• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
OWASPの歩き方(How to walk_the_owasp)
 

OWASPの歩き方(How to walk_the_owasp)

on

  • 2,356 views

How to walk_the_owasp

How to walk_the_owasp

Statistics

Views

Total Views
2,356
Views on SlideShare
2,346
Embed Views
10

Actions

Likes
5
Downloads
13
Comments
0

3 Embeds 10

http://us-w1.rockmelt.com 8
https://twitter.com 1
https://www.google.co.jp 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

OWASPの歩き方(How to walk_the_owasp) OWASPの歩き方(How to walk_the_owasp) Presentation Transcript

  • OWASPの歩き方 2012〜2013OWASP Japan Local Chapter上野宣 ,野渡志浩
  • Webサイトには何がある?• Webアプリケーションのセキュリティに 関するさまざまな資料 – ガイドライン – チュートリアル、ビデオ、ドキュメント – ライブラリ、サンプルコード – ツール
  • OWASP Top 10 for 2010 日本語版アリ〼• Webアプリケーション脆弱性トップ10
  • ZAP Proxy 日本語版アリ〼• ZAP (The Zed Attack Proxy ) Proxy• Webアプリケーション脆弱性スキャナー
  • WebScarab• Webアプリケーション セキュリティテス トツール
  • ESAPI• ESAPI (Enterprise Security API)• セキュアWebアプリケーション開発ため のセキュリティメソッドコレクション• for Java, .NET, Classic ASP, PHP, ColdFusion & CFML, Python, Javascript
  • ASVS 日本語版アリ〼• ASVS (Application Security Verification Standard)• アプリケーションのセキュリティ評価の ための検査標準 – 自動または手動のセキュリティテスト及び コードレビュー方式の要件
  • AntiSamy• HTML/CSS への出⼒を安全するための API• ポリシーファイルの変更で要件を変更 – antisamy-slashdot.xml • CSS は許可せず、 <b>, <u>, <i>, <a>, <blockquote> のみが許可される。スラド風 – 他にも antisamy-ebay.xml, antisamy- myspace.xml など
  • Development Guide 日本語版アリ〼が…• セキュアWebアプリケーションのための 設計・構築・運用ガイドライン – どの程度安全にするか?、セキュリティガイ ドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よ く起こる問題(XSSなど)を防ぐ方法、プライ バシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年
  • Code Review Guide• セキュリティコードレビュー• コードレビューのプロセスではなく、特 定の脆弱性に焦点を当てている – 脆弱なコードのサンプルなど• 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services
  • Testing Guide• Webサイト/アプリケーションのテスト ガイド、全349ページ(Ver.3)• 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing
  • SAMM 日本語版アリ〼• SAMM (Software Assurance Maturity Model):ソフトウェアセキュリティ保障 成熟度モデル
  • Contracting 日本語版アリ〼• Contracting: 契約書• セキュア・ソフトウェア開発契約付属書• 開発者と顧客のためのセキュリティに関 連した重要な契約事項について – 原理、ライフサイクル活動、セキュリティ要 求エリア、要員および組織、開発環境、ライ ブラリ、フレームワーク、および生産物、セ キュリティ・レビュー、セキュリティ問題管 理、保証、セキュリティ承認と保守
  • 現状• 日本語版がないプロジェクトもいくつか• 停滞しているプロジェクトもいくつか• ボランティアの⼒が必要• 日本発でセキュリティ要件定義書のプロ ジェクトもスタートさせたい(前回言っ たけど)