Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASP_Kansai_LT3_211124.pdf

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for OWASP Kansai OWASP Kansai
November 27, 2021
Technology
250
0

 OWASP_Kansai_LT3_211124.pdf

Avatar for OWASP Kansai

OWASP Kansai

November 27, 2021

More Decks by OWASP Kansai

See All by OWASP Kansai
owaspkansaiday-lt1-260214
Avatar for OWASP Kansai owaspkansai
0
31
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
Avatar for OWASP Kansai owaspkansai
0
140
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
Avatar for OWASP Kansai owaspkansai
0
130
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
Avatar for OWASP Kansai owaspkansai
0
680
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
Avatar for OWASP Kansai owaspkansai
0
1.6k
事前準備_ファームウェア解析に触れてみよう!
Avatar for OWASP Kansai owaspkansai
0
450
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
Avatar for OWASP Kansai owaspkansai
0
1.1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
Avatar for OWASP Kansai owaspkansai
0
610
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
Avatar for OWASP Kansai owaspkansai
0
310

Other Decks in Technology

See All in Technology
生成 AI 実践ガイド (概略版) AIガバナンス編
Avatar for Asei Sugiyama asei
0
140
脆弱性対応、どこで線を引くか
Avatar for ryoji miyamoto rymiyamoto
1
420
GitHub Copilot app最速の発信の裏側
Avatar for tomokusaba tomokusaba
1
200
10年間のブログ発信を振り返って見えたWebアプリケーションエンジニアとしての軌跡
Avatar for すてにゃん stefafafan
0
170
SONiCで構築・運用する生成AI向けパブリッククラウドネットワーク ~実装編~
Avatar for SONiC Users Group Japan sonic
0
290
マルチアカウント環境での コーディングエージェントを使った障害調査が大変なので AIエージェントにReadOnly権限を付与してみた / ReadOnly AI Agents for Multi-Account AWS Incident Response
Avatar for Takashi Yamaguchi yamaguchitk333
2
120
Oracle Cloud Infrastructure:2026年6月度サービス・アップデート
Avatar for oracle4engineer oracle4engineer
PRO
0
150
AWS Security Hub CSPMの成功・失敗体験
Avatar for cm-usuda-keisuke cmusudakeisuke
0
320
FPC(フレキシブル)基板にZephyr実装してみた。
Avatar for misoji engineer iotengineer22
0
140
2026年6月23日 Syncable Tech + Start Python Club にて
Avatar for Kimikazu Kato hamukazu
0
140
あなたの知らないPDFのアクセシビリティ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
0
220
20260619 私の日常業務での生成 AI 活用
Avatar for Masaru Ogura masaruogura
1
230

Featured

See All Featured
Scaling GitHub
Avatar for Zach Holman holman
464
140k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.9k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
55
12k
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
310
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
2
1.5k
Design in an AI World
Avatar for tapps tapps
1
250
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
301
52k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
201
75k
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
370
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
870

Transcript

  1. もう見ましたか? OWASP Top 10 2021 OWASP Kansai ボードメンバー 武繁 真一

    オワスプナイトカンサイ 2021.11 ~少し早めの忘年会~ 2021.11.24

  2. https://owasp.org/Top10/ja/ OWASP TOP 10 2021の紹介 2021年9月24日リリース OWASP TOP 10の主要な目的は、開発者、デザイナー、アーキテクト、マ ネージャ、組織に、最も一般的かつ最も重要なWebアプリケーションセキュ

    リティの弱点の影響について教育することです。また、これらのリスクの高 い問題のある領域を守るための基本的なテクニックを提供し、現時点からど こへ進めるべきなかについてのガイダンスを提供します。 (OWASP TOP 10 2017から抜粋)

  3. 2003年 初版リリース 2004年 小変更 2007年 小変更 2010年 普及度だけではなく、リスクによって順位を刷新 2013年 重要な脆弱性を含めるため、一つのカテゴリを2010年版からより包括的に拡大

    2017年 企業から寄せられた40以上のデータと、500人以上の業界調査に基づいて作成 2021年 これまで以上にデータを重視。10項目のうち8項目は提供された データから、2項目は業界調査から高いレベルで選定。 沿革

  4. 使用上の注意をよく読み、用法・要領を守って正しく使いましょう! OWASP Top 10 は、主に意識向上を目的とした文書です。 OWASP トップ 10 をコーディングやテストの基準として使用したい場合は、 それが最低限のものであり、出発点に過ぎないことを知っておいてください。

    <https://owasp.org/Top10/ja/A00_2021_How_to_use_the_OWASP_Top_10_as_a_standard/> OWASP Top 10 を使ってアプリケーションセキュリティプログラムを始め るには、これまでは OWASP Top 10 は、アプリケーションセキュリティプ ログラムの基礎となるようには設計されていませんでした。 しかしアプリケーションセキュリティの道を歩み始めたばかりの多くの組織 にとっては、基礎となる物が不可欠です。 OWASP Top 10 2021 は、チェックリストなどのベースラインとしては良 いスタートとなりますが、それだけでは十分ではありません。 <https://owasp.org/Top10/ja/A00_2021-How_to_start_an_AppSec_program_with_the_OWASP_Top_10/>

  5. A11:2021 – Next Stepsにも注目 OWASPトップ10は、建て付け上、最も重要な10のリスクに限定されています。 OWASPトップ10に掲載するかどうか、長時間の検討を要した「ぎりぎり境界 線」のリスクで、最終的には掲載されなかったものがあります。アプリケー ションセキュリティプログラムを成熟させるべく取り組んでいる企業や、適用 範囲を広げたいと考えているセキュリティコンサルタント会社あるいは製品 ツールベンダーは、以下の4つの問題については、識別したり修正したりする

    努力を傾ける価値があります。 ソースコードの品質にかかわる問題 サービス拒否攻撃(DoS) Memory Management Errors Security Control Failures <https://owasp.org/Top10/ja/A11_2021-Next_Steps/>

  6. The OWASP TOP10補足サイトに注目 <https://www.owasptopten.org/>

  7. クロスサイトスクリプティング インジェクション 安全でないで デシリアライゼーション 既知の脆弱性のある コンポーネントの使用 認証の不備 不適切なセキュリティ設定 XML 外部エンティティ参照(XXE)

    機微な情報の露出 アクセス制御の不備 不十分なロギングとモニタリング 2017年のトップ10のリスクカテゴリー間の相互作用 <https://www.owasptopten.org/thedata> The OWASP TOP10補足サイトに注目

  8. A1:2021 アクセス制御の不備 A2:2021 暗号化の失敗 A3:2021 インジェクション A5:2021 セキュリティの設定ミス A6:2021 脆弱で古くなったコンポーネント

    A7:2021 識別と認証の 失敗 A10:2021 セキュリティログとモニタリングの失敗 A4:2021 安全が確認されない 不安な設計 A5に包含 A8:2021 ソフトウェアとデータの 整合性の不具合 2021年のトップ10に当てはめるとこんな感じかな? The OWASP TOP10補足サイトに注目

  9. 定番 〇 〇 〇 〇 2003 2004 2007 2010 2013

    2017 2021 Broken Access Control アクセス制御の不備 - - - - - A05[NEW] A01 Cryptographic Failures 暗号化の失敗 A08 A08[RNM] A08 A07 A06[RNM] A03 A02[RNM] Injection インジェクション A06 A06[RNM] A02 A01[RNM] A01 A01 A03 Insecure Design 安全が確認されない不安な設計 - - - - - - A04[NEW] Security Misconfiguration セキュリティの設定ミス A10 A10[RNM] - A06 A05 A06 A05 Vulnerable and Outdated Components 脆弱で古くなったコンポーネント - - - - A09[NEW] A09 A06[RNM] Identification and Authentication Failures 識別と認証の失敗 A03 A03 A07 A03 A02 A02[RNM] A07[RNM] Software and Data Integrity Failures ソフトウェアとデータの整合性の不具合 - - - - - - A08[NEW] Security Logging and Monitoring Failures セキュリティログとモニタリングの失敗 - - - - - A10[NEW] A09[RNM] Server-Side Request Forgery(SSRF) サーバーサイド・リクエスト・フォージェリ - - - - - - A10[NEW] Cross Site Scripting (XSS) クロスサイトスクリプティング(XSS) A04 A04 A01 A02 A03 A07 - Insecure Direct Object Reference 安全でないオブジェクトへの直接参照 - A02 A04 A04 A04 - - Missing Functional Level Access Control 機能レベルのアクセス制御の不足 A02 A02[RNM] A10 A08 A07[RNM] - - Insecure Communications 安全でない通信 - - A09[NEW] A09 - - - XML External Entities(XXE) XML外部エンティティ参照(XXE) - - - - - A04[NEW] - Insecure Deserialization 安全でないでデシリアライゼーション - - - - - A08[NEW] - Cross Site Request Forgery (CSRF) クロスサイトリクエストフォージェリ(CSRF) - - A05[NEW] A05 A08 - - Unvalidated Redirects and Forwards 未検証のリダイレクトと転送 - - - A10[NEW] A10 - - Information Leakage and Improper Error Handling情報漏洩と不適切なエラー処理 A07 A07 A06 - - - - Malicious File Execution 悪意のあるファイルの実行 - - A03[NEW] - - - - Unvalidated Input 未検証の入力 A01 A01 - - - - - Buffer Overflows バッファオーバーフロー A05 A05 - - - - - Denial of Service サービス拒否 - A09 - - - - - Insecure Configuration Management 安全でない構成管理 - A10 - - - - - Remote Administration Flaws リモート管理の欠陥 A09 - - - - - - [NEW]:新規追加    [RNM]:名称変更 Releases OWASP Top Ten Entries (Unordered) 歴史が凝縮された旨味に注目

  10. 2003 2004 2007 2010 2013 2017 2021 OWASP TOP10を関西名物で例えるなら

  11. 2003 2004 2007 2010 2013 2017 2021 セキュリティ界のどろソース どろソース<https://www.oliversauce.com/products/257/> OWASP

    TOP10を関西名物で例えるなら

  12. 最後に × =?

  13. ご清聴ありがとうございました 以上