owaspの歩き方(how to walk_the_owasp)
DESCRIPTION
How to walk_the_owaspTRANSCRIPT
OWASPの歩き方2012〜2013
OWASP Japan Local Chapter上野宣 ,野渡志浩
Webサイトには何がある?• Webアプリケーションのセキュリティに
関するさまざまな資料– ガイドライン– チュートリアル、ビデオ、ドキュメント– ライブラリ、サンプルコード– ツール
OWASP Top 10 for 2010 • Webアプリケーション脆弱性トップ10
日本語版アリ〼
ZAP Proxy • ZAP (The Zed Attack Proxy ) Proxy • Webアプリケーション脆弱性スキャナー
日本語版アリ〼
WebScarab• Webアプリケーション セキュリティテス
トツール
ESAPI• ESAPI (Enterprise Security API) • セキュアWebアプリケーション開発ため
のセキュリティメソッドコレクション• for Java, .NET, Classic ASP, PHP,
ColdFusion & CFML, Python, Javascript
ASVS• ASVS (Application Security
Verification Standard) • アプリケーションのセキュリティ評価の
ための検査標準– 自動または手動のセキュリティテスト及び
コードレビュー方式の要件
日本語版アリ〼
AntiSamy• HTML/CSS への出⼒を安全するための
API• ポリシーファイルの変更で要件を変更
– antisamy-slashdot.xml• CSS は許可せず、 <b>, <u>, <i>, <a>,
<blockquote> のみが許可される。スラド風– 他にも antisamy-ebay.xml, antisamy-
myspace.xml など
Development Guide • セキュアWebアプリケーションのための
設計・構築・運用ガイドライン– どの程度安全にするか?、セキュリティガイ
ドライン、認証、セッション管理、アクセス制御、イベントのログ監視、データ検証、よく起こる問題(XSSなど)を防ぐ方法、プライバシーへの配慮、暗号技術
– 2010年版が最新、日本語版は2002年
日本語版アリ〼が…
Code Review Guide • セキュリティコードレビュー• コードレビューのプロセスではなく、特
定の脆弱性に焦点を当てている– 脆弱なコードのサンプルなど
• 言語別のベストプラクティス– Java, Classic ASP, PHP, C/C++, MySQL,
Flash, AJAX, Web Services
Testing Guide • Webサイト/アプリケーションのテスト
ガイド、全349ページ(Ver.3)• 各脆弱性、機能別のテスト方法
– Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoSTesting, Web Services Testing, AJAX Testing
SAMM• SAMM (Software Assurance Maturity
Model):ソフトウェアセキュリティ保障成熟度モデル
日本語版アリ〼
Contracting• Contracting: 契約書• セキュア・ソフトウェア開発契約付属書• 開発者と顧客のためのセキュリティに関
連した重要な契約事項について– 原理、ライフサイクル活動、セキュリティ要
求エリア、要員および組織、開発環境、ライブラリ、フレームワーク、および生産物、セキュリティ・レビュー、セキュリティ問題管理、保証、セキュリティ承認と保守
日本語版アリ〼
現状• 日本語版がないプロジェクトもいくつか• 停滞しているプロジェクトもいくつか• ボランティアの⼒が必要
• 日本発でセキュリティ要件定義書のプロジェクトもスタートさせたい(前回言ったけど)