SlideShare a Scribd company logo

OWASP Top 10 2017 RC1について

Download as PPTX, PDF
D
Daiki Ichinose

y8-2017-spring発表資料 OWASP Top 10 2017 RC1

Internet
1 of 62
OWASP Top 10 2017 RC1について 2017/5/27 y8 2017 in shibuya @mahoyaya
アジェンダ  自己紹介  OWASPについて  OWASP Top 10について  OWASP Top 10 2013 概要  OWASP Top 10 2013 詳細(抜粋)  OWASP Top 10 2017 概要  OWASP Top 10 2017 変更差分  OWASPの成果物を活用しよう
@mahoyaya  Name: 一ノ瀬 太樹  Work : セキュリティエンジニア  Twitter: @mahoyaya  blog: http://mahoyaya.hateblo.jp  GitHub: https://github.com/mahoyaya  Affiliation: Perl入学式 東京 サポーター OWASP Japan プロモーションチーム 脆弱性診断研究会 OWASP ZAP User Group EGセキュアソリューションズ株式会社 (旧HASHコンサルティング株式会社) YAPC::Kansai での発表資料はこちら https://www.slideshare.net/daiicn/owasp-top-10-72778895
What is OWASP? OWASPは安全なソフトウェアの設計・開発・習 得・運用と維持 に関する活動を支援する、非営利の団体。 OWASPのツールやドキュメントなど、すべての成果物は無料で 利用可能。 誰でも参加可能。
国際的なコミュニティ
日本では?  OWASP Japan 2012.3  OWASP Kansai 2014.3  OWASP Kyushu 2015.3  OWASP Sendai 2016.1  OWASP Fukushima 2016.2  OWASP Okinawa 2016.2  OWASP Natori 2017 <- NEW! OWASP NightやOWASP DAYといった定期的な勉強会を実施し ています。
どんなプロジェクトがあるの? 現時点で100以上の成果物が公開されています https://www.owasp.org/index.php/Category:OWASP_Project
工程別に活用可能な資料・ツールの紹介 https://speakerdeck.com/owaspjapan/owasp-contents-reference
日本独自の成果物
OWASPの成果物で最も規模が大きい!!CHEAT SHEET SERIES 概要 Builder(開発)、Breaker(テスト)、Defender(運用・保守)を対象にセキュ リティを高めるための知識/機能を実装するための方法論を紹介 特徴 ドラフト版を含めて2015年10月時点で48ものチートシートが公開され、いずれ も頻繁に更新されている
OWASPの成果物で最も規模が大きい!!CHEAT SHEET SERIES 設計・開発時に活用したいチートシートが多数存在 機能の安全な実装手法や脆弱性への対策などを紹介
OWASPの成果物で最も規模が大きい!!CHEAT SHEET SERIES 2016年12月、チートシートシリーズ概要日本語版(2016年版)を公開しました! 「JPCERTの資料へのリンク付き」 「JPCERT以降に公開されたチート シートにも対応」 2016年版では全部で60のチートシートに なっています。 短縮URL: https://goo.gl/fNPGwB
WEB以外は・・・  OWASP Mobile Top 10  https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10  OWASP IOT Top 10  https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf  OWASP Embedded Application Security  https://www.owasp.org/index.php/OWASP_Embedded_Application_Security
OWASP Top 10
OWASP Top 10とは? OWASP Top 10 の主要目的は、最も重要なWebアプリケー ションセキュリティ上の弱点を、開発者、デザイナー、アー キテクト、 管理者および組織に教育すること。 Top10は、リスクの高い問題に対する基本的な保護手法、お よび次ステップへのガイダンスを提供します。 OWASP Top 10 2013 日本語版 https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
OWASP Top 10 2017 RC1 https://github.com/OWASP/Top10/raw/master/2017/OWASP%20Top%2010%20- %202017%20RC1-English.pdf
OWASP Top 10 - 2013 概要
OWASP Top 10 – 2013 概要 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
OWASP Top 10 - 2013 詳細(抜粋)
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A1-インジェクション • 不動の1位である危険な脆弱性 • 多くの場合、信頼境界を越えて送信されるデータをアプ リケーションがそのまま利用することで起こる • インジェクションの 問題は、SQLクエリ、LDAPクエリ、 XPathクエリ、NoSQLクエリ、OSコマンド、 プログラム 引数などで発見される • インジェクションの欠陥は、コードを検査すれば検出が 容易な場合が多い • memcachedなど外部公開不要なサービスを公開した結 果、直接値を入力されることもあるので注意
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A2-認証とセッション管理の不備 • ECサイトなどセッション管理が必要なアプリケーション でおこる • ログイン情報の平文送信 • 手作りのセッション管理機能 • セッションIDの漏洩 • アプリケーション機能を利用時の認証状態確認不備 • ログアウト機能の実装不備 • パスワード関連機能の実装不備
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A3-クロスサイトスクリプティング(XSS) • セキュリティエンジニアが大好きな脆弱性(誤 • 信頼境界を越えて入力された値を適切に検証していない、 入力データの中身をエスケープせずにブラウザに送ると おこる • 反射型、蓄積型、DOMベースの3種類 • 内部ソースを含め、ほぼ全てのデータソースに攻撃可能 • セッションIDの窃取、コンテンツ改ざん、リダイレクト、 マルウェア感染 • 正規サイトのドメインを利用したフィッシング • DOMベースはサーバ通信を介さない
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A4-安全でないオブジェクトの直接参照 • いわゆる認可制御の不備 • 権限を持たないユーザーが情報を参照したり、機能を実 行したりできる状態 • ユーザーが入力するパラメータを改変することにより、 利用できないはずの機能が利用できてしまうなど
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A5-セキュリティ設定のミス • 脆弱なソフトウェア利用 • HSTSの利用不備 • HTTPアクセス時にリダイレクトしていない • 不要な機能の有効化 • SSHでのrootログイン、管理画面のアクセス制限 • httpdのディレクトリスティング • デフォルトのログインアカウント • フレームワークやライブラリのセキュリティ • スタックトレースなどエラー情報が表示設定のまま • サンプルアプリケーションの脆弱性 • セッションIDのURLパラメータ化
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A6-機密データの露出 • 機密情報の平文保存 • 危殆化した暗号化術の利用 • 不適切なヘッダ情報 • キャッシュ制御の不備 • バックアップファイル • wp-config.php.bak, wp-config.php~
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A7-機能レベルアクセス制御の欠落 • リクエストに対する適切なアクセス制御処理を実施して いない • ログインしていなくても、URLを直打ちすれば機能が 利用できる • ログインさえしていれば、URLを直打ちしてロールの 制限を超えた機能が利用できる • ゲストや一般ログインユーザーの不正行為 • 機微情報の閲覧・改ざん、チート行為、不正送金
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A8-クロスサイトリクエストフォージェリ(CSRF) • 攻撃者が被害者になりすまして機能を実行する攻撃 • 偽造したリクエストを被害者のブラウザが持っている情 報を利用して送信させる • 被害者のブラウザが持っている正規の情報で送信される ため、受信したサーバ側では攻撃と判断できない(しに くい) • 標的型攻撃で使われると厄介 • CSRF脆弱性のあるパスワード変更機能など • 間接的な攻撃でわかりにくく理解できていない人も多い • 被害者の操作が必要になるため、危険度は低くなりがち
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A9-既知の脆弱性を持つコンポーネントの使用 • 古いバージョンのソフトウェアは大体脆弱性がある • パッチは新しいものにだけ出る場合が多い • 1つの脆弱なコンポーネントがあることにより、全体が 侵される場合も
OWASP Top 10 – 2013 A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
A10-未検証のリダイレクトとフォワード • 信頼境界をこえて入ってきた外部入力値をそのまま利用 • hiddenフィールドにURLを埋め込んでいるなど • 悪意のあるURLに書き換えたリンクに付け替えて罠を設 置できる • 被害者はフィッシング詐欺やマルウェア感染被害の 恐れがある • ユーザー入力値の転送先がパラメータ指定されており、 改変によって送信先を変更できる • 情報漏えい • 脆弱性を利用されたサイトは風評被害のリスクも
OWASP Top 10 – 2013 概要(再掲) A1 – インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード
OWASP Top 10 – 2017 RC1 概要
OWASP Top 10 – 2017 RC1 概要
OWASP Top 10 – 2017 RC1 概要 OWASP Top 10 2013 OWASP Top 10 2017 RC1 A1 – インジェクション A1 - インジェクション A2 – 認証とセッション管理の不備 A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A3 – クロスサイトスクリプティング(XSS) A4 – 安全でないオブジェクト直接参照 A4 – アクセスコントロールの不備 A5 – セキュリティ設定のミス A5 – セキュリティ設定のミス A6 – 機密データの露出 A6 – 機密データの露出 A7 – 機能レベルアクセス制御の欠落 A7 – 不十分な防御機能 A8 – クロスサイトリクエストフォージェリ(CSRF) A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 未検証のリダイレクトとフォーワード A10 – 保護されていないAPI
OWASP Top 10 – 2017 RC1 変更差分
OWASP Top 10 – 2017 RC1 A1 - インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – アクセスコントロールの不備 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 不十分な防御機能 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 保護されていないAPI
A4-アクセスコントロールの不備 • 2013ではより注意を促すために「A4-安全でないオブジェクト直 接参照」と「A7-機能レベルアクセス制御の欠落」に分割されて いたが2017RC1で統合された • アプリケーションやAPIでリクエストに対する適切なアクセス制御 処理を実施していない • ログインしていなくても、URLを直打ちすれば機能が利用でき る • ログインさえしていれば、URLを直打やパラメータを改変した リクエストをすればロールの制限を超えた機能が利用できる • URLは容易に推測可能なことが多い • ゲストや一般ログインユーザーの不正行為 • 機微情報の閲覧・改ざん、チート行為、不正送金
A4-アクセスコントロールの不備 対策 • 統一された利用しやすい認可制御モジュールの設計 • 全ての機能で認可制御とそのテストを実施 • 制御メカニズムはデフォルトですべてを拒否し、相応しいロール を要求 • ユーザーが改変可能なパラメータをオブジェクトの呼び出しに直 接利用しない • ユーザーがパラメータを改変しても意味がないようにホワイトリ ストにする • ドロップダウンリストで番号選択させ、DBで機能とマッピン グする • 機能を表示しない設計は緩和策であり、対策ではない
OWASP Top 10 – 2017 RC1 A1 - インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – アクセスコントロールの不備 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 不十分な防御機能 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 保護されていないAPI
A7-不十分な防御機能 • アプリケーション自体には攻撃への防御機能が不足していると考 えられており、2017RC1で追加された • アプリケーションやAPIは、攻撃の検出、防止、応答するための基 本的な機能が不足している • アプリケーションやAPIは、攻撃から保護するためにパッチ適用を 迅速に実施できるようにする必要もある • WAF、RASP、OWASP AppSensorなどのテクノロジーを使用して、 攻撃を検出またはブロックしたり、脆弱性を仮想的に修正したり することができる
A7-不十分な防御機能 対策
A7-不十分な防御機能 私見 • Struts2(S2-045,046)の脆弱性が与えた影響を考えると即時パッ チ適用を促す点に関しては時代を反映した良カテゴリ • 仮に即時パッチが適用できていればStruts2の問題も大きな問 題にはならなかった ※実現性は別 • アプリやAPIが攻撃を”検知”できないこと自体は脆弱性ではないの でここに載るのは変な気がする • WAFとかRASPでセキュリティ防御機能を補うという対策案が記載 れているが・・・ • 現実問題として即時パッチ適用が難しいので、WAFやIPSなど を入れろという流れになってしまうのでは? • OSSだとmod_securityだけど・・・
A7-不十分な防御機能 OWASP MLの様子 0 20 40 60 80 100 120 January February March April May メール件数 メール件数
A7-不十分な防御機能 海外の反応(意訳) • OWASP TOP 10の最新案でA7に「Insufficient Attack Protection」と かいうエントリが追加されて「攻撃を検出して対処できないこ と」が重大なリスクとか言い始めててマジヤバイ。 • 攻撃を検出できないのは脆弱性じゃないよ。 • OWASPコミュニティ内の人がとったのアンケートでは、110人の 回答者のうち80%が削除されるべきだって回答してるぜ。 • OWASPのベンダー中立性に深刻な懸念がある。
A7-不十分な防御機能 海外の反応(意訳) • 今すぐすべてのWebアプリケーションにWAF機能を再実装しろっ てことですか?真面目に考えてください。 • バックグラウンドにあるデータの透明性が問題だ。 • 文字数に制限があるから仕方ないけど、もうちょっと網羅的に書 いたほうがいいのでは? • 不正な入力検証 • アプリケーションの更新/修正のサポートが不十分 • 不十分なログまたはレポート • レート制限の欠如
OWASP Top 10 – 2017 RC1 A1 - インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – アクセスコントロールの不備 A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 不十分な防御機能 A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 保護されていないAPI
A10-保護されていないAPI • 近年のアプリケーションはAPI接続が行われることがよくあるが、 適切に保護されずに脆弱性が存在していることが多い • APIに対しても従来のWebアプリケーションに対する脆弱性テス トと同様にテストを実施する必要がある • API向けの外部入力値がエスケープされずに利用されており SQLインジェクションが発生 • リクエストパラメータの改変で別のユーザーになりすまし • APIはプログラムが利用するように設計されるため、複雑なプロト コルやデータ構造になりがち • Swagger(OpenAPI)、REST、JSON、XMLなど、広く使用されて いるフォーマットを使用することが良い • 複雑なAPI仕様は、効果的なセキュリティテストやその自動化を困 難に!!
A10-保護されていないAPI 対策 • クライアントとAPI間の通信は暗号化 • API通信の認証機能が強固であること • すべての資格証明、鍵、トークンが保護されていること • パーサーが攻撃に対して強固であること • リクエストのデータフォーマットに何を利用しているか • APIの不正呼び出しを防止するためのアクセス制御方式を実装 • すべてのフォームでインジェクションに対して防護されているか • これらの攻撃は通常のアプリケーション同様に実行可能 • すべてのAPIでテストを実施
OWASP Top 10のランキングに載ってい るものが全てではない!
今のところランク外のリスクたち • Clickjacking (CAPEC-103) • Denial of Service (CWE-400) (Was 2004 Top 10 – Entry 2004-A9) • Deserialization of Untrusted Data (CWE-502) For defenses, see: OWASP Deserialization Cheat Sheet • Expression Language Injection (CWE-917) • Information Leakage (CWE-209) and Improper Error Handling (CWE-388) (Was part of 2007 Top 10 – Entry 2007-A6) • Hotlinking Third Party Content (CWE-829) • Malicious File Execution (CWE-434) (Was 2007 Top 10 – Entry 2007-A3) • Mass Assignment (CWE-915) • Server-Side Request Forgery (SSRF) (CWE-918) • Unvalidated Redirects and Forwards (CWE-601) (Was 2013 Top 10 – Entry 2013- A10) • User Privacy (CWE-359)
ということで
OWASPの成果物を活用しよう • セキュアなアプリケーション開発には反復可能なセキュ リティプロセスと標準セキュリティ制御の確立が重要 • 要件定義にOWASP ASVSの活用 • 設計にOWASP Cheat Sheet • フレームワークのセキュリティ機能を最大限に活用 • セキュアな開発ライフサイクルのスコアリングフ レームワークにOpenSAMM • ペネトレにOWASP Testing Guide
ありがとうございました

Recommended

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...Typhon 666
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for BeginersTyphon 666
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵Riotaro OKADA
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 

Recommended

今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10今だからこそ振り返ろう!OWASP Top 10
今だからこそ振り返ろう!OWASP Top 10Daiki Ichinose
 
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...
20181108 Participation record SANS SEC545: Cloud Security Architecture and Op...Typhon 666
 
20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for Beginers20181219 Introduction of Incident Response in AWS for Beginers
20181219 Introduction of Incident Response in AWS for BeginersTyphon 666
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASPRiotaro OKADA
 
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインアプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェインRiotaro OKADA
 
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達zaki4649
 
セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵セキュア開発の&lt;s>3つの&lt;/s>敵
セキュア開発の&lt;s>3つの&lt;/s>敵Riotaro OKADA
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~Hiroshi Tokumaru
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 
20220113 my seeking_sre_v3
20220113 my seeking_sre_v320220113 my seeking_sre_v3
20220113 my seeking_sre_v3Ayachika Kitazaki
 
Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOnmasafumi masutani
 
Morning Session - AWS Serverless Ways
Morning Session - AWS Serverless WaysMorning Session - AWS Serverless Ways
Morning Session - AWS Serverless Waysakitsukada
 

More Related Content

What's hot

OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0Riotaro OKADA
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other MeasuresTyphon 666
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)Sen Ueno
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはRiotaro OKADA
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとはRiotaro OKADA
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016Riotaro OKADA
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかSen Ueno
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクションzaki4649
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうRiotaro OKADA
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーYasuo Ohgaki
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについてTyphon 666
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法Riotaro OKADA
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-Typhon 666
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座Riotaro OKADA
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADARiotaro OKADA
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!zaki4649
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...Typhon 666
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASPRiotaro OKADA
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみたAkitsugu Ito
 

What's hot (20)

OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
 
OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)OWASPの歩き方(How to walk_the_owasp)
OWASPの歩き方(How to walk_the_owasp)
 
アプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するにはアプリケーションのシフトレフトを実践するには
アプリケーションのシフトレフトを実践するには
 
超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは超高速開発を実現するチームに必要なセキュリティとは
超高速開発を実現するチームに必要なセキュリティとは
 
4 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 20164 Enemies of DevSecOps 2016
4 Enemies of DevSecOps 2016
 
なぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのかなぜ自社で脆弱性診断を行うべきなのか
なぜ自社で脆弱性診断を行うべきなのか
 
とある診断員とSQLインジェクション
とある診断員とSQLインジェクションとある診断員とSQLインジェクション
とある診断員とSQLインジェクション
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
セキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャーセキュアなソフトウェアアーキテクチャー
セキュアなソフトウェアアーキテクチャー
 
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
 
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
 
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
 
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADAビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
 
flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!flaws.cloudに挑戦しよう!
flaws.cloudに挑戦しよう!
 
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
 
The Shift Left Path and OWASP
The Shift Left Path and OWASPThe Shift Left Path and OWASP
The Shift Left Path and OWASP
 
Owasp Project を使ってみた
Owasp Project を使ってみたOwasp Project を使ってみた
Owasp Project を使ってみた
 
20220113 my seeking_sre_v3
20220113 my seeking_sre_v320220113 my seeking_sre_v3
20220113 my seeking_sre_v3
 

Similar to OWASP Top 10 2017 RC1について

Morning Session - AWS Serverless Ways
Morning Session - AWS Serverless WaysMorning Session - AWS Serverless Ways
Morning Session - AWS Serverless Waysakitsukada
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftRiotaro OKADA
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りShogo Matsumoto
 
Getting Started with Ruby on Rails4 + Twitter Bootstrap3
Getting Started with Ruby on Rails4 + Twitter Bootstrap3Getting Started with Ruby on Rails4 + Twitter Bootstrap3
Getting Started with Ruby on Rails4 + Twitter Bootstrap3Yukimitsu Izawa
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)Yuto Ichikawa
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security AutomationHayato Kiriyama
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014Hiroshi Tokumaru
 
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!SAS Institute Japan
 
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法シスコシステムズ合同会社
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Hiroshi Tokumaru
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omoKazuki Omo
 
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Yasuhiro Horiuchi
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会Hayato Kiriyama
 
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...Funada Yasunobu
 
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...Funada Yasunobu
 
Step by stepで学ぶTerraformによる監視付きAWS構築
Step by stepで学ぶTerraformによる監視付きAWS構築Step by stepで学ぶTerraformによる監視付きAWS構築
Step by stepで学ぶTerraformによる監視付きAWS構築Yo Takezawa
 

Similar to OWASP Top 10 2017 RC1について (20)

Owasp top10 HandsOn
Owasp top10 HandsOnOwasp top10 HandsOn
Owasp top10 HandsOn
 
Morning Session - AWS Serverless Ways
Morning Session - AWS Serverless WaysMorning Session - AWS Serverless Ways
Morning Session - AWS Serverless Ways
 
IoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift LeftIoT Security を実現する3つの視点とShift Left
IoT Security を実現する3つの視点とShift Left
 
AWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返りAWSSummitTokyo2017 SRCセッション振り返り
AWSSummitTokyo2017 SRCセッション振り返り
 
Getting Started with Ruby on Rails4 + Twitter Bootstrap3
Getting Started with Ruby on Rails4 + Twitter Bootstrap3Getting Started with Ruby on Rails4 + Twitter Bootstrap3
Getting Started with Ruby on Rails4 + Twitter Bootstrap3
 
AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)AWS WAF 全機能解説 @2021夏(文字化けあり)
AWS WAF 全機能解説 @2021夏(文字化けあり)
 
AWS WAF Security Automation
AWS WAF Security AutomationAWS WAF Security Automation
AWS WAF Security Automation
 
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
 
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!
SAS言語派集まれ!SAS StudioからSAS Viyaを使ってみよう!
 
AWS Black Belt - AWS Glue
AWS Black Belt - AWS GlueAWS Black Belt - AWS Glue
AWS Black Belt - AWS Glue
 
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
Cisco Connect Japan 2014:Cisco ASA 5500-X 次世代ファイアウォールの機能と、安定導入・運用方法
 
Serverless for VUI
Serverless for VUIServerless for VUI
Serverless for VUI
 
【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る【スカイアーチ】Webサイトを脆弱性攻撃から守る
【スカイアーチ】Webサイトを脆弱性攻撃から守る
 
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
 
Edb summit 2016_20160216.omo
Edb summit 2016_20160216.omoEdb summit 2016_20160216.omo
Edb summit 2016_20160216.omo
 
Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013Programming AWS with Perl at YAPC::Asia 2013
Programming AWS with Perl at YAPC::Asia 2013
 
クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会クラウドセキュリティの価値と機会
クラウドセキュリティの価値と機会
 
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラスタリ...
 
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...
[DB tech showcase Tokyo 2015] B37 :オンプレミスからAWS上のSAP HANAまで高信頼DBシステム構築にHAクラス...
 
Step by stepで学ぶTerraformによる監視付きAWS構築
Step by stepで学ぶTerraformによる監視付きAWS構築Step by stepで学ぶTerraformによる監視付きAWS構築
Step by stepで学ぶTerraformによる監視付きAWS構築
 

OWASP Top 10 2017 RC1について

Editor's Notes

  1. OWASPとは何か? 色々書いていますが、安全なソフトウェアを作るための活動を支援する非営利団体です。 成果物は全て無料で、誰でも参加できます! 定期的に勉強会も実施しています
  2. 2、3ヶ月に1回のミーティングや勉強会を行っています
  3. ModSecurity Core Rule Set
  4. OWASP Top 10は今やグローバルスタンダードで開発者が最低限考慮しなければならないものになっている OWASP Top 10にあるような簡単なセキュリティ問題を放置することは許されない 実例としてIPAが注意喚起していたSQLインジェクション対策を開発要件になかったという理由で実装しなかった開発会社に責任を問う判決がくだされている 2000万を超える損害賠償 一例に過ぎないが、開発者はこの判決を意識しておく必要がある
  5. OWASP Top 10は今やグローバルスタンダードで開発者が最低限考慮しなければならないものになっている OWASP Top 10にあるような簡単なセキュリティ問題を放置することは許されない 実例としてIPAが注意喚起していたSQLインジェクション対策を開発要件になかったという理由で実装しなかった開発会社に責任を問う判決がくだされている 2000万を超える損害賠償 一例に過ぎないが、開発者はこの判決を意識しておく必要がある
  6. OWASP Top10 2013ということで、そうです。2013なんです。 去年2016の公募ばされていたんですが、結局出なかったんですね。 とはいえ、2013の公開から3年経っているということもあるので、 今回みんなで振り返りましょうという企画です。 いろいろうんちくもありますが、中身は詳細で出てくるのでここはとばします。 え?2013? 2016は2016年中に出ませんでした。OWASP Japan内で聞いた感じではすぐには出ない雰囲気です。 とはいえ、OWASP Top 10 2013が発表されてから3年以上経過しているということもあり、振り返りのタイミングとしては良いと考えました。 前回の2010からはいくつか統合されたり、切り出されたりしています。 A6 は安全でない暗号化データの保管と不十分なトランスポート層保護が一緒になった A7 限定的な表現としてURLアクセスの失敗としていたが、より大きな枠として拡大された A9 既知の脆弱性を持つコンポーネントの使用はA5 セキュリティ設定のミスから個別に切り出されました またA1−5は若干順位が前後しているものの2010年のもので6位以内に入っていたものです。 ただし、A1 インジェクションは不動の1位として君臨しています。 A8のCSRFは5位から転落しています。ただし、これは危険ではないというわけではなく、検出数が減っているからという理由であり、 依然として対策すべきものです。脆弱性診断をしている側の肌感としてCSRFは多いです。
  7. では詳細に入ります
  8. 2016年はOSコマンドインジェクションが多かった IOT機器にOSコマンドインジェクション、対策もOSコマンドインジェクションでWebサーバの停止 imagemagicを利用したケータイキットのOSコマンドインジェクションは某テレビ局の個人情報流出で話題に CMSはMTだったけど呼び出しはPHPだった MySQLやStrutsも話題になりました
  9. 認証とセッション周り全般の脅威の話 代表的な攻撃手法はセッションフィクセーション(いわゆるセッション固定化攻撃)だが、大規模な事例としては聞いたことは無い。 ただし、この手の脆弱性は標的型で使われると思われ、表面化しにくいと思われる 仕様バグによるセッション情報やパスワード漏洩 たとえば、予測可能な乱数を利用したセッション管理 パスワードリマインダ機能から任意のメールアドレスに送信可能になっている で、対策ですが・・・
  10. 皆さんご存知でしょう。 ユーザー入力値をエスケープせずに出力することにより、JavaScriptが実行できてしまうというもの 書いている通り多くの被害が考えられます
  11. 機能レベルアクセス制御の欠落と似た話だけどこっちは認可制御 たとえば受信パラメータをコールバック関数名として埋め込んでいて外部から指定可能だったり ロール毎にウェブインターフェースの表示は変わるけど、認可制御をしているわけではないので、URLを知っていれば機能を利用できてしまうなど
  12. 2016年にWebDAVとその処理に関連する脆弱性を突いた情報漏えい事件 この中にSSLのは含まれないが、 先日20万サイトでHeartbleedの脆弱性が未だに残っているということで話題に RC4や3DESなど危殆化した暗号化技術の利用は診断していても多い HSTSの利用不備(リダイレクトしていない)
  13. 暗号化するべきデータが暗号化されていなかったり、弱いハッシュアルゴリズムを利用している XHRのAccess-Contro-Allow-Origin: *
  14. たとえばURLを知っていれば認証なしでアクセスできるなど 診断だと一般ユーザーから管理者になりすましてメッセージを添付ファイル付きで送信できたり、 管理者しか読めないメッセージが読めたりということがあった 管理者のみ取得可能な統計情報が一般ユーザーでダウンロード可能といったことも この統計情報にはユーザーID・会社名・個人名・利用時刻などが含まれていた
  15. 攻撃者が被害者のブラウザが持っているセッション情報などをそのまま利用して勝手に機能を実行させる攻撃 間接的な攻撃なので理解できていない人も多い 対策されているサイトも増えてきたが、依然として多い 特に、フレームワークで自動付与していても、実際には確認していないケースが目立つ
  16. 要は新しくパッチの当たったものを使おう
  17. ひとつめ
  18. この辺は飛ばす。 外部入力値をそのまま転送パラメータに利用するのは避けましょうということです。
  19. OWASP Top10 2013ということで、そうです。2013なんです。 去年2016の公募ばされていたんですが、結局出なかったんですね。 とはいえ、2013の公開から3年経っているということもあるので、 今回みんなで振り返りましょうという企画です。 いろいろうんちくもありますが、中身は詳細で出てくるのでここはとばします。 え?2013? 2016は2016年中に出ませんでした。OWASP Japan内で聞いた感じではすぐには出ない雰囲気です。 とはいえ、OWASP Top 10 2013が発表されてから3年以上経過しているということもあり、振り返りのタイミングとしては良いと考えました。 前回の2010からはいくつか統合されたり、切り出されたりしています。 A6 は安全でない暗号化データの保管と不十分なトランスポート層保護が一緒になった A7 限定的な表現としてURLアクセスの失敗としていたが、より大きな枠として拡大された A9 既知の脆弱性を持つコンポーネントの使用はA5 セキュリティ設定のミスから個別に切り出されました またA1−5は若干順位が前後しているものの2010年のもので6位以内に入っていたものです。 ただし、A1 インジェクションは不動の1位として君臨しています。 A8のCSRFは5位から転落しています。ただし、これは危険ではないというわけではなく、検出数が減っているからという理由であり、 依然として対策すべきものです。脆弱性診断をしている側の肌感としてCSRFは多いです。
  20. A1 - インジェクション A2 – 認証とセッション管理の不備 A3 – クロスサイトスクリプティング(XSS) A4 – アクセスコントロールの不備(A4/A7が統合された) A5 – セキュリティ設定のミス A6 – 機密データの露出 A7 – 不十分な攻撃防御機能(NEW) A8 – クロスサイトリクエストフォージェリ(CSRF) A9 – 既知の脆弱性を持つコンポーネントの使用 A10 – 保護されていないAPI
  21. 2016年はOSコマンドインジェクションが多かった IOT機器にOSコマンドインジェクション、対策もOSコマンドインジェクションでWebサーバの停止 imagemagicを利用したケータイキットのOSコマンドインジェクションは某テレビ局の個人情報流出で話題に CMSはMTだったけど呼び出しはPHPだった MySQLやStrutsも話題になりました
  22. 全ての機能で認可制御のテストを実施しよう 制御メカニズムはデフォルト拒否 機能を表示しない設計は緩和策でしかない
  23. Rasp realtime application self protection
  24. Rasp realtime application self protection
  25. Rasp realtime application self protection
  26. 半分くらいがA7に関する話
  27. どちらにしても脆弱性ではないので違和感がある
  28. インジェクション、認証、アクセス制御、暗号化、セキュリティ設定などのさまざまなタイプのすべての問題がAPIに存在する可能性がある。
  29. インジェクション、認証、アクセス制御、暗号化、セキュリティ設定などのさまざまなタイプのすべての問題がAPIに存在する可能性がある。 フォームでの防護というのはバリデーションのことかな
  30. まとめ