More Related Content
Similar to OWASP Top 10 超初級編 (20)
More from AkitadaOmagari (10)
OWASP Top 10 超初級編
- 3. OWASP Top 10
• OWASP(The Open Web Application Security Project)が
4年毎のペースで公開されているドキュメント
• 悪用のしやすさ,検知のしやすさ,影響の3つの指標から算出
されたスコアが高い順に順位付けされたもの
→ Webアプリケーションにおいて、特に気を付けなければ
ならないリスクTop 10のようなもの
https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
- 4. OWASP Top 10 - 2013 OWASP Top 10 - 2017
A1. インジェクション A1. インジェクション
A2. 認証の不備とセッション管理 A2. 認証の不備
A3. XSS A3. 機微な情報の露出
A4. 安全でないオブジェクトへの直接参照 A4. XXE
A5. 不適切なセキュリティ設定 A5. アクセス制御の不備
A6. 機微な情報の露出 A6. 不適切なセキュリティ設定
A7. 機能レベルのアクセス制御の不足 A7. XSS
A8. CSRF A8. 安全でないデシリアライゼーション
A9. 既知の脆弱性のあるコンポーネントの使用 A9. 既知の脆弱性のあるコンポーネントの使用
A10. 未検証のリダイレクトと転送 A10. 不十分なロギングとモニタリング
- 7. 何が起きているのか
ping 11 & ls
(ping 11と同時にlsをする)
対策後(簡単なエスケープ処理後)
‘ping 11 & ls’としてshell_exec関数に渡している
- 11. 最悪なパスワードTop100
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10.iloveyou
11.princess
12.admin
13.welcome
14.666666
15.abc123
16.football
17.123123
18.monkey
19.654321
20.!@#$%^&*
21.charlie
22.aa123456
23.donald
24.password1
25.qwerty123
26.zxcvbnm
27.121212
28.bailey
29.freedom
30.shadow
31.passw0rd
32.baseball
33.buster
34.daniel
35.hannah
36.thomas
https://www.teamsid.com/100-worst-passwords/
- 17. A3. 機微な情報の露出
• 平文送信
→ 暗号化をして送信(必要最低限の送信)
• 保存時に平文で保存
→ ソルト付与や暗号化をして保存(必要最低限の保存)
• 暗号鍵の不十分な管理
→ 暗号鍵の適切な管理