Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OWASP_Kansai_LT3_211124.pdf
Search
OWASP Kansai
November 27, 2021
Technology
260
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
OWASP_Kansai_LT3_211124.pdf
OWASP Kansai
November 27, 2021
More Decks by OWASP Kansai
See All by OWASP Kansai
owaspkansaiday-lt1-260214
owaspkansai
0
36
OWASP KansaiDAY 2025.09_文系OSINTハンズオン
owaspkansai
0
150
OWASP Kansai DAY 2024.09 〜10周年記念セキュリティ・マシマシ全部盛り〜/OWASPKansai_10thanniv_240921
owaspkansai
0
140
孫に買ったプログラミング教材がすごかった話/owaspkansainight-lt3-220727
owaspkansai
0
690
ファームウェア解析に触れてみよう!/OWASPKansai_FSTM_230422
owaspkansai
0
1.6k
事前準備_ファームウェア解析に触れてみよう!
owaspkansai
0
450
ECサイトの脆弱性診断をいい感じにやりたい/OWASPKansaiNight_LT1_220727
owaspkansai
0
1.1k
デジタル・ディバイドについて/OWASPKansaiNight_LT2_220216
owaspkansai
0
620
ITセキュリティにおける社外活動と社内活動の一事例 / Lifehack on cyber security
owaspkansai
0
310
Other Decks in Technology
See All in Technology
AICoEでAIネイティブ組織への進化
yukiogawa
0
170
「ちゃんとやっている」は独りよがりだった ― 不安に寄り添うインシデント対応へ / Towards incident response that addresses anxieties
chmikata
1
5.1k
“それは自分の仕事じゃない"を越えて行け
yuukiyo
0
190
GuardrailからGovernanceへ~AIエージェント運用の次の課題~
sbspsy
2
270
公式ドキュメントの歩き方etc
coco_se
0
100
個人開発で育てる「大規模設計の苗床」 - AI時代の1人開発から始める業務への知識接続 / The Seedbed for Large-Scale Design - From AI-Era Solo Projects to Professional Knowledge
bitkey
PRO
0
170
SRE Next 2026 何でも屋からの脱却
bto
0
670
非定型なドキュメントを効率よくリファクタする 〜えぇ!?仕様書27本の移行が1日で終わったって!?〜
subroh0508
1
370
Foxgloveについて 実際にExtensionを開発して公開するまでの話 / About Foxglove: The Story of Developing and Releasing an Extension
ry0_ka
0
210
AI時代の開発生産性は、個人技からチーム設計へ
moongift
PRO
3
270
最近評価が難しくなった
maroon8021
0
340
DMM.com 購入改善推進チーム におけるCodeRabbitを用いた レビューフロー改善の一例
ysknsid25
2
620
Featured
See All Featured
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
141
35k
Docker and Python
trallard
47
3.9k
Documentation Writing (for coders)
carmenintech
77
5.4k
More Than Pixels: Becoming A User Experience Designer
marktimemedia
3
460
Paper Plane (Part 1)
katiecoart
PRO
0
9.6k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
970
Skip the Path - Find Your Career Trail
mkilby
1
170
<Decoding/> the Language of Devs - We Love SEO 2024
nikkihalliwell
1
270
It's Worth the Effort
3n
188
29k
Discover your Explorer Soul
emna__ayadi
2
1.2k
16th Malabo Montpellier Forum Presentation
akademiya2063
PRO
0
200
The innovator’s Mindset - Leading Through an Era of Exponential Change - McGill University 2025
jdejongh
PRO
1
220
Transcript
もう見ましたか? OWASP Top 10 2021 OWASP Kansai ボードメンバー 武繁 真一
オワスプナイトカンサイ 2021.11 ~少し早めの忘年会~ 2021.11.24
https://owasp.org/Top10/ja/ OWASP TOP 10 2021の紹介 2021年9月24日リリース OWASP TOP 10の主要な目的は、開発者、デザイナー、アーキテクト、マ ネージャ、組織に、最も一般的かつ最も重要なWebアプリケーションセキュ
リティの弱点の影響について教育することです。また、これらのリスクの高 い問題のある領域を守るための基本的なテクニックを提供し、現時点からど こへ進めるべきなかについてのガイダンスを提供します。 (OWASP TOP 10 2017から抜粋)
2003年 初版リリース 2004年 小変更 2007年 小変更 2010年 普及度だけではなく、リスクによって順位を刷新 2013年 重要な脆弱性を含めるため、一つのカテゴリを2010年版からより包括的に拡大
2017年 企業から寄せられた40以上のデータと、500人以上の業界調査に基づいて作成 2021年 これまで以上にデータを重視。10項目のうち8項目は提供された データから、2項目は業界調査から高いレベルで選定。 沿革
使用上の注意をよく読み、用法・要領を守って正しく使いましょう! OWASP Top 10 は、主に意識向上を目的とした文書です。 OWASP トップ 10 をコーディングやテストの基準として使用したい場合は、 それが最低限のものであり、出発点に過ぎないことを知っておいてください。
<https://owasp.org/Top10/ja/A00_2021_How_to_use_the_OWASP_Top_10_as_a_standard/> OWASP Top 10 を使ってアプリケーションセキュリティプログラムを始め るには、これまでは OWASP Top 10 は、アプリケーションセキュリティプ ログラムの基礎となるようには設計されていませんでした。 しかしアプリケーションセキュリティの道を歩み始めたばかりの多くの組織 にとっては、基礎となる物が不可欠です。 OWASP Top 10 2021 は、チェックリストなどのベースラインとしては良 いスタートとなりますが、それだけでは十分ではありません。 <https://owasp.org/Top10/ja/A00_2021-How_to_start_an_AppSec_program_with_the_OWASP_Top_10/>
A11:2021 – Next Stepsにも注目 OWASPトップ10は、建て付け上、最も重要な10のリスクに限定されています。 OWASPトップ10に掲載するかどうか、長時間の検討を要した「ぎりぎり境界 線」のリスクで、最終的には掲載されなかったものがあります。アプリケー ションセキュリティプログラムを成熟させるべく取り組んでいる企業や、適用 範囲を広げたいと考えているセキュリティコンサルタント会社あるいは製品 ツールベンダーは、以下の4つの問題については、識別したり修正したりする
努力を傾ける価値があります。 ソースコードの品質にかかわる問題 サービス拒否攻撃(DoS) Memory Management Errors Security Control Failures <https://owasp.org/Top10/ja/A11_2021-Next_Steps/>
The OWASP TOP10補足サイトに注目 <https://www.owasptopten.org/>
クロスサイトスクリプティング インジェクション 安全でないで デシリアライゼーション 既知の脆弱性のある コンポーネントの使用 認証の不備 不適切なセキュリティ設定 XML 外部エンティティ参照(XXE)
機微な情報の露出 アクセス制御の不備 不十分なロギングとモニタリング 2017年のトップ10のリスクカテゴリー間の相互作用 <https://www.owasptopten.org/thedata> The OWASP TOP10補足サイトに注目
A1:2021 アクセス制御の不備 A2:2021 暗号化の失敗 A3:2021 インジェクション A5:2021 セキュリティの設定ミス A6:2021 脆弱で古くなったコンポーネント
A7:2021 識別と認証の 失敗 A10:2021 セキュリティログとモニタリングの失敗 A4:2021 安全が確認されない 不安な設計 A5に包含 A8:2021 ソフトウェアとデータの 整合性の不具合 2021年のトップ10に当てはめるとこんな感じかな? The OWASP TOP10補足サイトに注目
定番 〇 〇 〇 〇 2003 2004 2007 2010 2013
2017 2021 Broken Access Control アクセス制御の不備 - - - - - A05[NEW] A01 Cryptographic Failures 暗号化の失敗 A08 A08[RNM] A08 A07 A06[RNM] A03 A02[RNM] Injection インジェクション A06 A06[RNM] A02 A01[RNM] A01 A01 A03 Insecure Design 安全が確認されない不安な設計 - - - - - - A04[NEW] Security Misconfiguration セキュリティの設定ミス A10 A10[RNM] - A06 A05 A06 A05 Vulnerable and Outdated Components 脆弱で古くなったコンポーネント - - - - A09[NEW] A09 A06[RNM] Identification and Authentication Failures 識別と認証の失敗 A03 A03 A07 A03 A02 A02[RNM] A07[RNM] Software and Data Integrity Failures ソフトウェアとデータの整合性の不具合 - - - - - - A08[NEW] Security Logging and Monitoring Failures セキュリティログとモニタリングの失敗 - - - - - A10[NEW] A09[RNM] Server-Side Request Forgery(SSRF) サーバーサイド・リクエスト・フォージェリ - - - - - - A10[NEW] Cross Site Scripting (XSS) クロスサイトスクリプティング(XSS) A04 A04 A01 A02 A03 A07 - Insecure Direct Object Reference 安全でないオブジェクトへの直接参照 - A02 A04 A04 A04 - - Missing Functional Level Access Control 機能レベルのアクセス制御の不足 A02 A02[RNM] A10 A08 A07[RNM] - - Insecure Communications 安全でない通信 - - A09[NEW] A09 - - - XML External Entities(XXE) XML外部エンティティ参照(XXE) - - - - - A04[NEW] - Insecure Deserialization 安全でないでデシリアライゼーション - - - - - A08[NEW] - Cross Site Request Forgery (CSRF) クロスサイトリクエストフォージェリ(CSRF) - - A05[NEW] A05 A08 - - Unvalidated Redirects and Forwards 未検証のリダイレクトと転送 - - - A10[NEW] A10 - - Information Leakage and Improper Error Handling情報漏洩と不適切なエラー処理 A07 A07 A06 - - - - Malicious File Execution 悪意のあるファイルの実行 - - A03[NEW] - - - - Unvalidated Input 未検証の入力 A01 A01 - - - - - Buffer Overflows バッファオーバーフロー A05 A05 - - - - - Denial of Service サービス拒否 - A09 - - - - - Insecure Configuration Management 安全でない構成管理 - A10 - - - - - Remote Administration Flaws リモート管理の欠陥 A09 - - - - - - [NEW]:新規追加 [RNM]:名称変更 Releases OWASP Top Ten Entries (Unordered) 歴史が凝縮された旨味に注目
2003 2004 2007 2010 2013 2017 2021 OWASP TOP10を関西名物で例えるなら
2003 2004 2007 2010 2013 2017 2021 セキュリティ界のどろソース どろソース<https://www.oliversauce.com/products/257/> OWASP
TOP10を関西名物で例えるなら
最後に × =?
ご清聴ありがとうございました 以上