Successfully reported this slideshow.
Your SlideShare is downloading. ×

OWASP Top 10 超初級編 (2021 Ver.)

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad

Check these out next

1 of 33 Ad

More Related Content

Recently uploaded (20)

Advertisement

OWASP Top 10 超初級編 (2021 Ver.)

  1. 1. OWASP Top 10 超初級編 (2021Ver.) akimalu
  2. 2. 自己紹介 akimalu Twitter:@aki_malu_sec(セキュリティ専門アカウント) 愛知県生まれ タイ育ち 所属 : 東京の某セキュリティ企業(開発) 趣味 : テニス(プレーヤー、観戦)、音楽(ギター、ライブ参戦)、など
  3. 3. OWASP Top 10 • OWASP(The Open Web Application Security Project)が 4年毎のペースで公開されているドキュメント • 悪用のしやすさ,検知のしやすさ,影響の3つの指標から算出 されたスコアが高い順に順位付けされたもの → Webアプリケーションにおいて、特に気を付けなければ ならないセキュリティリスクTop 10のようなもの
  4. 4. https://owasp.org/Top10/ja/
  5. 5. A1. アクセス制御の不備
  6. 6. 例 http://example.com/guest ↓ http://example.com/admin http://example.com/account?userid=1000 ↓ http://example.com/account?userid=2000 適切なアクセス制御 必要最低限の権限付与
  7. 7. https://www.itmedia.co.jp/news/articles/2210/26/news118.ht
  8. 8. A2. 暗号化の失敗 • 平文送信 → 暗号化をして送信(必要最低限の送信) • 保存時に平文で保存 → ソルト付与や暗号化をして保存(必要最低限の保存) • 暗号鍵の不十分な管理 → 暗号鍵の適切な管理
  9. 9. A3. インジェクション
  10. 10. Webページを見るとき ① XXXというWebページのHTMLちょうだい!! ② XXXのHTML
  11. 11. Webページが動的に生成されるとき ① 検索 ② 検索結果
  12. 12. 反射型XSS(Cross Site Scripting) ① 悪意のあるコード ② 機密情報
  13. 13. SQL Injection セキュアなWebアプリケーション 脆弱なWebアプリケーション https://www.ipa.go.jp/security/vuln/vuln_contents/sql.html
  14. 14. SQL Injection(ハンズオン5) SELECT first_name, surname FROM user WHERE id ==
  15. 15. OS Command Injection https://www.ipa.go.jp/security/vuln/vuln_contents/oscmd.html
  16. 16. コマンド例 ping 11 & ls (ping 11と同時にlsをする) 対策後(簡単なエスケープ処理後) ‘ping 11 & ls’としてshell_exec関数に渡している
  17. 17. A4.安全が確認されない不安な設計 • パスワードを平文で保存 → 保存されたDBが漏洩したときのダメージが大きい • 不適切なエラー文 → エラー文から攻撃者に情報を与えてしまう • 認証時の秘密の質問(パスワード忘れたときに出てくるあれ) → 認証としては非推奨
  18. 18. A5. セキュリティの設定ミス • 古いバージョンのセキュリティホールをついた攻撃 → 最新のバージョンを使用 • テストアカウント(デフォルトアカウント)を使用した攻撃 → デフォルトアカウントの削除 • 脆弱性をついた攻撃を受ける可能性の上昇 → 必要最低限の機能付与
  19. 19. よくあるミス ① ID,パスワードを適当に入力 ② IDとパスワードが間違っています ③ パスワードクラック試行 ④ パスワードが間違っています IDは合っているのか
  20. 20. A6. 脆弱で古くなったコンポーネント • バージョン管理しきれていないことによる脅威 → 適切なバージョン管理 • セキュリティパッチが適用されていないことによる脅威 → パッチの適用 • 古いバージョンの使用による脅威 → 最新のバージョンへの更新
  21. 21. A7. 識別と認証の失敗
  22. 22. 最悪なパスワードTop100(2021年より) 77.ranger 78.1991 79.trustno1 80.merlin 81.cookie 82.ashley 83.bandit 84.killer 85.aaaaaa 86.1q2w3e 87.zaq1zaq1 88.test 89.hockey 90.dallas 91.whatever 92.admin123 93.pussy 94.liverpool 95.querty 96.william 97.soccer 98.london 99.1992 100.biteme 69.nicole 70.hunter 71.1989 72.amanda 73.1990 74.jennifer 75.banana 76.chelsea https://www.teamsid.com/100-worst-passwords/
  23. 23. 最悪なパスワードTop100(2021年より) 37.summer 38.george 39.harley 40.222222 41.jessica 42.ginger 43.letmein 44.abcdef 45.solo 46.jordan 47.55555 48.tigger 49.joshua 50.pepper 51.sophie 52.1234 53.rebert 54.matthew 55.12341234 56.Andrew 57.lakers 58.andrea 59.1qaz2wsx 60.starwars 61.ferrari 62.cheese 63.computer 64.corvette 65.mercedes 66.blahblah 67.maverick 68.hello https://www.teamsid.com/100-worst-passwords/
  24. 24. 最悪なパスワードTop100(2021年より) 5. 12345 6. 111111 7. 1234567 8. sunshine 9. qwerty 10.iloveyou 11.princess 12.admin 13.welcome 14.666666 15.abc123 16.football 17.123123 18.monkey 19.654321 20.!@#$%^&* 21.charlie 22.aa123456 23.donald 24.password1 25.qwerty123 26.zxcvbnm 27.121212 28.bailey 29.freedom 30.shadow 31.passw0rd 32.baseball 33.buster 34.daniel 35.hannah 36.thomas https://www.teamsid.com/100-worst-passwords/
  25. 25. 最悪なパスワードTop100(2021年より) 1.123456 2.password https://www.teamsid.com/100-worst-passwords/ 3.123456789 4.12345678
  26. 26. 辞書攻撃 辞書にある語を順に試す
  27. 27. SP800-63 • NIST(米国国立標準技術研究所)が発行 • SP800-63B(電子的認証に関するガイドライン)のパスワード認証に 注目がされた
  28. 28. SP800-63Bにおけるパスワード • 複雑さ要件(大文字,記号などを複数使用させるなど)を課さない • 辞書攻撃対策は必須 • パスワードが危篤化した場合以外は変更の必要なし
  29. 29. SP800-63Bにおけるパスワード • 秘密の質問は実施すべきではない • アカウントリカバリーでE-mailを要素に入れても良い → これはイレギュラー(攻撃者が知らない要素を入れるべき) → 理想的には要素に入れない方が良いが, 現実的に入れるしかない
  30. 30. A8. ソフトウェアとデータの整合性の不具合 • アップデート時に受け取るデータは本当に正しいところから 受信している? → デジタル署名を使用
  31. 31. A9. セキュリティログとモニタリングの失敗 • ログ不足によりインシデントレスポンスが困難になる → 十分な期間の十分な内容のログを残す • ログ閲覧の権限に関する不適切な設定による情報漏洩 → ログ閲覧に関する設定は必要最低限で適切な設定にする
  32. 32. A10. SSRF
  33. 33. XVWA(https://github.com/s4n7h0/xvwa) Webアプリケーションにおけるセキュリティをハンズオンで 学べるOSS • SQLインジェクション • OSコマンドインジェクション • XSS • PHPオブジェクトインジェクション • XPATHインジェクション など

×