SlideShare a Scribd company logo

OWASPのドキュメントやツールを知ろう

Download as PPTX, PDF
Yuichi Hattori
Yuichi Hattori

2018 OWASP Akita ミーティング 2

Technology
1 of 32
OWASPのドキュメントや ツールを知ろう 2018/1/17(Wed) OWASP Kyushu Chapter Leader Yuichi HATTORI
はじめに • Webアプリケーションのセキュリティに役立つ OWASPの代表的なプロジェクトの ドキュメントやツールの紹介します。 – OWASPで、進められているプロジェクトは93以上!
プロジェクトの種類 • Flagship Projects – OWASPの戦略的価値とアプリケーションセキュリティ 全体を実証したプロジェクト(審査あり) • Labs Projects – 価値のある成果物を生み出したプロジェクト • Incubator Projects – アイディアが実証中で開発が進められているプロジェク ト
プロジェクトの種類 • Low Activity Projects – 少なくとも一年間リリースなかったプロジェクト • Donated Projects – OWASP Projectsのインフラストラクチャに寄付され た活動のないプロジェクト • OWASP Archived Projects – OWASPの外で開発されたプロジェクトおよび活動し なくなったプロジェクト
Flagship Projects(Tools) • OWASP Zed Attack Proxy • OWASP Web Testing Environment Project • OWASP OWTF • OWASP Dependency Check • OWASP Security Shepherd
OWASP Zed Attack Proxy • OWASP ZAPは、無料で使えるオープンソース のウェブアプリケーション脆弱性診断ツールです。 • 日本に対応してます。 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Flagship Projects(Code) • OWASP ModSecurity Core Rule Set Project • OWASP CSRFGuard Project • OWASP AppSensor Project
OWASP ModSecurity Core Rule Set • Webアプリケーションに対する攻撃の第一の防衛線 • ModSecurityまたは互換性のあるWebアプリ ケーションファイアウォールで使用する一般的な攻 撃検出ルールのセット https://coreruleset.org/
Flagship Projects(Doc) • OWASP Application Security Verification Standard Project • OWASP Software Assurance Maturity Model (SAMM) • OWASP AppSensor Project • OWASP Top Ten Project • OWASP Testing Project
OWASP Application Security Verification Standard Project • アプリケーションセキュリティ検証標準プロジェクト • Webアプリケーションセキュリティ検査・検証を実施する際に用いるため、 – 検査対象範囲 – 厳密さのレベル • を整理し標準化すること • ASVSは、アプリケーションの技術的な セキュリティコントロールに加え、環境面での 技術的なセキュリティのコントロールをテスト 基準も提供
OWASP Top Ten Project • OWASP Top 10はWebアプリケーションセキュリ ティのための非常に重要なドキュメントです。 – 主に、アプリケーションセキュリティを専門とする企業から寄せられた40以上 のデータと、500人以上の個々の人々による業界調査に基づいて作られ ています。 • 日本語版も公開されています。 – https://www.owasp.org/images/2/23/O WASP_Top_10-2017%28ja%29.pdf
OWASP Top 10 - 2017 A1:2017- インジェクション A2:2017- 認証の不備 A3:2017- 機密情報の露出 A4:2017- XML外部エンティティ参照(XXE) A5:2017- アクセス制御の不備 A6:2017- 不適切なセキュリティ設定 A7:2017- クロスサイトスクリプティング(XSS) A8:2017- 安全でないデシリアライゼーション A9:2017- 既知の脆弱性のあるコンポーネントの利用 A10:2017- 不十分なロギングとモニタリング
Labs Projects(Tools) • O-Saft • OWASP Dependency Track Project • OWASP EnDe Project • OWASP Hackademic Challenges Project • OWASP Mantra Security Framework • OWASP Mobile Security Project • OWASP O2 Platform • OWASP Passfault • OWASP Security Ninjas Appsec Training Program • OWASP WebGoat Project • OWASP Xenotix XSS Exploit Framework • OWASP Code Pulse Project • OWASP SeraphimDroid Project • OWASP DefectDojo Project • OWASP Security Knowledge Framework • OWASP Juice Shop Project
OWASP Web Goat Project • Webアプリケーションのセキュリティを学び、 脆弱性を体験することが可能なWebアプリケー ション
デモ
OWASP Juice Shop Project • JavaScript製のトレーニングツール • 簡単にインストールできる • これ単体でCTFもできる
デモ
Labs Projects(Doc) • OWASP Application Security Guide For CISOs • OWASP Cheat Sheets Project • OWASP CISO Survey • OWASP Code Review Guide Project • OWASP Codes of Conduct • OWASP Cornucopia • OWASP Guide Project • OWASP Podcast Project • OWASP Proactive Controls • OWASP Reverse Engineering and Code Modification Prevention Project • OWASP Automated Threats to Web Applications • OWASP Internet of Things Top Ten Project • OWASP Top 10 Privacy Risks Project • OWASP Snakes and Ladders Project
OWASP Cheat Sheets Project • いろいろなWebアプリケーションのセキュリティに関 しての重要な情報を簡潔にまとめたもの
OWASP Internet of Things Project • OWASP Internet of Things Projectは、製造者、開発者、消費者に対 してIoTに関連したセキュリティ問題のよりよい理解を助け、また、あらゆる状況 でユーザにIoTテクノロジーを用いた開発、構築、評価を正しいセキュリティの決 断を出来るようにするプロジェクトです。 • 提供しているもの – IoT Attack Surface Areas – IoT Testing Guides – Top IoT Vulnerabilities – IoT Security Guidance – Community Groups – Curated IoT Reading List – Developer Guidance – Design Principles
Top 10 IoT Vulnerabilities (2014) I1 安全でないWebインタフェース I2 不十分な認証/許可 I3 安全でないネットワークサービス I4 暗号化通信の欠乏 I5 プライバシーの懸念 I6 安全でないクラウドインタフェース I7 安全でないモバイルインタフェース I8 不十分なセキュリティの環境設定 I9 安全でないソフトウェア/ファームウェア I10 不十分な物理セキュリティ https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_%282014%29
OWASP Top 10 Privacy Risks Project • Webアプリケーションにおける プライバシーリスクと それに関連する対策の トップ10
OWASP Top 10 Privacy Risks Project P1 Webアプリケーションの脆弱性 P2 オペレータ側の情報漏洩 P3 不十分な情報漏洩の対応 P4 不十分な個人情報の削除 P5 不透明なポリシーと利用規約 P6 必要ないデータの収集 P7 サードパーティへのデータの共有 P8 古くなった個人情報 P9 セッションの有効期限の不足か不十分 P10 安全でないデータ転送
Labs Projects(Contests) • OWASP University Challenge – 大規模なAppSecカンファレンスで実施される大学 生向けの競技 • OWASP CTF Project – AppSecなどでCTFを行っていたプロジェクト – 2014年で更新が止まっている
Labs Projects(Code) • OWASP Enterprise Security API • OWASP Python Security Project • OWASP Security Logging Project
Incubator Projects(Code) • OWASP Java Encoder Project • OWASP Java HTML Sanitizer Project • OWASP Node.js Goat Project • OWASP Mth3l3m3nt Framework Project • OWASP CSRFProtector Project • OWASP WebGoat PHP Project • OWASP Secure Headers Project • OWASP Vicnum Projct • OWASP DeepViolet TLS/SSL_Scanner • OWASP Off the record 4 Java Project • OWASP Learning Gateway Project
Incubator Projects(Tools) • OWASP Benchmark • OWASP Wordpress Vulnerability Scanner • OWASP Threat Dragon • OWASP Faux Bank Project • OWASP Droid • WAP Web Application_Protection • OWASP Mutillidae 2 Project • OWASP WebSpa Project • OWASP Pyttacker Project • OWASP Rainbow Maker Project • OWASP ZSC Tool Project • OWASP_Web Malware Scanner Project • OWASP Basic Expression Lexicon Variation Algorithms (Belva) Project] • OWASP VBScan • OWASP Appsec PipelineOWASP Bug Logging Tool • OWASP iGoat Tool Project • OWASP Risk Rating Management • OWASP DevSlop Project • OWASP SecurityRAT Project
Incubator Projects(Doc) • OWASP Vulnerable Web Applications Directory Project • OWASP .NET Project • OWASP WASC Web Hacking Incidents Database Project • OWASP Incident Response Project • OWASP KALP Mobile Project • OWSP_Application_Security_Program_Quick_Start_Guide_Project • OWASP_Secure_Configuration_Guide • OWASP Knowledge Based Authentication Performance Metrics Project • OWASP RFP Criteria • OWASP Web Mapper Project • OWASP 10 Fuer Entwickler • WASC_OWASP_Web_Application_Firewall_Evaluation_Criteria_Project • OWASP_Secure_Software_Development_Lifecycle_Project • OWASP Mobile Security Testing Guide • OWASP Ransomeware Guide Project • OWASP Cyber Defense Matrix • OWASP Top 5 Machine Learning Risks • OWASP Security Operations Center SOC Framework Project
Incubator Projects (Educational Initiatives) • OWASP Student Chapters Project • OWASP Education Project • OWASP Speakers Project • OWASP Media Project • OWASP PHP Security Training Project • OWASP Online Academy
OWASP Online Academy • オンライン上で、セキュア開発とWebアプリケーション検査を学べる プロジェクト • 携帯端末でも観ることできることを目標に開発が進められている https://owasp-academy.teachable.com/
補足 • OWASPの成果物はOWASPProjectPageに 纏められているので、合わせてご確認ください。 • https://www.owasp.org/index.php/Ca tegory:OWASP_Project
Thanks! Do you have any question or comment?

Recommended

ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
 
ユーザーインタビューするときは、どうやらゾンビのおでましさ
ユーザーインタビューするときは、どうやらゾンビのおでましさユーザーインタビューするときは、どうやらゾンビのおでましさ
ユーザーインタビューするときは、どうやらゾンビのおでましさ
Yoshiki Hayama
 
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
Yoshinori OHTA
 
40歳過ぎてもエンジニアでいるためにやっていること
40歳過ぎてもエンジニアでいるためにやっていること40歳過ぎてもエンジニアでいるためにやっていること
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
 
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
Yoshiki Hayama
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
 
猫でもわかるかもしれない SQLインジェクション
猫でもわかるかもしれない SQLインジェクション猫でもわかるかもしれない SQLインジェクション
猫でもわかるかもしれない SQLインジェクション
kinme modoki
 
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
 

Recommended

ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptxネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
 
ユーザーインタビューするときは、どうやらゾンビのおでましさ
ユーザーインタビューするときは、どうやらゾンビのおでましさユーザーインタビューするときは、どうやらゾンビのおでましさ
ユーザーインタビューするときは、どうやらゾンビのおでましさ
Yoshiki Hayama
 
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~ アクセシビリティvsセキュリティ ~こんな対策はいらない!~
アクセシビリティvsセキュリティ ~こんな対策はいらない!~
Yoshinori OHTA
 
40歳過ぎてもエンジニアでいるためにやっていること
40歳過ぎてもエンジニアでいるためにやっていること40歳過ぎてもエンジニアでいるためにやっていること
40歳過ぎてもエンジニアでいるためにやっていること
onozaty
 
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
「UXデザインとは」からはじめる「本流」のUXデザインはじめの一歩 | UXデザイン基礎セミナー 第1回
Yoshiki Hayama
 
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
 
猫でもわかるかもしれない SQLインジェクション
猫でもわかるかもしれない SQLインジェクション猫でもわかるかもしれない SQLインジェクション
猫でもわかるかもしれない SQLインジェクション
kinme modoki
 
初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!初心者向けMongoDBのキホン!
初心者向けMongoDBのキホン!
Tetsutaro Watanabe
 
最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
月間10億pvを支えるmongo db
月間10億pvを支えるmongo db月間10億pvを支えるmongo db
月間10億pvを支えるmongo dbYuji Isobe
 
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよねクラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とはがんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
Jun-ichi Sakamoto
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューMoriharu Ohzu
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
zaki4649
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
Hiroshi Tokumaru
 
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティスAWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
Amazon Web Services Japan
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディング
Yasuo Ohgaki
 
やはりお前らのMVCは間違っている
やはりお前らのMVCは間違っているやはりお前らのMVCは間違っている
やはりお前らのMVCは間違っている
Koichi Tanaka
 
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
Yoshiki Hayama
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
 
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
Yoshiki Hayama
 
”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」
Masaya Ando
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
Tadahiro Ishisaka
 
OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
Takanori Nakanowatari
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
 

More Related Content

What's hot

最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
zaki4649
 
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
mosa siru
 
月間10億pvを支えるmongo db
月間10億pvを支えるmongo db月間10億pvを支えるmongo db
月間10億pvを支えるmongo dbYuji Isobe
 
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよねクラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
Riotaro OKADA
 
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とはがんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
Jun-ichi Sakamoto
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューMoriharu Ohzu
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
zaki4649
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
Hiroshi Tokumaru
 
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティスAWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
Amazon Web Services Japan
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディング
Yasuo Ohgaki
 
やはりお前らのMVCは間違っている
やはりお前らのMVCは間違っているやはりお前らのMVCは間違っている
やはりお前らのMVCは間違っている
Koichi Tanaka
 
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
Yoshiki Hayama
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
Masato Kinugawa
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptx
Daisuke Yamazaki
 
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
Yoshiki Hayama
 
”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」
Masaya Ando
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
Hitachi, Ltd. OSS Solution Center.
 
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
Tadahiro Ishisaka
 

What's hot (20)

最近のやられアプリを試してみた
最近のやられアプリを試してみた最近のやられアプリを試してみた
最近のやられアプリを試してみた
 
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
 
マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!マイクロにしすぎた結果がこれだよ!
マイクロにしすぎた結果がこれだよ!
 
月間10億pvを支えるmongo db
月間10億pvを支えるmongo db月間10億pvを支えるmongo db
月間10億pvを支えるmongo db
 
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよねクラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
 
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
「なにをどこまでやれば?」OWASP SAMMが導く開発セキュリティ強化戦略
 
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とはがんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
がんばらなくても C# で Single Page Web アプリケーションが書けてしまう「Blazor」とは
 
ソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビューソースコードの品質向上のための効果的で効率的なコードレビュー
ソースコードの品質向上のための効果的で効率的なコードレビュー
 
とある診断員とAWS
とある診断員とAWSとある診断員とAWS
とある診断員とAWS
 
ウェブセキュリティの常識
ウェブセキュリティの常識ウェブセキュリティの常識
ウェブセキュリティの常識
 
AWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティスAWSでDockerを扱うためのベストプラクティス
AWSでDockerを扱うためのベストプラクティス
 
5分で解るセキュアコーディング
5分で解るセキュアコーディング5分で解るセキュアコーディング
5分で解るセキュアコーディング
 
やはりお前らのMVCは間違っている
やはりお前らのMVCは間違っているやはりお前らのMVCは間違っている
やはりお前らのMVCは間違っている
 
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む45分間で「ユーザー中心のものづくり」ができるまで詰め込む
45分間で「ユーザー中心のものづくり」ができるまで詰め込む
 
SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」SecurityCamp2015「バグハンティング入門」
SecurityCamp2015「バグハンティング入門」
 
WayOfNoTrouble.pptx
WayOfNoTrouble.pptxWayOfNoTrouble.pptx
WayOfNoTrouble.pptx
 
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
“UXデザイン”のキモ『ユーザーインタビュー』の具体的テクニックを詳解!| UXデザイン基礎セミナー 第2回
 
”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」”安藤昌也さん”のUX論 ~ 利他的な「私」
”安藤昌也さん”のUX論 ~ 利他的な「私」
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎
 
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
関数型・オブジェクト指向 宗教戦争に疲れたなたに送るGo言語入門
 

Similar to OWASPのドキュメントやツールを知ろう

OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
Takanori Nakanowatari
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
Riotaro OKADA
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
PaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happyPaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happy
Katsunori Kawaguchi
 
サーバーレス時代の システム設計ワークショップ
サーバーレス時代の システム設計ワークショップサーバーレス時代の システム設計ワークショップ
サーバーレス時代の システム設計ワークショップ
Masahiro NAKAYAMA
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
Nobuyuki Tamaoki
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
VirtualTech Japan Inc.
 
Scala: Mobile Backend on AWS
Scala: Mobile Backend on AWSScala: Mobile Backend on AWS
Scala: Mobile Backend on AWS
cmaraiyusuke
 
クラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニングクラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニングShin Matsumoto
 
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSCOSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
Daisuke Nishino
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedback
Takashi Ito
 
OWIN って何?
OWIN って何?OWIN って何?
OWIN って何?
miso- soup3
 
Elasticsearch at Makuake
Elasticsearch at MakuakeElasticsearch at Makuake
Elasticsearch at Makuake
Yoshiaki Yoshida
 
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
Shinichiro Arai
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
 
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack OverviewOSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overviewirix_jp
 

Similar to OWASPのドキュメントやツールを知ろう (20)

OWASP Projects
OWASP ProjectsOWASP Projects
OWASP Projects
 
Privacy by Design with OWASP
Privacy by Design with OWASPPrivacy by Design with OWASP
Privacy by Design with OWASP
 
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そうSOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
 
PaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happyPaaS / Cloud Foundry makes you happy
PaaS / Cloud Foundry makes you happy
 
サーバーレス時代の システム設計ワークショップ
サーバーレス時代の システム設計ワークショップサーバーレス時代の システム設計ワークショップ
サーバーレス時代の システム設計ワークショップ
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
オープンクラウド基盤の価値と導入へ向けた考慮点 〜IaaSからPaaSまで - EMC様セミナー 「あなたのビジネスを高速化!DevOpsとアジャイル開発...
 
Scala: Mobile Backend on AWS
Scala: Mobile Backend on AWSScala: Mobile Backend on AWS
Scala: Mobile Backend on AWS
 
クラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニングクラウド運用のためのストリームマイニング
クラウド運用のためのストリームマイニング
 
OSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSCOSC2018 hiroshima session slide by OSSC
OSC2018 hiroshima session slide by OSSC
 
20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方20180601 OWASP Top 10 2017の読み方
20180601 OWASP Top 10 2017の読み方
 
Owasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASPOwasp evening : Privacy x Design with OWASP
Owasp evening : Privacy x Design with OWASP
 
20161111 java one2016-feedback
20161111 java one2016-feedback20161111 java one2016-feedback
20161111 java one2016-feedback
 
OWIN って何?
OWIN って何?OWIN って何?
OWIN って何?
 
Elasticsearch at Makuake
Elasticsearch at MakuakeElasticsearch at Makuake
Elasticsearch at Makuake
 
OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304OSSではじめるオープン・スタンダードのクラウド @201304
OSSではじめるオープン・スタンダードのクラウド @201304
 
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency checkオワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
 
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHPリスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
 
OSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack OverviewOSC2013 Tokyo Spring OpenStack Overview
OSC2013 Tokyo Spring OpenStack Overview
 

Recently uploaded

JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさJSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
0207sukipio
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
Matsushita Laboratory
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
Yuuitirou528 default
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
Toru Tamaki
 
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
t m
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
chiefujita1
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
Matsushita Laboratory
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
CRI Japan, Inc.
 

Recently uploaded (8)

JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさJSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
JSAI_類似画像マッチングによる器への印象付与手法の妥当性検証_ver.3_高橋りさ
 
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
TaketoFujikawa_物語のコンセプトに基づく情報アクセス手法の基礎検討_JSAI2024
 
CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料CS集会#13_なるほどわからん通信技術 発表資料
CS集会#13_なるほどわからん通信技術 発表資料
 
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
論文紹介:When Visual Prompt Tuning Meets Source-Free Domain Adaptive Semantic Seg...
 
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
遺伝的アルゴリズムと知識蒸留による大規模言語モデル(LLM)の学習とハイパーパラメータ最適化
 
This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.This is the company presentation material of RIZAP Technologies, Inc.
This is the company presentation material of RIZAP Technologies, Inc.
 
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
ReonHata_便利の副作用に気づかせるための発想支援手法の評価---行為の増減の提示による気づきへの影響---
 
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアルLoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
LoRaWAN 4チャンネル電流センサー・コンバーター CS01-LB 日本語マニュアル
 

OWASPのドキュメントやツールを知ろう

  • 3. プロジェクトの種類 • Flagship Projects – OWASPの戦略的価値とアプリケーションセキュリティ 全体を実証したプロジェクト(審査あり) • Labs Projects – 価値のある成果物を生み出したプロジェクト • Incubator Projects – アイディアが実証中で開発が進められているプロジェク ト
  • 4. プロジェクトの種類 • Low Activity Projects – 少なくとも一年間リリースなかったプロジェクト • Donated Projects – OWASP Projectsのインフラストラクチャに寄付され た活動のないプロジェクト • OWASP Archived Projects – OWASPの外で開発されたプロジェクトおよび活動し なくなったプロジェクト
  • 5. Flagship Projects(Tools) • OWASP Zed Attack Proxy • OWASP Web Testing Environment Project • OWASP OWTF • OWASP Dependency Check • OWASP Security Shepherd
  • 6. OWASP Zed Attack Proxy • OWASP ZAPは、無料で使えるオープンソース のウェブアプリケーション脆弱性診断ツールです。 • 日本に対応してます。 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
  • 7. Flagship Projects(Code) • OWASP ModSecurity Core Rule Set Project • OWASP CSRFGuard Project • OWASP AppSensor Project
  • 8. OWASP ModSecurity Core Rule Set • Webアプリケーションに対する攻撃の第一の防衛線 • ModSecurityまたは互換性のあるWebアプリ ケーションファイアウォールで使用する一般的な攻 撃検出ルールのセット https://coreruleset.org/
  • 9. Flagship Projects(Doc) • OWASP Application Security Verification Standard Project • OWASP Software Assurance Maturity Model (SAMM) • OWASP AppSensor Project • OWASP Top Ten Project • OWASP Testing Project
  • 10. OWASP Application Security Verification Standard Project • アプリケーションセキュリティ検証標準プロジェクト • Webアプリケーションセキュリティ検査・検証を実施する際に用いるため、 – 検査対象範囲 – 厳密さのレベル • を整理し標準化すること • ASVSは、アプリケーションの技術的な セキュリティコントロールに加え、環境面での 技術的なセキュリティのコントロールをテスト 基準も提供
  • 11. OWASP Top Ten Project • OWASP Top 10はWebアプリケーションセキュリ ティのための非常に重要なドキュメントです。 – 主に、アプリケーションセキュリティを専門とする企業から寄せられた40以上 のデータと、500人以上の個々の人々による業界調査に基づいて作られ ています。 • 日本語版も公開されています。 – https://www.owasp.org/images/2/23/O WASP_Top_10-2017%28ja%29.pdf
  • 12. OWASP Top 10 - 2017 A1:2017- インジェクション A2:2017- 認証の不備 A3:2017- 機密情報の露出 A4:2017- XML外部エンティティ参照(XXE) A5:2017- アクセス制御の不備 A6:2017- 不適切なセキュリティ設定 A7:2017- クロスサイトスクリプティング(XSS) A8:2017- 安全でないデシリアライゼーション A9:2017- 既知の脆弱性のあるコンポーネントの利用 A10:2017- 不十分なロギングとモニタリング
  • 13. Labs Projects(Tools) • O-Saft • OWASP Dependency Track Project • OWASP EnDe Project • OWASP Hackademic Challenges Project • OWASP Mantra Security Framework • OWASP Mobile Security Project • OWASP O2 Platform • OWASP Passfault • OWASP Security Ninjas Appsec Training Program • OWASP WebGoat Project • OWASP Xenotix XSS Exploit Framework • OWASP Code Pulse Project • OWASP SeraphimDroid Project • OWASP DefectDojo Project • OWASP Security Knowledge Framework • OWASP Juice Shop Project
  • 14. OWASP Web Goat Project • Webアプリケーションのセキュリティを学び、 脆弱性を体験することが可能なWebアプリケー ション
  • 16. OWASP Juice Shop Project • JavaScript製のトレーニングツール • 簡単にインストールできる • これ単体でCTFもできる
  • 18. Labs Projects(Doc) • OWASP Application Security Guide For CISOs • OWASP Cheat Sheets Project • OWASP CISO Survey • OWASP Code Review Guide Project • OWASP Codes of Conduct • OWASP Cornucopia • OWASP Guide Project • OWASP Podcast Project • OWASP Proactive Controls • OWASP Reverse Engineering and Code Modification Prevention Project • OWASP Automated Threats to Web Applications • OWASP Internet of Things Top Ten Project • OWASP Top 10 Privacy Risks Project • OWASP Snakes and Ladders Project
  • 19. OWASP Cheat Sheets Project • いろいろなWebアプリケーションのセキュリティに関 しての重要な情報を簡潔にまとめたもの
  • 20. OWASP Internet of Things Project • OWASP Internet of Things Projectは、製造者、開発者、消費者に対 してIoTに関連したセキュリティ問題のよりよい理解を助け、また、あらゆる状況 でユーザにIoTテクノロジーを用いた開発、構築、評価を正しいセキュリティの決 断を出来るようにするプロジェクトです。 • 提供しているもの – IoT Attack Surface Areas – IoT Testing Guides – Top IoT Vulnerabilities – IoT Security Guidance – Community Groups – Curated IoT Reading List – Developer Guidance – Design Principles
  • 21. Top 10 IoT Vulnerabilities (2014) I1 安全でないWebインタフェース I2 不十分な認証/許可 I3 安全でないネットワークサービス I4 暗号化通信の欠乏 I5 プライバシーの懸念 I6 安全でないクラウドインタフェース I7 安全でないモバイルインタフェース I8 不十分なセキュリティの環境設定 I9 安全でないソフトウェア/ファームウェア I10 不十分な物理セキュリティ https://www.owasp.org/index.php/Top_10_IoT_Vulnerabilities_%282014%29
  • 22. OWASP Top 10 Privacy Risks Project • Webアプリケーションにおける プライバシーリスクと それに関連する対策の トップ10
  • 23. OWASP Top 10 Privacy Risks Project P1 Webアプリケーションの脆弱性 P2 オペレータ側の情報漏洩 P3 不十分な情報漏洩の対応 P4 不十分な個人情報の削除 P5 不透明なポリシーと利用規約 P6 必要ないデータの収集 P7 サードパーティへのデータの共有 P8 古くなった個人情報 P9 セッションの有効期限の不足か不十分 P10 安全でないデータ転送
  • 24. Labs Projects(Contests) • OWASP University Challenge – 大規模なAppSecカンファレンスで実施される大学 生向けの競技 • OWASP CTF Project – AppSecなどでCTFを行っていたプロジェクト – 2014年で更新が止まっている
  • 25. Labs Projects(Code) • OWASP Enterprise Security API • OWASP Python Security Project • OWASP Security Logging Project
  • 26. Incubator Projects(Code) • OWASP Java Encoder Project • OWASP Java HTML Sanitizer Project • OWASP Node.js Goat Project • OWASP Mth3l3m3nt Framework Project • OWASP CSRFProtector Project • OWASP WebGoat PHP Project • OWASP Secure Headers Project • OWASP Vicnum Projct • OWASP DeepViolet TLS/SSL_Scanner • OWASP Off the record 4 Java Project • OWASP Learning Gateway Project
  • 27. Incubator Projects(Tools) • OWASP Benchmark • OWASP Wordpress Vulnerability Scanner • OWASP Threat Dragon • OWASP Faux Bank Project • OWASP Droid • WAP Web Application_Protection • OWASP Mutillidae 2 Project • OWASP WebSpa Project • OWASP Pyttacker Project • OWASP Rainbow Maker Project • OWASP ZSC Tool Project • OWASP_Web Malware Scanner Project • OWASP Basic Expression Lexicon Variation Algorithms (Belva) Project] • OWASP VBScan • OWASP Appsec PipelineOWASP Bug Logging Tool • OWASP iGoat Tool Project • OWASP Risk Rating Management • OWASP DevSlop Project • OWASP SecurityRAT Project
  • 28. Incubator Projects(Doc) • OWASP Vulnerable Web Applications Directory Project • OWASP .NET Project • OWASP WASC Web Hacking Incidents Database Project • OWASP Incident Response Project • OWASP KALP Mobile Project • OWSP_Application_Security_Program_Quick_Start_Guide_Project • OWASP_Secure_Configuration_Guide • OWASP Knowledge Based Authentication Performance Metrics Project • OWASP RFP Criteria • OWASP Web Mapper Project • OWASP 10 Fuer Entwickler • WASC_OWASP_Web_Application_Firewall_Evaluation_Criteria_Project • OWASP_Secure_Software_Development_Lifecycle_Project • OWASP Mobile Security Testing Guide • OWASP Ransomeware Guide Project • OWASP Cyber Defense Matrix • OWASP Top 5 Machine Learning Risks • OWASP Security Operations Center SOC Framework Project
  • 29. Incubator Projects (Educational Initiatives) • OWASP Student Chapters Project • OWASP Education Project • OWASP Speakers Project • OWASP Media Project • OWASP PHP Security Training Project • OWASP Online Academy
  • 30. OWASP Online Academy • オンライン上で、セキュア開発とWebアプリケーション検査を学べる プロジェクト • 携帯端末でも観ることできることを目標に開発が進められている https://owasp-academy.teachable.com/
  • 32. Thanks! Do you have any question or comment?