Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP_Kansai_LT3_211124.pdf
Search
OWASP Kansai
November 27, 2021
Technology
250
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWASP_Kansai_LT3_211124.pdf
OWASP Kansai
November 27, 2021
More Decks by OWASP Kansai
See All by OWASP Kansai
owaspkansaiday-lt1-260214
owaspkansai
0
31
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
owaspkansai
0
140
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
130
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
680
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.6k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
450
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1.1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
610
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
310
Other Decks in Technology
See All in Technology
ぼっちではじめた登壇が「51名」「241件」の発信に化けた
subroh0508
1
250
AI時代のコスト管理を考えよう〜明日から使える実践AWSノウハウ~
yoshimi0227
0
320
不要なレビューをAIにまかせて AIコーディングの環境改善を加速した
shoota
1
230
小さく始める AI 活用推進 ― 日経電子版 Web チームの事例/nikkei-tech-talk47
nikkei_engineer_recruiting
0
300
就職⽀援サービスにおけるキャリアアドバイザーのシフトスケジューリング
recruitengineers
PRO
1
150
アジャイルな経理と Claude Code と 経営の未来
kawaguti
PRO
3
160
When Platform Engineering Meets GenAI
sucitw
0
130
Oracle AI Database@Google Cloud:サービス概要のご紹介
oracle4engineer
PRO
6
1.6k
ロボティクスの技術 / Robotics Technology
ks91
PRO
0
110
Kiroで書いた 設計書 が AI レビューの 採点基準 になる
ezaki
0
130
インシデントレスポンス演習 I / Incident Response Exercise I
ks91
PRO
0
100
Oracle AI Database@AWS:サービス概要のご紹介
oracle4engineer
PRO
4
3k
Featured
See All Featured
Marketing to machines
jonoalderson
1
5.5k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.5k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
49
10k
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.3k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
730
The Cost Of JavaScript in 2023
addyosmani
55
10k
Navigating the moral maze — ethical principles for Al-driven product design
skipperchong
2
390
Side Projects
sachag
455
43k
Public Speaking Without Barfing On Your Shoes - THAT 2023
reverentgeek
1
430
Producing Creativity
orderedlist
PRO
348
40k
Information Architects: The Missing Link in Design Systems
soysaucechin
0
970
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
55k
Transcript
もう見ましたか? OWASP Top 10 2021 OWASP Kansai ボードメンバー 武繁 真一
オワスプナイトカンサイ 2021.11 ~少し早めの忘年会~ 2021.11.24
https://owasp.org/Top10/ja/ OWASP TOP 10 2021の紹介 2021年9月24日リリース OWASP TOP 10の主要な目的は、開発者、デザイナー、アーキテクト、マ ネージャ、組織に、最も一般的かつ最も重要なWebアプリケーションセキュ
リティの弱点の影響について教育することです。また、これらのリスクの高 い問題のある領域を守るための基本的なテクニックを提供し、現時点からど こへ進めるべきなかについてのガイダンスを提供します。 (OWASP TOP 10 2017から抜粋)
2003年 初版リリース 2004年 小変更 2007年 小変更 2010年 普及度だけではなく、リスクによって順位を刷新 2013年 重要な脆弱性を含めるため、一つのカテゴリを2010年版からより包括的に拡大
2017年 企業から寄せられた40以上のデータと、500人以上の業界調査に基づいて作成 2021年 これまで以上にデータを重視。10項目のうち8項目は提供された データから、2項目は業界調査から高いレベルで選定。 沿革
使用上の注意をよく読み、用法・要領を守って正しく使いましょう! OWASP Top 10 は、主に意識向上を目的とした文書です。 OWASP トップ 10 をコーディングやテストの基準として使用したい場合は、 それが最低限のものであり、出発点に過ぎないことを知っておいてください。
<https://owasp.org/Top10/ja/A00_2021_How_to_use_the_OWASP_Top_10_as_a_standard/> OWASP Top 10 を使ってアプリケーションセキュリティプログラムを始め るには、これまでは OWASP Top 10 は、アプリケーションセキュリティプ ログラムの基礎となるようには設計されていませんでした。 しかしアプリケーションセキュリティの道を歩み始めたばかりの多くの組織 にとっては、基礎となる物が不可欠です。 OWASP Top 10 2021 は、チェックリストなどのベースラインとしては良 いスタートとなりますが、それだけでは十分ではありません。 <https://owasp.org/Top10/ja/A00_2021-How_to_start_an_AppSec_program_with_the_OWASP_Top_10/>
A11:2021 – Next Stepsにも注目 OWASPトップ10は、建て付け上、最も重要な10のリスクに限定されています。 OWASPトップ10に掲載するかどうか、長時間の検討を要した「ぎりぎり境界 線」のリスクで、最終的には掲載されなかったものがあります。アプリケー ションセキュリティプログラムを成熟させるべく取り組んでいる企業や、適用 範囲を広げたいと考えているセキュリティコンサルタント会社あるいは製品 ツールベンダーは、以下の4つの問題については、識別したり修正したりする
努力を傾ける価値があります。 ソースコードの品質にかかわる問題 サービス拒否攻撃(DoS) Memory Management Errors Security Control Failures <https://owasp.org/Top10/ja/A11_2021-Next_Steps/>
The OWASP TOP10補足サイトに注目 <https://www.owasptopten.org/>
クロスサイトスクリプティング インジェクション 安全でないで デシリアライゼーション 既知の脆弱性のある コンポーネントの使用 認証の不備 不適切なセキュリティ設定 XML 外部エンティティ参照(XXE)
機微な情報の露出 アクセス制御の不備 不十分なロギングとモニタリング 2017年のトップ10のリスクカテゴリー間の相互作用 <https://www.owasptopten.org/thedata> The OWASP TOP10補足サイトに注目
A1:2021 アクセス制御の不備 A2:2021 暗号化の失敗 A3:2021 インジェクション A5:2021 セキュリティの設定ミス A6:2021 脆弱で古くなったコンポーネント
A7:2021 識別と認証の 失敗 A10:2021 セキュリティログとモニタリングの失敗 A4:2021 安全が確認されない 不安な設計 A5に包含 A8:2021 ソフトウェアとデータの 整合性の不具合 2021年のトップ10に当てはめるとこんな感じかな? The OWASP TOP10補足サイトに注目
定番 〇 〇 〇 〇 2003 2004 2007 2010 2013
2017 2021 Broken Access Control アクセス制御の不備 - - - - - A05[NEW] A01 Cryptographic Failures 暗号化の失敗 A08 A08[RNM] A08 A07 A06[RNM] A03 A02[RNM] Injection インジェクション A06 A06[RNM] A02 A01[RNM] A01 A01 A03 Insecure Design 安全が確認されない不安な設計 - - - - - - A04[NEW] Security Misconfiguration セキュリティの設定ミス A10 A10[RNM] - A06 A05 A06 A05 Vulnerable and Outdated Components 脆弱で古くなったコンポーネント - - - - A09[NEW] A09 A06[RNM] Identification and Authentication Failures 識別と認証の失敗 A03 A03 A07 A03 A02 A02[RNM] A07[RNM] Software and Data Integrity Failures ソフトウェアとデータの整合性の不具合 - - - - - - A08[NEW] Security Logging and Monitoring Failures セキュリティログとモニタリングの失敗 - - - - - A10[NEW] A09[RNM] Server-Side Request Forgery(SSRF) サーバーサイド・リクエスト・フォージェリ - - - - - - A10[NEW] Cross Site Scripting (XSS) クロスサイトスクリプティング(XSS) A04 A04 A01 A02 A03 A07 - Insecure Direct Object Reference 安全でないオブジェクトへの直接参照 - A02 A04 A04 A04 - - Missing Functional Level Access Control 機能レベルのアクセス制御の不足 A02 A02[RNM] A10 A08 A07[RNM] - - Insecure Communications 安全でない通信 - - A09[NEW] A09 - - - XML External Entities(XXE) XML外部エンティティ参照(XXE) - - - - - A04[NEW] - Insecure Deserialization 安全でないでデシリアライゼーション - - - - - A08[NEW] - Cross Site Request Forgery (CSRF) クロスサイトリクエストフォージェリ(CSRF) - - A05[NEW] A05 A08 - - Unvalidated Redirects and Forwards 未検証のリダイレクトと転送 - - - A10[NEW] A10 - - Information Leakage and Improper Error Handling情報漏洩と不適切なエラー処理 A07 A07 A06 - - - - Malicious File Execution 悪意のあるファイルの実行 - - A03[NEW] - - - - Unvalidated Input 未検証の入力 A01 A01 - - - - - Buffer Overflows バッファオーバーフロー A05 A05 - - - - - Denial of Service サービス拒否 - A09 - - - - - Insecure Configuration Management 安全でない構成管理 - A10 - - - - - Remote Administration Flaws リモート管理の欠陥 A09 - - - - - - [NEW]:新規追加 [RNM]:名称変更 Releases OWASP Top Ten Entries (Unordered) 歴史が凝縮された旨味に注目
2003 2004 2007 2010 2013 2017 2021 OWASP TOP10を関西名物で例えるなら
2003 2004 2007 2010 2013 2017 2021 セキュリティ界のどろソース どろソース<https://www.oliversauce.com/products/257/> OWASP
TOP10を関西名物で例えるなら
最後に × =?
ご清聴ありがとうございました 以上
owaspkansai
subroh0508
yoshimi0227
shoota
nikkei_engineer_recruiting
recruitengineers
kawaguti
sucitw
oracle4engineer
ks91
ezaki
jonoalderson
kevinliebholz
mongodb
ivargrimstad
.jpg){kind=avatar}
cargoodrich
addyosmani
skipperchong
sachag
reverentgeek
orderedlist
soysaucechin
destraynor
