Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

OWASPの歩き方(How to walk_the_owasp)

3,263 views

Published on

How to walk_the_owasp

OWASPの歩き方(How to walk_the_owasp)

  1. 1. OWASPの歩き方 2012〜2013OWASP Japan Local Chapter上野宣 ,野渡志浩
  2. 2. Webサイトには何がある?• Webアプリケーションのセキュリティに 関するさまざまな資料 – ガイドライン – チュートリアル、ビデオ、ドキュメント – ライブラリ、サンプルコード – ツール
  3. 3. OWASP Top 10 for 2010 日本語版アリ〼• Webアプリケーション脆弱性トップ10
  4. 4. ZAP Proxy 日本語版アリ〼• ZAP (The Zed Attack Proxy ) Proxy• Webアプリケーション脆弱性スキャナー
  5. 5. WebScarab• Webアプリケーション セキュリティテス トツール
  6. 6. ESAPI• ESAPI (Enterprise Security API)• セキュアWebアプリケーション開発ため のセキュリティメソッドコレクション• for Java, .NET, Classic ASP, PHP, ColdFusion & CFML, Python, Javascript
  7. 7. ASVS 日本語版アリ〼• ASVS (Application Security Verification Standard)• アプリケーションのセキュリティ評価の ための検査標準 – 自動または手動のセキュリティテスト及び コードレビュー方式の要件
  8. 8. AntiSamy• HTML/CSS への出⼒を安全するための API• ポリシーファイルの変更で要件を変更 – antisamy-slashdot.xml • CSS は許可せず、 <b>, <u>, <i>, <a>, <blockquote> のみが許可される。スラド風 – 他にも antisamy-ebay.xml, antisamy- myspace.xml など
  9. 9. Development Guide 日本語版アリ〼が…• セキュアWebアプリケーションのための 設計・構築・運用ガイドライン – どの程度安全にするか?、セキュリティガイ ドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よ く起こる問題(XSSなど)を防ぐ方法、プライ バシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年
  10. 10. Code Review Guide• セキュリティコードレビュー• コードレビューのプロセスではなく、特 定の脆弱性に焦点を当てている – 脆弱なコードのサンプルなど• 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services
  11. 11. Testing Guide• Webサイト/アプリケーションのテスト ガイド、全349ページ(Ver.3)• 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing
  12. 12. SAMM 日本語版アリ〼• SAMM (Software Assurance Maturity Model):ソフトウェアセキュリティ保障 成熟度モデル
  13. 13. Contracting 日本語版アリ〼• Contracting: 契約書• セキュア・ソフトウェア開発契約付属書• 開発者と顧客のためのセキュリティに関 連した重要な契約事項について – 原理、ライフサイクル活動、セキュリティ要 求エリア、要員および組織、開発環境、ライ ブラリ、フレームワーク、および生産物、セ キュリティ・レビュー、セキュリティ問題管 理、保証、セキュリティ承認と保守
  14. 14. 現状• 日本語版がないプロジェクトもいくつか• 停滞しているプロジェクトもいくつか• ボランティアの⼒が必要• 日本発でセキュリティ要件定義書のプロ ジェクトもスタートさせたい(前回言っ たけど)

×