JC
Uploaded byJPCERT Coordination Center
PDF, PPTX3,212 views

OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)

OSC2016Hokkaido での講演資料です. OWASP ASVS と Cheat Sheet シリーズの簡単な紹介をします.

Embed presentation

Download as PDF, PPTX
OWASP ASVS と Cheat Sheet シリーズ (⽇本語版) の ご紹介 JPCERT/CC 情報流通対策グループ ⼾⽥洋三 (yozo.toda@jpcert.or.jp) OSC2016Hokkaido
Copyright©2016JPCERT/CC All rights reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト ⼾⽥ 洋三 脆弱性情報分析, セキュアコーディ ング普及啓発活動…… に努めてます 2
Copyright©2016JPCERT/CC All rights reserved. JPCERT/CCとは JPCERT Coordination Center ⽇本における情報セキュリティ 対策活動の向上に取り組んでい る組織 3
Copyright©2016JPCERT/CC All rights reserved. JPCERT/CCの主な活動 4
Copyright©2016JPCERT/CC All rights reserved. 過去のOSC参加履歴 (セミナーを⾏ったもの) 5 •OSC2015@Hokkaido •CSRF 脆弱性とその対策について •OSC2014@Fukuoka •Lessons (to be) Learned from Handling OpenSSL Vulnerabilities •OSC2013@Kyoto •〜ヒトの振り⾒て我が振り直せ〜脆弱性事例に学ぶJavaセキュアコーディング •OSC2012@Fukuoka •Androidセキュアコーディング〜安全なAndroidアプリ開発のための⼼得〜 •OSC2011@Nagoya: セキュアコーディングノススメ(JAVA編) •OSC2010@Hokkaido: あなたのコードにセキュアコーディングスタンダード •OSC2009@Fukuoka: セキュアコーディングノススメ •OSC2008@Tokyo/Spring: セキュアコーディングノススメ •OSC2007@Fukuoka: セキュアコーディングノススメ •OSC2007@Niigata: ソフトウェア脆弱性を取り巻く状況と対策 •OSC2007@Kansai: ソフトウェア脆弱性情報流通のこれまでとこれから •OSC2005@Tokyo/Fall: ソフトウェア脆弱性情報流通への取り組み
Copyright©2016JPCERT/CC All rights reserved. JPCERT/CC セキュアコーディングのコンテンツ 6 www.jpcert.or.jp/securecoding/
Copyright©2016JPCERT/CC All rights reserved. slideshare にも講演資料やセミナコンテンツ置いてます 7 www.slideshare.net/jpcert_securecoding/presentations
Copyright©2016JPCERT/CC All rights reserved. セキュアコーディングスタンダード 8 ⽶国 CMU/SEI の the CERT Secure Coding Initiative によるコーディングスタンダードシリーズ https://www.securecoding.cert.org/ 現状, 5種類公開され ています.
Copyright©2016JPCERT/CC All rights reserved.9 CERT C コーディングスタンダード CERT C セキュアコーディングスタンダード紹介 https://www.jpcert.or.jp/research/materials.html#secure JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/sc-rules/
Copyright©2016JPCERT/CC All rights reserved.10 CERT Oracle Java コーディングスタンダード OSC2011@Nagoya で紹介してます http://www.ospn.jp/osc2011-nagoya/pdf/ osc2011nagoya-JPCERT_CC.pdf JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/java-rules/
Copyright©2016JPCERT/CC All rights reserved.11 コーディングスタンダード(C++, Perl, Android) “under development” (開発中)
Copyright©2016JPCERT/CC All rights reserved. コーディングスタンダードの協⼒者募集中! セキュアコーディングスタンダード⽇本語版 の整備に協⼒してくれる⽅を求めています。 —Java, Android, C, C++, …… —既存の⽇本語へのコメント、改善案 —英語原⽂へのコメント、改善案 —さらに編集も… 12
Copyright©2016JPCERT/CC All rights reserved. 本⽇の話題 ü ⾃⼰紹介 ü OWASP とは ü ASVS とは ü Cheat Sheet シリーズとは ü まとめ ü 参考情報など 13
Copyright©2016JPCERT/CC All rights reserved. 1. OWASP(OPEN WEB APPLICATION SECURITY PROJECT)とは 14
Copyright©2016JPCERT/CC All rights reserved. OWASP とは 15 https://www.owasp.org/index.php/Main_Page
Copyright©2016JPCERT/CC All rights reserved. OWASP とは 16 https://www.owasp.org/index.php/Main_Page OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、また セキュアなソフトウェア開発を促進する 技術・プロセスに関する情報共有と普及 啓発を⽬的としたコミュニティです。 https://www.owasp.org/index.php/Japan から引⽤
Copyright©2016JPCERT/CC All rights reserved. OWASP とは 17 L M 20 S B T M S A T M S T M S B T O O O k O05 21 242 O O O nk O D B B O DD2 B C O x pi O O O1 C G I CBG CA O G 2 G 2 O M M O O3 G B O GG 1 CJ S 1T i O k https://speakerdeck.com/owaspjapan/owasp-contents-reference
Copyright©2016JPCERT/CC All rights reserved. ⽇本における OWASP 関連の活動 18 ⽇本で設⽴されたチャプター⼀覧 •Japan •Fukushima •Kansai •Kyushu •Okinawa •Sendai https://www.owasp.org/index.php/OWASP_Chapter
Copyright©2016JPCERT/CC All rights reserved. ⽇本における OWASP 関連の活動 19 OWASP 蛇とはしご⽇本語版 脆弱性診断⼠(Webアプリケーション)スキルマップ OWASP Cheat Sheet Series ガイドブック Webシステム/Webアプリケーションセキュリティ要件書2.0 OWASP Top 10 Proactive Controls 2016 Japanese 脆弱性診断⼠(Webアプリケーション)スキルマップ&シラバス 脆弱性診断⼠(プラットフォーム)スキルマップ&シラバス OWASP Japan Blog (http://blog.owaspjapan.org/)
Copyright©2016JPCERT/CC All rights reserved. OWASPドキュメントの⽇本語訳 20 OWASPっていいドキュメント(英語)い ろいろあるじゃん. JPCERT/CCでいちから作るより ⽇本語訳して提供した⽅が良さそうだぞ.
Copyright©2016JPCERT/CC All rights reserved. OWASPドキュメントの⽇本語訳 21 やっちゃいました.
Copyright©2016JPCERT/CC All rights reserved. OWASPドキュメントの⽇本語訳 22 ベータ版を github に… まもなく www.jpcert.or.jp に も掲載します. https://jpcertcc.github.io/OWASPdocuments/
Copyright©2016JPCERT/CC All rights reserved. 2. ASVS(APPLICATION SECURITY VERIFICATION STANDARD) とは 23
Copyright©2016JPCERT/CC All rights reserved. OWASP ASVS プロジェクト 24 https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
Copyright©2016JPCERT/CC All rights reserved. ASVS の⽬標 25 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings
Copyright©2016JPCERT/CC All rights reserved. ASVS の⽬標 26 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザによる製品やサービスに対するセキュリ ティ要件を合致させる
Copyright©2016JPCERT/CC All rights reserved. ASVS の⽬標 27 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザが製品やサービスをセキュリティ要件に合 致させる
Copyright©2016JPCERT/CC All rights reserved. ASVS (3.0.1) のセクション⼀覧 28 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0)
Copyright©2016JPCERT/CC All rights reserved.29 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0) ASVS (3.0.1) のセクション⼀覧(⽇本語) アーキテクチャ, 設計, 脅威モデリング 認証 セッション管理 アクセス制御 悪性⼊⼒の処理 暗号化 エラー処理とログの保存 データ保護 通信 HTTP に関するセキュリティ設定 悪性活動の管理 ビジネスロジック ファイルとリソース モバイル Web サービス (3.0 で追加) 構成 (3.0 で追加) V6 は V5 に統合 V12 は V11 に統合 V14 は V13 に統合
Copyright©2016JPCERT/CC All rights reserved. V2: 認証に関する検査要件(抜粋) 30 2.1: 公開を意図しているものを除き、意図していないすべてのページとリ ソースがデフォルトで認証を必要とする(完全仲介の原則)。 2.2: すべてのパスワードフィールドについてはユーザーのパスワードがその まま表⽰されない設定になっている。 2.4: すべての認証の管理がサーバー側で⾏われる。 2.6: 攻撃者がログインできないように、認証失敗の場合の安全対策を施して いる。 2.7: パスワード⼊⼒フィールドで、パスフレーズの使⽤を許可または推奨し、 ⻑いパスフレーズやきわめて複雑なパスワードの⼊⼒を拒否しない。 2.8: …... 2.9: パスワード変更機能には、古いパスワード、新しいパスワード、パス ワードの確認が含まれている。 2.12: …...
Copyright©2016JPCERT/CC All rights reserved. V5: 悪性⼊⼒の処理に関する検査要件(抜粋) 31 5.1: ランタイム環境がバッファオーバーフローの影響を受けにくい。または バッファオーバーフローの対策を持っている。 5.3: サーバー側で⼊⼒検証エラーが発⽣した場合、リクエストを拒否し、ロ グに記録する。 5.5: ⼊⼒検証ルーチンはサーバー側で実施する。 5.6: アプリケーションに許可される各データ型に対して、単⼀の⼊⼒検証気 候が使⽤されている。 5.10: すべての SQL クエリ、HQL、OSQL、NOSQL、ストアドプロシー ジャ、ストアドプロシージャの呼び出しが、プリペアドステートメント またはクエリのパラメーター化の使⽤によって保護されており、SQL イ ンジェクションの影響を受けない。 5.11: アプリケーションは LDAP インジェクションの影響を受けない、また はセキュリティ制御によって LDAP インジェクションが防⽌される。 5.12: …...
Copyright©2016JPCERT/CC All rights reserved. 3段階のセキュリティ検査レベル 32 ASVS では、3段階の検査レベルが設けられている。 • レベル1: すべてのソフトウェアが満たすべきレベル • レベル2: 保護すべき機密データを扱うシステム向け • レベル3: 医療⽤データなど、⾼信頼性が求められるシ ステム⽤
Copyright©2016JPCERT/CC All rights reserved. 3段階のセキュリティ検査レベル 33
Copyright©2016JPCERT/CC All rights reserved. ユーザ使⽤例 34 OWASP Project 使ってみた ((http://www.slideshare.net/akitsuguito/owasp-project) から引⽤
Copyright©2016JPCERT/CC All rights reserved. 3. CHEAT SHEET シリーズとは 35
Copyright©2016JPCERT/CC All rights reserved.36 https://www.owasp.org/index.php/Cheat_Sheets
Copyright©2016JPCERT/CC All rights reserved.37
Copyright©2016JPCERT/CC All rights reserved.38 開発者 向け
Copyright©2016JPCERT/CC All rights reserved.39 検証者 向け
Copyright©2016JPCERT/CC All rights reserved.40 モバイル 環境向け
Copyright©2016JPCERT/CC All rights reserved.41 運⽤者向 け
Copyright©2016JPCERT/CC All rights reserved.42 ベータ版 ドラフト
Copyright©2016JPCERT/CC All rights reserved. 開発者向けチートシート(1) 43 • アクセス制御に関するチートシート • (AJAX Security Cheat Sheet) • 認証に関するチートシート • セキュリティの質問の選択と使⽤に関するチートシート • クリックジャッキング対策に関するチートシート • C ベースのツールチェーンの強化に関するチートシート • クロスサイトリクエストフォージェリ (CSRF) の防⽌策に関す るチートシート • 暗号化ストレージに関するチートシート • DOM ベース XSS 対策チートシート • パスワードを忘れた場合に関するチートシート • HTML5 セキュリティに関するチートシート
Copyright©2016JPCERT/CC All rights reserved. 開発者向けチートシート(2) 44 • ⼊⼒値検証に関するチートシート • JAAS に関するチートシート • (LDAP Injection Cheat Sheet) • ロギングに関するチートシート • (Mass Assignment Cheat Sheet) • .NET セキュリティに関するチートシート • OWASP トップ 10 チートシート • パスワードの保存に関するチートシート • ピン留めに関するチートシート • クエリのパラメーター化に関するチートシート • Ruby on Rails に関するチートシート
Copyright©2016JPCERT/CC All rights reserved. 開発者向けチートシート(3) 45 • REST セキュリティに関するチートシート • セッション管理に関するチートシート • SAML セキュリティに関するチートシート • SQL インジェクション対策に関するチートシート • トランザクション認可に関するチートシート • トランスポート層の保護に関するチートシート • 未検証のリダイレクトと転送に関するチートシート • ユーザープライバシーの保護に関するチートシート • Web サービスのセキュリティに関するチートシート • クロスサイトスクリプティング (XSS) 対策チートシート • (XML External Entity (XXE) Prevention Cheat Sheet)
Copyright©2016JPCERT/CC All rights reserved. 検証者向けチートシート 46 •攻撃対象領域分析に関するチートシート •XSS フィルター回避チートシート •REST 評価に関するチートシート •Web アプリケーションのセキュリティテストに関するチート シート
Copyright©2016JPCERT/CC All rights reserved. モバイル環境向けチートシート 47 •iOS 開発者のためのチートシート •モバイルデバイスのジェイルブレイクに関するチートシート
Copyright©2016JPCERT/CC All rights reserved. 運⽤者向けチートシート 48 •仮想パッチに関するチートシート
Copyright©2016JPCERT/CC All rights reserved. ベータ版ドラフト 49 • (3rd Party Javascript Management) • (Android Testing) • アプリケーションのセキュリティアーキテクチャに関するチートシート • ビジネスロジックのセキュリティに関するチートシート • (Injection Prevention Cheat Sheet) • PHP セキュリティに関するチートシート • セキュアコーディングに関するチートシート • (Secure SDLC) • (Threat Modeling) • (Grails Secure Code Review) • iOS アプリケーションのセキュリティテストに関するチートシート • 鍵管理に関するチートシート • (Insecure Direct Object Reference Prevention) • CSP に関するチートシート
Copyright©2016JPCERT/CC All rights reserved. 例: XSS 対策チートシート 50
Copyright©2016JPCERT/CC All rights reserved. 例: 認証に関するチートシート 51
Copyright©2016JPCERT/CC All rights reserved. 4. まとめ 52
Copyright©2016JPCERT/CC All rights reserved. まとめ lOWASP が有⽤なドキュメントをい ろいろ公開してるぞ l⽇本語訳もあるので活⽤してね l jpcertcc.github.io の⽇本語訳改良にご協⼒を! l⽇本国内でも OWASP 関連の活動 あるから参加してみよう 53
Copyright©2016JPCERT/CC All rights reserved. 参考情報 OWASP (https://en.wikipedia.org/wiki/OWASP) OWASP とは — (http://2014.appsecapac.org/owasp-appsec-apac-2014/about-owasp/index.html) アプリケーションセキュリティ検査・検証の標準化 — (http://www.slideshare.net/okdt/owasp-asvs-project-review-20-and-30) — (https://speakerdeck.com/owaspjapan/owasp-asvs-project-review) About OWASP ASVS 2009 — (http://www.owasp.org/images/7/71/About_OWASP_ASVS.ppt) OWASP Cheat Sheet Series を⽇本語訳して馴染みやすくして みた。 — (http://blog.owaspjapan.org/post/130374053294/) 54
Copyright©2016JPCERT/CC All rights reserved. 参考情報 OWASP Proactive Controls 2016 の⽇本語訳を作成しました (http://www.lac.co.jp/blog/category/system/20160324.html) 「OWASPでビルトイン・セキュリティ」 (http://codezine.jp/article/corner/608) OWASP Project 使ってみた (http://www.slideshare.net/akitsuguito/owasp-project) セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリ ティ診断基準と診断サービスの選定ポイント) (http://www.intellilink.co.jp/article/column/security-assess01.html) 55
Copyright©2016JPCERT/CC All rights reserved.56 ⼀般社団法⼈JPCERTコーディネーションセンター (https://www.jpcert.or.jp/) セキュアコーディング (https://www.jpcert.or.jp/securecoding/) お問い合わせはこちらにどうぞ… (secure-coding@jpcert.or.jp)

More Related Content

PDF
ドメイン駆動設計 基本を理解する
by増田 亨
 
PDF
DDDのモデリングとは何なのか、 そしてどうコードに落とすのか
byKoichiro Matsuoka
 
PDF
ドメイン駆動設計 ( DDD ) をやってみよう
by増田 亨
 
PPTX
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
Spanner移行について本気出して考えてみた
bytechgamecollege
 
PDF
Python 3.9からの新定番zoneinfoを使いこなそう
byRyuji Tsutsui
 
PDF
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
PDF
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
byMicroAd, Inc.(Engineer)
 
ドメイン駆動設計 基本を理解する
by増田 亨
 
DDDのモデリングとは何なのか、 そしてどうコードに落とすのか
byKoichiro Matsuoka
 
ドメイン駆動設計 ( DDD ) をやってみよう
by増田 亨
 
kubernetes初心者がKnative Lambda Runtime触ってみた(Kubernetes Novice Tokyo #13 発表資料)
byNTT DATA Technology & Innovation
 
Spanner移行について本気出して考えてみた
bytechgamecollege
 
Python 3.9からの新定番zoneinfoを使いこなそう
byRyuji Tsutsui
 
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
Scala、DDD、Akkaで立ち向かう 〜広告配信システムに課せられた100msの制約〜
byMicroAd, Inc.(Engineer)
 

What's hot

PDF
なぜ「マイクロサービス“化”」が必要なのか
byYusuke Suzuki
 
PPTX
SPAセキュリティ入門~PHP Conference Japan 2021
byHiroshi Tokumaru
 
PDF
ドメイン駆動設計 の 実践 Part3 DDD
by増田 亨
 
PDF
ドメイン駆動設計 本格入門
by増田 亨
 
PDF
ドメイン駆動設計(DDD)の実践Part2
by増田 亨
 
PDF
Vacuum徹底解説
byMasahiko Sawada
 
PDF
新入社員のための大規模ゲーム開発入門 サーバサイド編
byinfinite_loop
 
PDF
ドメイン駆動設計の正しい歩き方
by増田 亨
 
PDF
マイクロサービス 4つの分割アプローチ
by増田 亨
 
PDF
ソーシャルゲームのためのデータベース設計
byYoshinori Matsunobu
 
PDF
アジャイル開発のストーリーをGherkin記法で作成
byShinya Nakajima
 
PPTX
PostgreSQL14の pg_stat_statements 改善(第23回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
MongoDBが遅いときの切り分け方法
byTetsutaro Watanabe
 
PDF
リッチなドメインモデル 名前探し
by増田 亨
 
PPTX
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
byNTT DATA Technology & Innovation
 
PPTX
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
PDF
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
byShuji Kikuchi
 
PDF
例外設計における大罪
byTakuto Wada
 
PPTX
マイクロサービスにおける 結果整合性との戦い
byota42y
 
PDF
イミュータブルデータモデル(世代編)
byYoshitaka Kawashima
 
なぜ「マイクロサービス“化”」が必要なのか
byYusuke Suzuki
 
SPAセキュリティ入門~PHP Conference Japan 2021
byHiroshi Tokumaru
 
ドメイン駆動設計 の 実践 Part3 DDD
by増田 亨
 
ドメイン駆動設計 本格入門
by増田 亨
 
ドメイン駆動設計(DDD)の実践Part2
by増田 亨
 
Vacuum徹底解説
byMasahiko Sawada
 
新入社員のための大規模ゲーム開発入門 サーバサイド編
byinfinite_loop
 
ドメイン駆動設計の正しい歩き方
by増田 亨
 
マイクロサービス 4つの分割アプローチ
by増田 亨
 
ソーシャルゲームのためのデータベース設計
byYoshinori Matsunobu
 
アジャイル開発のストーリーをGherkin記法で作成
byShinya Nakajima
 
PostgreSQL14の pg_stat_statements 改善(第23回PostgreSQLアンカンファレンス@オンライン 発表資料)
byNTT DATA Technology & Innovation
 
MongoDBが遅いときの切り分け方法
byTetsutaro Watanabe
 
リッチなドメインモデル 名前探し
by増田 亨
 
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
byNTT DATA Technology & Innovation
 
サポート エンジニアが Azure Networking をじっくりたっぷり語りつくす会
byShuheiUda
 
[JAWS DAYS 2019] Amazon DocumentDB(with MongoDB Compatibility)入門
byShuji Kikuchi
 
例外設計における大罪
byTakuto Wada
 
マイクロサービスにおける 結果整合性との戦い
byota42y
 
イミュータブルデータモデル(世代編)
byYoshitaka Kawashima
 

Viewers also liked

PDF
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
byJPCERT Coordination Center
 
PDF
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
PDF
Owasp Project を使ってみた
byAkitsugu Ito
 
PDF
Apache Axis2におけるXML署名検証不備
byJPCERT Coordination Center
 
PDF
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
byJPCERT Coordination Center
 
PDF
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
byJPCERT Coordination Center
 
PDF
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
byMuneaki Nishimura
 
PDF
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
byJPCERT Coordination Center
 
PDF
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
byJPCERT Coordination Center
 
PDF
低対話型サーバハニーポットの運用結果及び考察
byTakaaki Hoyo
 
PPTX
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
byJPCERT Coordination Center
 
PDF
早田㈱5 s活動事例商工会議所講演会2012.10.15
by早田株式会社
 
PPTX
クラウドハニーポットを運用しよう!
byMizutani Masayoshi
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PDF
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
byJPCERT Coordination Center
 
PDF
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
PPTX
脆弱性診断研究会 第34回セミナー資料
by脆弱性診断研究会
 
PDF
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
byjunk_coken
 
PDF
OWASP ZAP(など)で挑む SECCON
byJun Matsumoto
 
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
byJPCERT Coordination Center
 
脆弱性情報はこうしてやってくる
byJPCERT Coordination Center
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
Owasp Project を使ってみた
byAkitsugu Ito
 
Apache Axis2におけるXML署名検証不備
byJPCERT Coordination Center
 
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
byJPCERT Coordination Center
 
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
byJPCERT Coordination Center
 
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
byMuneaki Nishimura
 
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
byJPCERT Coordination Center
 
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
byJPCERT Coordination Center
 
低対話型サーバハニーポットの運用結果及び考察
byTakaaki Hoyo
 
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
byJPCERT Coordination Center
 
早田㈱5 s活動事例商工会議所講演会2012.10.15
by早田株式会社
 
クラウドハニーポットを運用しよう!
byMizutani Masayoshi
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
byJPCERT Coordination Center
 
アプリケーションデリバリーのバリューチェイン
byRiotaro OKADA
 
脆弱性診断研究会 第34回セミナー資料
by脆弱性診断研究会
 
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
byjunk_coken
 
OWASP ZAP(など)で挑む SECCON
byJun Matsumoto
 

Similar to OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)

PDF
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
byHiroshi Tokumaru
 
PDF
徳丸本ができるまで
byHiroshi Tokumaru
 
PDF
The Shift Left Path and OWASP
byRiotaro OKADA
 
PDF
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
PDF
今日こそわかる、安全なWebアプリの作り方2010
byHiroshi Tokumaru
 
PDF
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
PDF
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
PDF
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
PPTX
セキュアコーディング方法論再構築の試み
byHiroshi Tokumaru
 
PPTX
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
PDF
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
PPT
セキュアなサーバを構築しよう(CentOS 5.xまで対応)
byKensuke Nezu
 
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
PPTX
OWASP Top 10 超初級編
byAkitadaOmagari
 
PPTX
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
PDF
Security issue201312
byRiotaro OKADA
 
PDF
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
PPTX
Survey and Analysis of ICS Vulnerabilities (Japanese)
byDigital Bond
 
PPTX
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
byHiroshi Tokumaru
 
徳丸本ができるまで
byHiroshi Tokumaru
 
The Shift Left Path and OWASP
byRiotaro OKADA
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
今日こそわかる、安全なWebアプリの作り方2010
byHiroshi Tokumaru
 
ソースコード検査に耐えるコードとは?
byYasuo Ohgaki
 
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
セキュアコーディング方法論再構築の試み
byHiroshi Tokumaru
 
エフスタ!!勉強会#26 セキュリティと開発と
byHaga Takeshi
 
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
OWASP Top 10 - 2021 Overview
byOWASP Nagoya
 
セキュアなサーバを構築しよう(CentOS 5.xまで対応)
byKensuke Nezu
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
OWASP Top 10 超初級編
byAkitadaOmagari
 
セキュア開発の<s>3つの</s>敵
byRiotaro OKADA
 
Security issue201312
byRiotaro OKADA
 
Paneldiscussion: DevSumi 2015 災害xクラウド (岡田担当分)
byRiotaro OKADA
 
Survey and Analysis of ICS Vulnerabilities (Japanese)
byDigital Bond
 
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 

More from JPCERT Coordination Center

PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
PDF
クロスサイトリクエストフォージェリ(CSRF)とその対策
byJPCERT Coordination Center
 
PDF
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
PDF
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
byJPCERT Coordination Center
 
PDF
Android Secure Coding
byJPCERT Coordination Center
 
PDF
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
byJPCERT Coordination Center
 
PDF
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
PDF
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
byJPCERT Coordination Center
 
PDF
Apache Struts2 における任意の Java メソッド実行の脆弱性
byJPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第4回講義
byJPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第4回演習の解説
byJPCERT Coordination Center
 
PDF
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
byJPCERT Coordination Center
 
PDF
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
byJPCERT Coordination Center
 
PDF
Blojsom におけるクロスサイトスクリプティングの脆弱性
byJPCERT Coordination Center
 
PDF
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
byJPCERT Coordination Center
 
PDF
ソフトウェアセキュリティ保証成熟度モデル
byJPCERT Coordination Center
 
PDF
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
byJPCERT Coordination Center
 
PDF
MySQL Connector/J における SQL インジェクションの脆弱性
byJPCERT Coordination Center
 
PDF
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
byJPCERT Coordination Center
 
PDF
Javaセキュアコーディングセミナー東京第2回演習の解説
byJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
byJPCERT Coordination Center
 
クロスサイトリクエストフォージェリ(CSRF)とその対策
byJPCERT Coordination Center
 
DLL読み込みの問題を読み解く
byJPCERT Coordination Center
 
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
byJPCERT Coordination Center
 
Android Secure Coding
byJPCERT Coordination Center
 
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
byJPCERT Coordination Center
 
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
byJPCERT Coordination Center
 
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
byJPCERT Coordination Center
 
Apache Struts2 における任意の Java メソッド実行の脆弱性
byJPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回講義
byJPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第4回演習の解説
byJPCERT Coordination Center
 
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
byJPCERT Coordination Center
 
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
byJPCERT Coordination Center
 
Blojsom におけるクロスサイトスクリプティングの脆弱性
byJPCERT Coordination Center
 
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
byJPCERT Coordination Center
 
ソフトウェアセキュリティ保証成熟度モデル
byJPCERT Coordination Center
 
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
byJPCERT Coordination Center
 
MySQL Connector/J における SQL インジェクションの脆弱性
byJPCERT Coordination Center
 
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
byJPCERT Coordination Center
 
Javaセキュアコーディングセミナー東京第2回演習の解説
byJPCERT Coordination Center
 

OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)

  • 1.
    OWASP ASVS とCheat Sheet シリーズ (⽇本語版) の ご紹介 JPCERT/CC 情報流通対策グループ ⼾⽥洋三 (yozo.toda@jpcert.or.jp) OSC2016Hokkaido
  • 2.
    Copyright©2016JPCERT/CC All rightsreserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト ⼾⽥ 洋三 脆弱性情報分析, セキュアコーディ ング普及啓発活動…… に努めてます 2
  • 3.
    Copyright©2016JPCERT/CC All rightsreserved. JPCERT/CCとは JPCERT Coordination Center ⽇本における情報セキュリティ 対策活動の向上に取り組んでい る組織 3
  • 4.
    Copyright©2016JPCERT/CC All rightsreserved. JPCERT/CCの主な活動 4
  • 5.
    Copyright©2016JPCERT/CC All rightsreserved. 過去のOSC参加履歴 (セミナーを⾏ったもの) 5 •OSC2015@Hokkaido •CSRF 脆弱性とその対策について •OSC2014@Fukuoka •Lessons (to be) Learned from Handling OpenSSL Vulnerabilities •OSC2013@Kyoto •〜ヒトの振り⾒て我が振り直せ〜脆弱性事例に学ぶJavaセキュアコーディング •OSC2012@Fukuoka •Androidセキュアコーディング〜安全なAndroidアプリ開発のための⼼得〜 •OSC2011@Nagoya: セキュアコーディングノススメ(JAVA編) •OSC2010@Hokkaido: あなたのコードにセキュアコーディングスタンダード •OSC2009@Fukuoka: セキュアコーディングノススメ •OSC2008@Tokyo/Spring: セキュアコーディングノススメ •OSC2007@Fukuoka: セキュアコーディングノススメ •OSC2007@Niigata: ソフトウェア脆弱性を取り巻く状況と対策 •OSC2007@Kansai: ソフトウェア脆弱性情報流通のこれまでとこれから •OSC2005@Tokyo/Fall: ソフトウェア脆弱性情報流通への取り組み
  • 6.
    Copyright©2016JPCERT/CC All rightsreserved. JPCERT/CC セキュアコーディングのコンテンツ 6 www.jpcert.or.jp/securecoding/
  • 7.
    Copyright©2016JPCERT/CC All rightsreserved. slideshare にも講演資料やセミナコンテンツ置いてます 7 www.slideshare.net/jpcert_securecoding/presentations
  • 8.
    Copyright©2016JPCERT/CC All rightsreserved. セキュアコーディングスタンダード 8 ⽶国 CMU/SEI の the CERT Secure Coding Initiative によるコーディングスタンダードシリーズ https://www.securecoding.cert.org/ 現状, 5種類公開され ています.
  • 9.
    Copyright©2016JPCERT/CC All rightsreserved.9 CERT C コーディングスタンダード CERT C セキュアコーディングスタンダード紹介 https://www.jpcert.or.jp/research/materials.html#secure JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/sc-rules/
  • 10.
    Copyright©2016JPCERT/CC All rightsreserved.10 CERT Oracle Java コーディングスタンダード OSC2011@Nagoya で紹介してます http://www.ospn.jp/osc2011-nagoya/pdf/ osc2011nagoya-JPCERT_CC.pdf JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/java-rules/
  • 11.
    Copyright©2016JPCERT/CC All rightsreserved.11 コーディングスタンダード(C++, Perl, Android) “under development” (開発中)
  • 12.
    Copyright©2016JPCERT/CC All rightsreserved. コーディングスタンダードの協⼒者募集中! セキュアコーディングスタンダード⽇本語版 の整備に協⼒してくれる⽅を求めています。 —Java, Android, C, C++, …… —既存の⽇本語へのコメント、改善案 —英語原⽂へのコメント、改善案 —さらに編集も… 12
  • 13.
    Copyright©2016JPCERT/CC All rightsreserved. 本⽇の話題 ü ⾃⼰紹介 ü OWASP とは ü ASVS とは ü Cheat Sheet シリーズとは ü まとめ ü 参考情報など 13
  • 14.
    Copyright©2016JPCERT/CC All rightsreserved. 1. OWASP(OPEN WEB APPLICATION SECURITY PROJECT)とは 14
  • 15.
    Copyright©2016JPCERT/CC All rightsreserved. OWASP とは 15 https://www.owasp.org/index.php/Main_Page
  • 16.
    Copyright©2016JPCERT/CC All rightsreserved. OWASP とは 16 https://www.owasp.org/index.php/Main_Page OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、また セキュアなソフトウェア開発を促進する 技術・プロセスに関する情報共有と普及 啓発を⽬的としたコミュニティです。 https://www.owasp.org/index.php/Japan から引⽤
  • 17.
    Copyright©2016JPCERT/CC All rightsreserved. OWASP とは 17 L M 20 S B T M S A T M S T M S B T O O O k O05 21 242 O O O nk O D B B O DD2 B C O x pi O O O1 C G I CBG CA O G 2 G 2 O M M O O3 G B O GG 1 CJ S 1T i O k https://speakerdeck.com/owaspjapan/owasp-contents-reference
  • 18.
    Copyright©2016JPCERT/CC All rightsreserved. ⽇本における OWASP 関連の活動 18 ⽇本で設⽴されたチャプター⼀覧 •Japan •Fukushima •Kansai •Kyushu •Okinawa •Sendai https://www.owasp.org/index.php/OWASP_Chapter
  • 19.
    Copyright©2016JPCERT/CC All rightsreserved. ⽇本における OWASP 関連の活動 19 OWASP 蛇とはしご⽇本語版 脆弱性診断⼠(Webアプリケーション)スキルマップ OWASP Cheat Sheet Series ガイドブック Webシステム/Webアプリケーションセキュリティ要件書2.0 OWASP Top 10 Proactive Controls 2016 Japanese 脆弱性診断⼠(Webアプリケーション)スキルマップ&シラバス 脆弱性診断⼠(プラットフォーム)スキルマップ&シラバス OWASP Japan Blog (http://blog.owaspjapan.org/)
  • 20.
    Copyright©2016JPCERT/CC All rightsreserved. OWASPドキュメントの⽇本語訳 20 OWASPっていいドキュメント(英語)い ろいろあるじゃん. JPCERT/CCでいちから作るより ⽇本語訳して提供した⽅が良さそうだぞ.
  • 21.
    Copyright©2016JPCERT/CC All rightsreserved. OWASPドキュメントの⽇本語訳 21 やっちゃいました.
  • 22.
    Copyright©2016JPCERT/CC All rightsreserved. OWASPドキュメントの⽇本語訳 22 ベータ版を github に… まもなく www.jpcert.or.jp に も掲載します. https://jpcertcc.github.io/OWASPdocuments/
  • 23.
    Copyright©2016JPCERT/CC All rightsreserved. 2. ASVS(APPLICATION SECURITY VERIFICATION STANDARD) とは 23
  • 24.
    Copyright©2016JPCERT/CC All rightsreserved. OWASP ASVS プロジェクト 24 https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
  • 25.
    Copyright©2016JPCERT/CC All rightsreserved. ASVS の⽬標 25 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings
  • 26.
    Copyright©2016JPCERT/CC All rightsreserved. ASVS の⽬標 26 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザによる製品やサービスに対するセキュリ ティ要件を合致させる
  • 27.
    Copyright©2016JPCERT/CC All rightsreserved. ASVS の⽬標 27 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザが製品やサービスをセキュリティ要件に合 致させる
  • 28.
    Copyright©2016JPCERT/CC All rightsreserved. ASVS (3.0.1) のセクション⼀覧 28 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0)
  • 29.
    Copyright©2016JPCERT/CC All rightsreserved.29 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0) ASVS (3.0.1) のセクション⼀覧(⽇本語) アーキテクチャ, 設計, 脅威モデリング 認証 セッション管理 アクセス制御 悪性⼊⼒の処理 暗号化 エラー処理とログの保存 データ保護 通信 HTTP に関するセキュリティ設定 悪性活動の管理 ビジネスロジック ファイルとリソース モバイル Web サービス (3.0 で追加) 構成 (3.0 で追加) V6 は V5 に統合 V12 は V11 に統合 V14 は V13 に統合
  • 30.
    Copyright©2016JPCERT/CC All rightsreserved. V2: 認証に関する検査要件(抜粋) 30 2.1: 公開を意図しているものを除き、意図していないすべてのページとリ ソースがデフォルトで認証を必要とする(完全仲介の原則)。 2.2: すべてのパスワードフィールドについてはユーザーのパスワードがその まま表⽰されない設定になっている。 2.4: すべての認証の管理がサーバー側で⾏われる。 2.6: 攻撃者がログインできないように、認証失敗の場合の安全対策を施して いる。 2.7: パスワード⼊⼒フィールドで、パスフレーズの使⽤を許可または推奨し、 ⻑いパスフレーズやきわめて複雑なパスワードの⼊⼒を拒否しない。 2.8: …... 2.9: パスワード変更機能には、古いパスワード、新しいパスワード、パス ワードの確認が含まれている。 2.12: …...
  • 31.
    Copyright©2016JPCERT/CC All rightsreserved. V5: 悪性⼊⼒の処理に関する検査要件(抜粋) 31 5.1: ランタイム環境がバッファオーバーフローの影響を受けにくい。または バッファオーバーフローの対策を持っている。 5.3: サーバー側で⼊⼒検証エラーが発⽣した場合、リクエストを拒否し、ロ グに記録する。 5.5: ⼊⼒検証ルーチンはサーバー側で実施する。 5.6: アプリケーションに許可される各データ型に対して、単⼀の⼊⼒検証気 候が使⽤されている。 5.10: すべての SQL クエリ、HQL、OSQL、NOSQL、ストアドプロシー ジャ、ストアドプロシージャの呼び出しが、プリペアドステートメント またはクエリのパラメーター化の使⽤によって保護されており、SQL イ ンジェクションの影響を受けない。 5.11: アプリケーションは LDAP インジェクションの影響を受けない、また はセキュリティ制御によって LDAP インジェクションが防⽌される。 5.12: …...
  • 32.
    Copyright©2016JPCERT/CC All rightsreserved. 3段階のセキュリティ検査レベル 32 ASVS では、3段階の検査レベルが設けられている。 • レベル1: すべてのソフトウェアが満たすべきレベル • レベル2: 保護すべき機密データを扱うシステム向け • レベル3: 医療⽤データなど、⾼信頼性が求められるシ ステム⽤
  • 33.
    Copyright©2016JPCERT/CC All rightsreserved. 3段階のセキュリティ検査レベル 33
  • 34.
    Copyright©2016JPCERT/CC All rightsreserved. ユーザ使⽤例 34 OWASP Project 使ってみた ((http://www.slideshare.net/akitsuguito/owasp-project) から引⽤
  • 35.
    Copyright©2016JPCERT/CC All rightsreserved. 3. CHEAT SHEET シリーズとは 35
  • 36.
    Copyright©2016JPCERT/CC All rightsreserved.36 https://www.owasp.org/index.php/Cheat_Sheets
  • 37.
  • 38.
    Copyright©2016JPCERT/CC All rightsreserved.38 開発者 向け
  • 39.
    Copyright©2016JPCERT/CC All rightsreserved.39 検証者 向け
  • 40.
    Copyright©2016JPCERT/CC All rightsreserved.40 モバイル 環境向け
  • 41.
    Copyright©2016JPCERT/CC All rightsreserved.41 運⽤者向 け
  • 42.
    Copyright©2016JPCERT/CC All rightsreserved.42 ベータ版 ドラフト
  • 43.
    Copyright©2016JPCERT/CC All rightsreserved. 開発者向けチートシート(1) 43 • アクセス制御に関するチートシート • (AJAX Security Cheat Sheet) • 認証に関するチートシート • セキュリティの質問の選択と使⽤に関するチートシート • クリックジャッキング対策に関するチートシート • C ベースのツールチェーンの強化に関するチートシート • クロスサイトリクエストフォージェリ (CSRF) の防⽌策に関す るチートシート • 暗号化ストレージに関するチートシート • DOM ベース XSS 対策チートシート • パスワードを忘れた場合に関するチートシート • HTML5 セキュリティに関するチートシート
  • 44.
    Copyright©2016JPCERT/CC All rightsreserved. 開発者向けチートシート(2) 44 • ⼊⼒値検証に関するチートシート • JAAS に関するチートシート • (LDAP Injection Cheat Sheet) • ロギングに関するチートシート • (Mass Assignment Cheat Sheet) • .NET セキュリティに関するチートシート • OWASP トップ 10 チートシート • パスワードの保存に関するチートシート • ピン留めに関するチートシート • クエリのパラメーター化に関するチートシート • Ruby on Rails に関するチートシート
  • 45.
    Copyright©2016JPCERT/CC All rightsreserved. 開発者向けチートシート(3) 45 • REST セキュリティに関するチートシート • セッション管理に関するチートシート • SAML セキュリティに関するチートシート • SQL インジェクション対策に関するチートシート • トランザクション認可に関するチートシート • トランスポート層の保護に関するチートシート • 未検証のリダイレクトと転送に関するチートシート • ユーザープライバシーの保護に関するチートシート • Web サービスのセキュリティに関するチートシート • クロスサイトスクリプティング (XSS) 対策チートシート • (XML External Entity (XXE) Prevention Cheat Sheet)
  • 46.
    Copyright©2016JPCERT/CC All rightsreserved. 検証者向けチートシート 46 •攻撃対象領域分析に関するチートシート •XSS フィルター回避チートシート •REST 評価に関するチートシート •Web アプリケーションのセキュリティテストに関するチート シート
  • 47.
    Copyright©2016JPCERT/CC All rightsreserved. モバイル環境向けチートシート 47 •iOS 開発者のためのチートシート •モバイルデバイスのジェイルブレイクに関するチートシート
  • 48.
    Copyright©2016JPCERT/CC All rightsreserved. 運⽤者向けチートシート 48 •仮想パッチに関するチートシート
  • 49.
    Copyright©2016JPCERT/CC All rightsreserved. ベータ版ドラフト 49 • (3rd Party Javascript Management) • (Android Testing) • アプリケーションのセキュリティアーキテクチャに関するチートシート • ビジネスロジックのセキュリティに関するチートシート • (Injection Prevention Cheat Sheet) • PHP セキュリティに関するチートシート • セキュアコーディングに関するチートシート • (Secure SDLC) • (Threat Modeling) • (Grails Secure Code Review) • iOS アプリケーションのセキュリティテストに関するチートシート • 鍵管理に関するチートシート • (Insecure Direct Object Reference Prevention) • CSP に関するチートシート
  • 50.
    Copyright©2016JPCERT/CC All rightsreserved. 例: XSS 対策チートシート 50
  • 51.
    Copyright©2016JPCERT/CC All rightsreserved. 例: 認証に関するチートシート 51
  • 52.
    Copyright©2016JPCERT/CC All rightsreserved. 4. まとめ 52
  • 53.
    Copyright©2016JPCERT/CC All rightsreserved. まとめ lOWASP が有⽤なドキュメントをい ろいろ公開してるぞ l⽇本語訳もあるので活⽤してね l jpcertcc.github.io の⽇本語訳改良にご協⼒を! l⽇本国内でも OWASP 関連の活動 あるから参加してみよう 53
  • 54.
    Copyright©2016JPCERT/CC All rightsreserved. 参考情報 OWASP (https://en.wikipedia.org/wiki/OWASP) OWASP とは — (http://2014.appsecapac.org/owasp-appsec-apac-2014/about-owasp/index.html) アプリケーションセキュリティ検査・検証の標準化 — (http://www.slideshare.net/okdt/owasp-asvs-project-review-20-and-30) — (https://speakerdeck.com/owaspjapan/owasp-asvs-project-review) About OWASP ASVS 2009 — (http://www.owasp.org/images/7/71/About_OWASP_ASVS.ppt) OWASP Cheat Sheet Series を⽇本語訳して馴染みやすくして みた。 — (http://blog.owaspjapan.org/post/130374053294/) 54
  • 55.
    Copyright©2016JPCERT/CC All rightsreserved. 参考情報 OWASP Proactive Controls 2016 の⽇本語訳を作成しました (http://www.lac.co.jp/blog/category/system/20160324.html) 「OWASPでビルトイン・セキュリティ」 (http://codezine.jp/article/corner/608) OWASP Project 使ってみた (http://www.slideshare.net/akitsuguito/owasp-project) セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリ ティ診断基準と診断サービスの選定ポイント) (http://www.intellilink.co.jp/article/column/security-assess01.html) 55
  • 56.
    Copyright©2016JPCERT/CC All rightsreserved.56 ⼀般社団法⼈JPCERTコーディネーションセンター (https://www.jpcert.or.jp/) セキュアコーディング (https://www.jpcert.or.jp/securecoding/) お問い合わせはこちらにどうぞ… (secure-coding@jpcert.or.jp)