Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OWASPの歩き方

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Fumina Chihama Fumina Chihama
April 09, 2024
1.1k
1

 OWASPの歩き方

Avatar for Fumina Chihama

Fumina Chihama

April 09, 2024

More Decks by Fumina Chihama

See All by Fumina Chihama
_配布資料商談力アップ_100社の経験に基づく初回商談の極意_Crevo.pdf
Avatar for Fumina Chihama fumina
0
180
20241203_セミナー資料.pdf
Avatar for Fumina Chihama fumina
0
150
"誰でも売れる"を体系的に整理!営業のプロが伝授する成功法則.pdf
Avatar for Fumina Chihama fumina
0
81
Monoxer講演資料_書籍出版記念対談.pdf
Avatar for Fumina Chihama fumina
0
130
DBの選び方LT
Avatar for Fumina Chihama fumina
2
340
Azure OpenAI を活用して金融機関にお届けする LLM + RAG サービス
Avatar for Fumina Chihama fumina
1
800
RAGを活用した動画学習コンテンツの推薦 ~実装の工夫と課題~
Avatar for Fumina Chihama fumina
0
1.1k
RAGの基本と最新技術動向
Avatar for Fumina Chihama fumina
0
1.4k
二刀流で切り開くRAG活用術
Avatar for Fumina Chihama fumina
0
730

Featured

See All Featured
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k
Joys of Absence: A Defence of Solitary Play
Avatar for Sebastian Deterding codingconduct
1
400
SEO for Brand Visibility & Recognition
Avatar for Aleyda Solis aleyda
0
4.6k
Designing Powerful Visuals for Engaging Learning
Avatar for Mike Taylor tmiket
1
420
WENDY [Excerpt]
Avatar for Tessa Abrams tessaabrams
11
38k
For a Future-Friendly Web
Avatar for Brad Frost brad_frost
183
10k
Hiding What from Whom? A Critical Review of the History of Programming languages for Music
Avatar for Tomoya Matsuura tomoyanonymous
2
870
Let's Do A Bunch of Simple Stuff to Make Websites Faster
Avatar for Chris Coyier chriscoyier
508
140k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490
Building an army of robots
Avatar for Kyle Neath kneath
306
46k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
82
6.3k
Ethics towards AI in product and experience design
Avatar for Skipper Chong Warson skipperchong
2
310

Transcript

  1. OWASPの歩き⽅ OWASP Japan Chapter Leader Sen Ueno

  2. Profile: 上野 宣 (Sen UENO) 株式会社トライコーダ 代表取締役 奈良先端科学技術⼤学院⼤学で情報セキュリティを専攻、2006年に株式会社トライコーダを設⽴。ハッ キング技術を駆使して企業などに侵⼊を⾏うペネトレーションテストや各種サイバーセキュリティ実践ト レーニングなどを提供

    OWASP Japan代表、株式会社Flatt Security社外取締役、グローバルセキュリティエキスパート株式会 社社外取締役、ScanNetSecurity 編集⻑、情報処理安全確保⽀援⼠ カリキュラム検討委員会・実践講習 講師、JNSA ISOG-J WG1リーダー、⼀般社団法⼈セキュリティ・キャンプ協議会理事・顧問、 Hardening Project 実⾏委員、SECCON 実⾏委員、⽇本ハッカー協会理事、⼀般社団法⼈ ITキャリア推 進協会 (JAIC) アドバイザリーボードメンバー、情報経営イノベーション専⾨職⼤学 客員教員などを務め る 第11回 ISC2 アジア・パシフィック情報セキュリティ・リーダーシップ・アチーブメント(ISLA)受賞 第16回 情報セキュリティ⽂化賞受賞 主な著書 Webセキュリティ担当者のための脆弱性診断スタートガイド – 上野宣が教える情報漏えいを防ぐ技術、HTTPの教科書、 めんどうくさいWebセキュリティ、他多数 

  3. OWASP Foundation について • Open Worldwide Application Security Project (OWASP)

    • ソフトウェアのセキュリティを向上させる開発者・技術者・エ ヴァンジェリストのコミュニティ – ⽶国の⾮営利慈善団体 – 世界中に250以上の⽀部、数万⼈の会員 • ツール、コード、ドキュメント、ガイドラインを含むコミュニ ティ主導のオープンソースプロジェクト • https://owasp.org/ 3

  4. OWASP Projects • Flagship Projects – OWASP とアプリケーションセキュリティ全体にとって戦略的価値を実 証したプロジェクト •

    Production Projects – 本番稼動可能なプロジェクト • その他 – Lab, Incubator • https://owasp.org/projects/ 4

  5. Flagship Projects • OWASP Amass • OWASP Application Security Verification

    Standard • OWASP Cheat Sheet Series • OWASP CycloneDX • OWASP Defectdojo • OWASP Dependency-Check • OWASP Dependency-Track • OWASP Juice Shop • OWASP Mobile Application Security • OWASP ModSecurity Core Rule Set • OWASP OWTF • OWASP SAMM • OWASP Security Shepherd • OWASP Top 10 • OWASP Web Security Testing Guide 5

  6. 代表的なプロジェクト OWASP Projects

  7. 代表的なプロジェクト 全体 • OWASP Top 10 要件定義 • Webシステム/Webアプリケーションセキュリティ要件書 設計・開発

    • OWASP ASVS • OWASP Cheat Sheet Series テスト • Webアプリケーション脆弱性診断ガイドライン • OWASP Testing Guide • ZAP 運⽤・保守 • OWASP Dependency-Check 要件定義 設計・開発 テスト 運⽤・保守 7

  8. OWASP Top 10 • Webアプリケーションに対する重⼤なセキュリティリスク – 単なるランキングではなく、脆弱性の解説、防⽌⽅法、攻撃シナリオの解説も含まれる – 世界中のさまざまなガイドラインなどから参照されている •

    OWASP Top 10:2021 – A01 アクセス制御の不備 – A02 暗号化の失敗 – A03 インジェクション – A04 安全が確認されない不安な設計 – A05 セキュリティの設定ミス – A06 脆弱で古くなったコンポーネント – A07 識別と認証の失敗 – A08 ソフトウェアとデータの整合性の不具合 – A09 セキュリティログとモニタリングの失敗 – A10 サーバーサイドリクエストフォージェリ (SSRF) https://owasp.org/Top10/ja/ 8

  9. Webシステム/Webアプリケーションセキュリティ要件書 • 安全なWebアプリケーションの開発に必要な要件書 – 認証・認可、セッション管理、⼊⼒処理、出⼒処理、HTTPS、cookie、 提出物について https://github.com/OWASP/www-chapter-japan/tree/master/secreq 9

  10. OWASP ASVS (Application Security Verification Standard) • 業界標準のアプリケーションセキュリティ検証標準 – 設計・開発・テストに必要なセキュリティ要件および管理策のフレーム

    ワークの標準化 – 要求されるセキュリティレベルに応じて定義 https://owasp.org/www-project-application-security-verification-standard/ V1: アーキテクチャ、設計、脅威モデリング要件 V2: 認証の検証要件 V3: セッション管理の検証要件 V4: アクセス制御検証要件 V5: バリデーション、無害化とエンコーディング 検証要件 V6: 保存時の暗号化の検証要件 V7: エラー処理とログ記録の検証要件 V8: データ保護の検証要件 V9: 通信の検証要件 V10: 悪性コードの検証要件 V11: ビジネスロジックの検証要件 V12: ファイルとリソースの検証要件 V13: APIとWebサービスの検証要件 V14: 構成の検証要件 10

  11. OWASP Cheat Sheet Series • さまざまなセキュリティトピックに関する設計・実装事例集 – Top10やASVSとの対応⼀覧もある https://cheatsheetseries.owasp.org/ •

    AJAX Security • Abuse Case • Access Control • Attack Surface Analysis • Authentication • Authorization • Authorization Testing Automation • Bean Validation • C-Based Toolchain Hardening • CI CD Security • Choosing and Using Security Questions • Clickjacking Defense • Content Security Policy • Credential Stuffing Prevention • Cross-Site Request Forgery Prevention • Cross Site Scripting Prevention • Cryptographic Storage • DOM Clobbering Prevention • DOM based XSS Prevention • Database Security • Denial of Service • Deserialization • Django REST Framework • Django Security • Docker Security • DotNet Security • Error Handling • File Upload • Forgot Password • GraphQL • HTML5 Security • HTTP Headers • HTTP Strict Transport Security • Infrastructure as Code Security 掲載されているチートシートの⼀例 11

  12. Webアプリケーション脆弱性診断ガイドライン • Webアプリケーションに最低限必要な診断項⽬と⼿順書 – 主に⼿動診断で実施する項⽬について記載 • OWASP Testing Guide –

    Webアプリケーションに関しての多岐に渡るテスト⼿法の解説 https://github.com/WebAppPentestGuidelines/WebAppPentestGuidelines https://owasp.org/www-project-web-security-testing-guide/ 12

  13. ZAP • プロキシ型Webアプリケーション脆弱性診断ツール – ⼿動/⾃動診断に対応、CI/CDに組み込み可能 – もともとOWASPのプロジェクト https://www.zaproxy.org/ 13

  14. OWASP Dependency-Check • ソフトウェア構成分析ツール(SCA:Software Composition Analysis) – ソフトウェアの依存関係内に含まれる脆弱性を検出する https://owasp.org/www-project-dependency-check/ 14

  15. ⽬的に応じたプロジェクトを探す Application Security Wayfinder https://owasp.org/projects/ 15

  16. OWASPに関わる • 寄付をする – 個⼈会員になる • 年間50USD(グローバル)、500USD(ライフタイム) • サポートするチャプター(⽀部)を選ぶことができる –

    企業として • ローカル・スポンサーシップ • サポートするチャプター(⽀部)を選ぶことができる • WGに参加する – 脆弱性診断⼠スキルマッププロジェクト • プロジェクトに参加する – 1単語の翻訳から参加できるプロジェクトもある https://owasp.org/www-chapter-japan/ 16