Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP Top10 Translation YOMOYAMA talk by Ando-san
Search
OWASP Japan
January 10, 2018
0
480
OWASP Top10 Translation YOMOYAMA talk by Ando-san
OWASP Japan
January 10, 2018
Tweet
Share
More Decks by OWASP Japan
See All by OWASP Japan
OWASP Night 2019.03 Tokyo
owaspjapan
0
320
OWASP SAMMを活用したセキュア開発の推進
owaspjapan
0
930
20190107_AbuseCaseCheatSheet
owaspjapan
0
150
セキュリティ要求定義で使える非機能要求グレードとASVS
owaspjapan
5
880
AWSクラスタに捧ぐウェブを衛っていく方法論と死なない程度の修羅場の価値
owaspjapan
9
3.1k
Shifting Left Like a Boss
owaspjapan
2
270
OWASP Top 10 and Your Web Apps
owaspjapan
2
360
OWASP Japan Proposal: Encouraging Japanese Translation
owaspjapan
1
220
elegance_of_OWASP_Top10_2017
owaspjapan
2
500
Featured
See All Featured
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Building Better People: How to give real-time feedback that sticks.
wjessup
364
19k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
Why You Should Never Use an ORM
jnunemaker
PRO
54
9.1k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Testing 201, or: Great Expectations
jmmastey
38
7.1k
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
Gamification - CAS2011
davidbonilla
80
5k
YesSQL, Process and Tooling at Scale
rocio
169
14k
Transcript
OWASP Top10翻訳の よもやま話 (株)オージス総研 アプリケーションセキュリティソリューション部 安藤 崇周 WASNight 2018 Kick-Off
= OWASP x WASForum Night
自己紹介 • 仕事 – ITアーキテクト – ITコンサルタント – PM –
Scrum Master(CSM&CSPO) – プログラマ • OWASP活動 – OWT2017 「OWASP Top10を用いた脆弱性対応」のスピーカー https://speakerdeck.com/owaspjapan/owt2017jp-owasp-top10 2017/9/30 1
参画の手順わかりますか? 2017/9/30 2 Owasp-Japan メーリングリス トで募集連絡 経歴をメールで 送る SlackにInviteさ れる
翻訳作業の流れ 2017/9/30 3 OWASP Top10の原文はmdファイ ル。Visual Studio Code便利! Slackを追い かける
とにかく翻訳 とにかく githubにpush とにかくSlack に投稿
やりたいことをやるべし! • A10 不十分なロギングとモニタリング – アーキテクトとしては「ロギングとモニタリング」は当 然やりたい! • A1 インジェクション
– OWT 2017でA1を題材にしたから変わった部分を知り たい! • A5 アクセス制御の不備 – みんなが奥ゆかしくて手を挙げないからやっちゃお う! 2017/9/30 4
2017:A1 インジェクション 2017/9/30 5 • やっぱりインジェクションがA1に • 脆弱性発見のポイントや防止方法において、 2013年よりもより具体的に記載 •
SASTとDASTといったツールの有効性に言及 • どんなデータソースもインジェクションの経路 になりえる…Top10の全部を読むのが面倒な 人もA1は見ましょう
2017:A5 アクセス制御の不備 2017/9/30 6 • 2013:A4「安全でないオブジェクト直接参照」と 2013:A7「機能レベルアクセス制御の欠落」を マージ • SAST、DASTだけでは有効性の検証ができな
い。アクセス制御に関する機能面での単体・ 結合テストが有効 • マイクロサービス、SPA対応が大きく反映
2017:A10 不十分なロギングとモニタリング 2017/9/30 7 • 2017年版の新項目 • タイムリーなインシデント対応のためにログと モニタリングを整備する •
失敗したログインのログも取りましょう • テストでの検証が大切 • ASVS V8:エラー処理とログの保存に関する検 証要件も併せて参照する
2017:全般 ESAPIの言及が消えた! 2017/9/30 8
2017/9/30 9 JOIN OWASP