Submit Search
Upload
OWASP Cheatsheetを参考にやられアプリ作ってみた
•
Download as PPTX, PDF
•
2 likes
•
1,376 views
M
mkoda
Follow
OWASP Connect in Tokyo #2 で利用した資料です。
Read less
Read more
Education
Report
Share
Report
Share
1 of 22
Download now
Recommended
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について
oshiro_seiya
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
Tatsuya Yamamoto
OWASP Top 10 超初級編
OWASP Top 10 超初級編
AkitadaOmagari
Recommended
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
Riotaro OKADA
セキュリティスキルをゲットする、たった3つの方法
セキュリティスキルをゲットする、たった3つの方法
Riotaro OKADA
「教養としてのサイバーセキュリティ」講座
「教養としてのサイバーセキュリティ」講座
Riotaro OKADA
2021/4/28 に修正されたl aravel のsql injection について
2021/4/28 に修正されたl aravel のsql injection について
oshiro_seiya
企業のデジタル変革とサイバーリスク
企業のデジタル変革とサイバーリスク
Riotaro OKADA
セキュア開発の<s>3つの</s>敵
セキュア開発の<s>3つの</s>敵
Riotaro OKADA
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
リーン・スタートアップと Ci について @ DevOps 懇親会 #1
Tatsuya Yamamoto
OWASP Top 10 超初級編
OWASP Top 10 超初級編
AkitadaOmagari
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
典子 松本
OpenCV on mobile
OpenCV on mobile
Daisuke Yamashita
Jasst15 webjasst
Jasst15 webjasst
Kazuaki Matsuo
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
de:code 2017
Dynamic frameworks tips
Dynamic frameworks tips
Syo Ikeda
More Related Content
What's hot
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
Yukiya Hayashi
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
tobaru_yuta
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
tobaru_yuta
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
tobaru_yuta
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
Takayuki Ushida
第8回脆弱性診断入門
第8回脆弱性診断入門
ionis111
What's hot
(13)
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
What does the monitoring tool use at oisix ra daichi?
What does the monitoring tool use at oisix ra daichi?
20190418 About the concept of intra-organization release approval flow in wat...
20190418 About the concept of intra-organization release approval flow in wat...
20210716 Security Audit of Salesforce & Other Measures
20210716 Security Audit of Salesforce & Other Measures
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
診断ツールの使い方(Owasp zapの場合)
診断ツールの使い方(Owasp zapの場合)
Webアプリケーション脆弱性診断について
Webアプリケーション脆弱性診断について
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
ソースで学ぶ脆弱性診断 - SmartTechGeeks #2
MongoDBの脆弱性診断 - smarttechgeeks
MongoDBの脆弱性診断 - smarttechgeeks
脆弱性スキャナVulsを使ってDevSecOpsを実践!
脆弱性スキャナVulsを使ってDevSecOpsを実践!
第8回脆弱性診断入門
第8回脆弱性診断入門
Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
典子 松本
OpenCV on mobile
OpenCV on mobile
Daisuke Yamashita
Jasst15 webjasst
Jasst15 webjasst
Kazuaki Matsuo
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
de:code 2017
Dynamic frameworks tips
Dynamic frameworks tips
Syo Ikeda
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
R3 institute
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Madoka Chiyoda
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Isao Takaesu
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP Nagoya
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
Application insights で行ってみよう
Application insights で行ってみよう
Kazushi Kamegawa
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Shoji Kawano
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
PacSecJP
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
hogehuga
Similar to OWASP Cheatsheetを参考にやられアプリ作ってみた
(20)
owasp_evening_okinawa_7_owasp_top_10-2017_injection
owasp_evening_okinawa_7_owasp_top_10-2017_injection
最近のやられアプリを試してみた
最近のやられアプリを試してみた
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
ノンコーディングでここまでできる!LINE BOT を作ってみよう!
OpenCV on mobile
OpenCV on mobile
Jasst15 webjasst
Jasst15 webjasst
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
[MW04] [Xamarin入門] コード共通化で開発スピードアップ! AI を活用したクロスプラットフォームアプリを Xamarin で作ってみよう!
Dynamic frameworks tips
Dynamic frameworks tips
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
kintone devCamp 2016 Spring 『アプリ開発なんて怖くない!gusukuでお手軽kintoneアプリ管理+α♪』
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
Azure 入門 (と言いながらちょまどの好きな Azure サービス紹介)
GAとGANによる検査値の自動生成
GAとGANによる検査値の自動生成
Owasp top10 2017 a4 xxe
Owasp top10 2017 a4 xxe
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP TOP10 A01:2021 – アクセス制御の不備
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
Application insights で行ってみよう
Application insights で行ってみよう
Dev sumi 14-e-1-クラウドセキュリティ
Dev sumi 14-e-1-クラウドセキュリティ
Kyoungju kwak the_new_wave_of_cyber_terror-jp
Kyoungju kwak the_new_wave_of_cyber_terror-jp
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
SIEMやログ監査で重要な事
SIEMやログ監査で重要な事
Recently uploaded
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
Takayuki Itoh
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
Tokyo Institute of Technology
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
YukiTerazawa
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ssusere0a682
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ssusere0a682
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
koheioishi1
UniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScript
yuitoakatsukijp
Recently uploaded
(7)
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
生成AIの回答内容の修正を課題としたレポートについて:お茶の水女子大学「授業・研究における生成系AIの活用事例」での講演資料
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
東京工業大学 環境・社会理工学院 建築学系 大学院入学入試・進学説明会2024_v2
TokyoTechGraduateExaminationPresentation
TokyoTechGraduateExaminationPresentation
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習105 -n人囚人のジレンマモデル- #ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
ゲーム理論 BASIC 演習106 -価格の交渉ゲーム-#ゲーム理論 #gametheory #数学
The_Five_Books_Overview_Presentation_2024
The_Five_Books_Overview_Presentation_2024
UniProject Workshop Make a Discord Bot with JavaScript
UniProject Workshop Make a Discord Bot with JavaScript
OWASP Cheatsheetを参考にやられアプリ作ってみた
1.
OWASP Cheatsheet を参考にやられアプリ 作ってみた @halkichisec OWASP Connect
in Tokyo#2 2019.01.25
2.
OWASP Connect in
Tokyo #2 2019.01.25 Who am I? >幸田将司 セキュリティエンジニア: - 脆弱性診断を主な業務にしています。 - たまにセキュリティ啓蒙活動とかも。 経歴: - 業界入ってからからずっとセキュリティ部門 - 現在はフリーランスとして活動中。 twitter: - @halkichisec
3.
OWASP Connect in
Tokyo #2 2019.01.25 今回お話する内容 1. やられ アプリ(サイト)とは 2. OWASP CheatSheetとは 3. 今回つくった環境
4.
OWASP Connect in
Tokyo #2 2019.01.25 前回のOWASP Connect資料より https://owaspprteam.connpass.com/event/99292/ @とある診断員さんの資料
5.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリとは
6.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリ(サイト)とは 意図的に脆弱性を作り込んであるアプリケーションのこと • XSS • CSRF • SQLインジェクション • OSコマンドインジェクション...etc そんなもの何に使うの?
7.
OWASP Connect in
Tokyo #2 2019.01.25 やられアプリ(サイト)とは 利用するメリット • 脆弱性の学習に (名前は知っているけど...どういう脆弱性か知らないやつとか) • スキャンツールを試せる (OWASP ZAPとかぶんまわせる) • 攻撃しても怒られない!
8.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP で公開されているアプリ OWASP BWA (The Broken Web Applications) 色々な脆弱性を盛り込んだ アプリ群 VMイメージ/ISOで配布 おすすめはbWAPP
9.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP で公開されているアプリ集 • OWASP Vulnerable Web Applications Directory Project https://www.owasp.org/index.php/ OWASP_Vulnerable_Web_Applications_Directory_Project ⇨PHP, Java率が高め
10.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetとは
11.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetとは そもそもCheatSheetってなんぞや • セキュリティにおけるチートシート。 • 実装の注意点、スタンダードを網羅している。 • 脆弱なコードのパターンや攻撃の文字列なども。 • セキュリティに興味があるエンジニアさんなら、検証の文字列をまず は自分のアプリケーションに片っ端から試してみるのも良いかも。
12.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetがフォローしている項目
13.
OWASP Connect in
Tokyo #2 2019.01.25 • Authentication 認証についてのスタンダード。 パスワード長は? メールアドレスの妥当性チェックは? • Input Validation 入力値はいつチェックする?どこまで見る? • Output Encoding 出力時のサニタイズとかとか...主にXSS。 • Cross Domain 外部ドメインからのリソース取得に関する注意事項。 • Logging ログに出力するべき物は何か。 • Uploads ファイルアップロードの注意事項。 OWASP CheatSheetがフォローしている項目 (機能ピックアップ)
14.
OWASP Connect in
Tokyo #2 2019.01.25 • もちろん脆弱性ベースでも資料が用意されている https://www.owasp.org/index.php/OWASP_Cheat_Sheet_Series#OWASP_Cheat_Sheets SQL Injection Prevention, XSS (Cross Site Scripting) Prevention, OS Command Injection などなど • 言語ベースもある(PHP, Java, Rubyなど) コード例が載っているのでより具体的!
15.
OWASP Connect in
Tokyo #2 2019.01.25 今回つくったやられアプリで参考にしたもの • Ruby on Rails Cheatsheet RailsのGood/Badパターンのまとめ。 サンプルコードが多いので僕のようなコピペプログラマも安心。
16.
OWASP Connect in
Tokyo #2 2019.01.25 今回つくったやられアプリ • Rails_Broken_App (Ruby on Rails)
17.
OWASP Connect in
Tokyo #2 2019.01.25 • Rails_Broken_App https://github.com/halkichi0308/rails_broken_app • コンセプトはOWASP BWAのRealistic, Intentionally Vulnerable Applications ECサイトのつもり。 • フォローした脆弱性 • XSS • SQL injection • Open Redirect • CSRF • セットアップ 3つコマンド叩くだけ。 $ git clone https://github.com/halkichi0308/rails_broken_app $ cd rails_broken_app $ docker-compose up -d 鋭意開発中
18.
OWASP Connect in
Tokyo #2 2019.01.25 紹介したいところ • Dockerを使っているので起動が早い。(2回目以降) • ソースコードから脆弱性のある箇所が見える。 • 脆弱性を修正してすぐに確認できる! 脆弱性のあるコードと 対策されたコードを記載
19.
OWASP Connect in
Tokyo #2 2019.01.25 デモ
20.
OWASP Connect in
Tokyo #2 2019.01.25 OWASP CheatSheetを使うメリット • セキュリティ対策の指標になる! まず何をすれば良い?どこまで対策すれば良い? • ユーザへの説明に利用できる! この脆弱性ならこの資料を参照して〜の様に • やられサイト作る時のアイデアがGETできる!
21.
OWASP Connect in
Tokyo #2 2019.01.25 なんか難しそう...。でも大丈夫。 日本語に翻訳されている資料もありまぁす • OWASP CheatSheetSeries日本語版 (オワスプジャパン) http://blog.owaspjapan.org/post/154618734454/2016owaspcheatsheetseriesin dexjapaneseedition • Ruby on Rails に関するチートシート(JPCERT) https://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.html
22.
OWASP Connect in
Tokyo #2 2019.01.25 皆さんもやられアプリ挑戦してみてはいかがでしょうか?
Download now