Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

OWASP Kansai
June 16, 2019
Technology
0
590

OWASP Kansai 2019.06/OWASP ASVS 4.0から思うこと

「OWASP Kansai ローカルチャプターミーティング 2019.06 〜CyBEERセキュリティをたこ・こなもんに〜」にて
神戸デジタルラボ 松田 康司さんに発表いただいたLT3「OWASP ASVS 4.0から思うこと」です

OWASP Kansai

June 16, 2019
Tweet

More Decks by OWASP Kansai

See All by OWASP Kansai
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
63
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
400
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
190
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
740
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
190
OWASP_Kansai_LT3_211124.pdf
owaspkansai
0
110
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
170
WordPressセキュリティハンズオン事前準備マニュアル/OWASPKansaiNagoya_WP1_190929
owaspkansai
2
280
OWASP_Kansai_CybeerTako_LT1_190615
owaspkansai
0
200

Other Decks in Technology

See All in Technology
開発生産性向上サービスを作るFindyが自分たちで開発生産性を爆上げした組織づくりの歩み / Findy's path to boosting its own development productivity 2024-04-17
ma3tk
3
320
スタートアップの技術顧問を3年間続けて発生した事と気付き
biwakonbu
0
160
**強い**エンジニアのなり方 - フィードバックサイクルを勝ち取る / grow one day each day
soudai
61
17k
4年前、あるじゃん老害エンジニアLT合戦に登壇、米国西海岸コンピュータ歴史博物館体験記の続編
toshi_atsumi
0
190
"好き"との生活/Regularly update profile with GitHub Actions
judeeeee
0
150
長期運用プロジェクトでのMySQLからTiDB移行の検証
colopl
2
650
なぜ NOT A HOTEL が Web3 に取り組むのか - NOT A HOTEL TECH TALK
ynunokawa
0
160
DevOpsメトリクスとアウトカムの接続にトライ!開発プロセスを通して計測できるメトリクスの活用方法
ham0215
1
190
Algyan イベント振り返り
linyixian
0
190
WebアプリケーションにおけるPDOの使い方入門 / phpcon odawara 2024
meihei3
2
430
キャラクター制御のためのプロンプト術 for LINE Bot
uezo
0
520
SREとその組織類型
tatsuo48
8
1.5k

Featured

See All Featured
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
13
1.5k
Happy Clients
brianwarren
91
6.4k
Writing Fast Ruby
sferik
620
60k
We Have a Design System, Now What?
morganepeng
42
6.7k
Embracing the Ebb and Flow
colly
79
4.1k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Building Your Own Lightsaber
phodgson
98
5.7k
Building Applications with DynamoDB
mza
88
5.6k
Building Adaptive Systems
keathley
30
1.8k
Raft: Consensus for Rubyists
vanstee
132
6.2k
GraphQLとの向き合い方2022年版
quramy
31
12k
ParisWeb 2013: Learning to Love: Crash Course in Emotional UX Design
dotmariusz
104
6.6k

Transcript

  1. OWASP ASVS 4.0から思うこと 松田康司(@koujimatsuda11)

  2. 自己紹介 松田康司(まつだこうじ) お仕事 • 神戸 • SIer歴10年ぐらい • セキュリティは、3年ぐらい •

    脆弱性診断してます • 家にPCはないです(セキュア!!)

  3. What's OWASP ASVS Application Security Verification Standard アプリケーションセキュリティ検証標準 https://github.com/OWASP/ASVS/tree/master/4.0 (v4.0)

    https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html (v3.0.1 日本語)

  4. What's OWASP ASVS Web アプリケーションを設計、開発、テストするときに必要となる、セ キュリティ要件および管理策(controls)のフレームワーク ◆ASVSには、3つの検査レベルがあり、アプリケーションの内容によって決まる。 ASVS レベル 1

    は、すべてのソフトウェアを対象とする ASVS レベル 2 は、保護を必要とする機微なデータを含むアプリケーションを対象とする ASVS レベル 3 は、最も重要度が高いアプリケーション、つまり、最高レベルの信頼性を 必要とするあらゆるアプリケーション (高い価値を伴う取引を行うものや,機微な医療デー タを含むものなど) を対象とする レベルごとの検証要件がある。

  5. What's OWASP ASVS V2: 認証に関する検証要件

  6. OWASP ASVS 4.0

  7. What's new in 4.0 • NIST 800-63-3 Digital Identity Guidelines

    の採用 • ASVS番号が一新された • CWEへのマッピングを追加 • OWASP Top 10 2017およびOWASP Proactive Controls 2018 • ASVS 4.0 Level 1がPCI DSS 3.2.1 Sections 6.5のスーパーセット となるよう着手 • モノリシックなサーバサイドのみのcontrolsからの脱却 • モバイルセクションは、モバイルアプリケーションセキュリティ 検証標準(MASVS)へ • 影響の少ないcontrolsの削除

  8. ASVS Level 1 ◆4.0 ASVS Level 1 is for low

    assurance levels, and is completely penetration testable ◆3.0.1 ASVS Level 1 is meant for all software.

  9. ASVS Level 2 ◆4.0 ASVS Level 2 is for applications

    that contain sensitive data, which requires protection and is the recommended level for most apps. ◆3.0.1 ASVS Level 2 is for applications that contain sensitive data, which requires protection.

  10. Level 1 is the only level that is completely penetration

    testable using humans. All others require access to documentation, source code, configuration, and the people involved in the development process. However, even if L1 allows "black box" (no documentation and no source) testing to occur, it is not effective assurance and must stop. ブラックボックステストだけでは、十分に保証されない

  11. ASVS Level 1 V2.1 Password Security Requirements パスワードのセキュリティ要件 2.1.1 パスワードは、12文字以上

    2.1.2 パスワードは、64文字以上が許可される

  12. ASVS Level 2 V2.4 Credential Storage Requirements クレデンシャル保管要件 2.4.1 パスワードをhash化して保管する

    2.4.4 Bcryptの場合、13回以上行う

  13. ASVS Level 1 V7.1 Log Content Requirements ログの内容に関する要件 7.1.1 クレデンシャルや支払い詳細がログに残らないこと

    セッショントークンは、不可逆的なハッシュ形式でのみロ グに格納する

  14. ASVS Level 2 V7.1 Log Content Requirements ログの内容に関する要件 7.1.3 成功および失敗した認証イベント、アクセス制御の

    失敗、デシリアライズの失敗、および入力検証の失敗を含 むセキュリティ関連のイベントを記録していること

  15. まとめ ブラックボックステストでは保証できない ドキュメント、ソースコード、設定、開発者へのヒ アリングが必要

  16. 内製化?