1 ASVS Level 1 is meant for all software.

  9. ASVS Level 2 ◆4.0 ASVS Level 2 is for applications

    that contain sensitive data, which requires protection and is the recommended level for most apps. ◆3.0.1 ASVS Level 2 is for applications that contain sensitive data, which requires protection.

  10. Level 1 is the only level that is completely penetration

    testable using humans. All others require access to documentation, source code, configuration, and the people involved in the development process. However, even if L1 allows "black box" (no documentation and no source) testing to occur, it is not effective assurance and must stop. ブラックボックステストだけでは、十分に保証されない

  11. ASVS Level 1 V2.1 Password Security Requirements パスワードのセキュリティ要件 2.1.1 パスワードは、12文字以上

    2.1.2 パスワードは、64文字以上が許可される

  12. ASVS Level 2 V2.4 Credential Storage Requirements クレデンシャル保管要件 2.4.1 パスワードをhash化して保管する

    2.4.4 Bcryptの場合、13回以上行う

  13. ASVS Level 1 V7.1 Log Content Requirements ログの内容に関する要件 7.1.1 クレデンシャルや支払い詳細がログに残らないこと

    セッショントークンは、不可逆的なハッシュ形式でのみロ グに格納する

  14. ASVS Level 2 V7.1 Log Content Requirements ログの内容に関する要件 7.1.3 成功および失敗した認証イベント、アクセス制御の

    失敗、デシリアライズの失敗、および入力検証の失敗を含 むセキュリティ関連のイベントを記録していること

  15. まとめ ブラックボックステストでは保証できない ドキュメント、ソースコード、設定、開発者へのヒ アリングが必要

  16. 内製化?