狠狠撸

狠狠撸Share a Scribd company logo

OWASP Top 10 超初級編

Download as pptx, pdf
A
AkitadaOmagari

OWASP Top 10をセキュリティ初心者向きにまとめています 発表場所(#hiro_it) https://hiro-it.connpass.com/

Internet
1 of 43
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
OWASP Top 10 超初級編 akimalu
自己紹介 akimalu Twitter:@aki_malu_sec(セキュリティ専門アカウント) 愛知県生まれ タイ育ち 最近の参加場所 :サイバーセキュリティシンポジウム道後 2019 情報処理学会 第81回全国大会 発表(学生奨励賞) など 開発興味:目覚まし + スマホ, 自動UIブラウザ,など
OWASP Top 10 ? OWASP(The Open Web Application Security Project)が 4年毎のペースで公開されているドキュメント ? 悪用のしやすさ,検知のしやすさ,影響の3つの指標から算出 されたスコアが高い順に順位付けされたもの → Webアプリケーションにおいて、特に気を付けなければ ならないリスクTop 10のようなもの https://www.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
OWASP Top 10 - 2013 OWASP Top 10 - 2017 A1. インジェクション A1. インジェクション A2. 認証の不備とセッション管理 A2. 認証の不備 A3. XSS A3. 機微な情報の露出 A4. 安全でないオブジェクトへの直接参照 A4. XXE A5. 不適切なセキュリティ設定 A5. アクセス制御の不備 A6. 機微な情報の露出 A6. 不適切なセキュリティ設定 A7. 機能レベルのアクセス制御の不足 A7. XSS A8. CSRF A8. 安全でないデシリアライゼーション A9. 既知の脆弱性のあるコンポーネントの使用 A9. 既知の脆弱性のあるコンポーネントの使用 A10. 未検証のリダイレクトと転送 A10. 不十分なロギングとモニタリング
A1. インジェクション
OS Command Injection https://www.ipa.go.jp/security/vuln/vuln_contents/oscmd.html
何が起きているのか ping 11 & ls (ping 11と同時にlsをする) 対策後(簡単なエスケープ処理後) ‘ping 11 & ls’としてshell_exec関数に渡している
A2. 認証の不備
最悪なパスワードTop100 77.ranger 78.1991 79.trustno1 80.merlin 81.cookie 82.ashley 83.bandit 84.killer 85.aaaaaa 86.1q2w3e 87.zaq1zaq1 88.test 89.hockey 90.dallas 91.whatever 92.admin123 93.pussy 94.liverpool 95.querty 96.william 97.soccer 98.london 99.1992 100.biteme 69.nicole 70.hunter 71.1989 72.amanda 73.1990 74.jennifer 75.banana 76.chelsea https://www.teamsid.com/100-worst-passwords/
最悪なパスワードTop100 37.summer 38.george 39.harley 40.222222 41.jessica 42.ginger 43.letmein 44.abcdef 45.solo 46.jordan 47.55555 48.tigger 49.joshua 50.pepper 51.sophie 52.1234 53.rebert 54.matthew 55.12341234 56.Andrew 57.lakers 58.andrea 59.1qaz2wsx 60.starwars 61.ferrari 62.cheese 63.computer 64.corvette 65.mercedes 66.blahblah 67.maverick 68.hello https://www.teamsid.com/100-worst-passwords/
最悪なパスワードTop100 5. 12345 6. 111111 7. 1234567 8. sunshine 9. qwerty 10.iloveyou 11.princess 12.admin 13.welcome 14.666666 15.abc123 16.football 17.123123 18.monkey 19.654321 20.!@#$%^&* 21.charlie 22.aa123456 23.donald 24.password1 25.qwerty123 26.zxcvbnm 27.121212 28.bailey 29.freedom 30.shadow 31.passw0rd 32.baseball 33.buster 34.daniel 35.hannah 36.thomas https://www.teamsid.com/100-worst-passwords/
最悪なパスワードTop100 1.123456 2.password https://www.teamsid.com/100-worst-passwords/ 3.123456789 4.12345678
辞書攻撃 辞書にある語を順に試す
SP800-63 ? NIST(米国国立標準技術研究所)が発行 ? SP800-63B(電子的認証に関するガイドライン)がニュースの対象 → パスワードが特に注目された
SP800-63Bにおけるパスワード ? 複雑さ要件(大文字,記号などを複数使用させるなど)を課さない ? 辞書攻撃対策は必須 ? パスワードが危篤化した场合以外は変更の必要なし
SP800-63Bにおけるパスワード ? 秘密の質問は実施すべきではない ? アカウントリカバリーでE-mailを要素に入れても良い → これはイレギュラー(攻撃者が知らない要素を入れるべき) → 理想的には要素に入れない方が良いが, 現実的に入れるしかない
A3. 機微な情報の露出 ? 平文送信 → 暗号化をして送信(必要最低限の送信) ? 保存時に平文で保存 → ソルト付与や暗号化をして保存(必要最低限の保存) ? 暗号鍵の不十分な管理 → 暗号鍵の適切な管理
A4. XML 外部エンティティ参照(XXE)
XMLとはマークアップ言語 (HTMLもマークアップ言語)
悪意あるコードとその対策 ? パスワード情報を取り出そうとする <!ENTITY xxe SYSTEM “file:///etc/passwd”> ? 悪意あるコードを受け入れないために → JSONを使用 → ホワイトリスト方式 → Webアプリケーションファイアウォール など
A5. アクセス制御の不備
例 http://example.com/guest ↓ http://example.com/admin http://example.com/account?userid=1000 ↓ http://example.com/account?userid=2000
例 http://example.com/guest ↓ http://example.com/admin http://example.com/account?userid=1000 ↓ http://example.com/account?userid=2000 適切なアクセス制御 必要最低限の権限付与
A6. 不適切なセキュリティ設定 ? 古いバージョンのセキュリティホールをついた攻撃 → 最新のバージョンを使用 ? テストアカウント(デフォルトアカウント)を使用した攻撃 → デフォルトアカウントの削除 ? 脆弱性をついた攻撃を受ける可能性の上昇 → 必要最低限の機能付与
よくあるミス ① ID,パスワードを適当に入力 ② IDとパスワードが間違っています ③ パスワードクラック試行 ④ パスワードが間違っています
よくあるミス ① ID,パスワードを適当に入力 ② IDとパスワードが間違っています ③ パスワードクラック試行 ④ パスワードが間違っています IDは合っているのか
A7. XSS(クロスサイトスクリプティング)
Webページを見るとき ① XXXというWebページのHTMLちょうだい!! ② XXXのHTML
Webページが動的に生成されるとき ① 検索 ② 検索結果
反射型XSS(Cross Site Scripting) ① 悪意のあるコード ② 機密情報
データベースへデータを登録 ① データの登録をして!! ② データを登録 ③ 登録成功 ④ 登録したよ!!
データベースを使用するとき ① XXXというWebページのHTMLちょうだい!! ② HTMLを作成するために必要な データを要求 ③ 必要なデータ ④ XXXのHTML
格納型XSS ① 悪意のあるデータの登録を要求!!
格納型XSS ① 悪意のあるデータの登録を要求!! ② 悪意のあるデータを登録 悪意のある データ
格納型XSS ① 悪意のあるデータの登録を要求!! ② 悪意のあるデータを登録 ③ 登録成功 ④ 登録完了!! 悪意のある データ
格納型XSS ① XXXというWebページのHTMLちょうだい!! 悪意のある データ
格納型XSS ① XXXというWebページのHTMLちょうだい!! ② HTMLを作成するために必要な データを要求 ③ 必要なデータ (悪意のあるデータも混ざる) ④ (悪意のあるデータで作られた)XXXのHTML 悪意のある データ
A8. 安全ではないデシリアライゼーション
デシリアライゼーション ユーザID、パスワード、Cookieをまとめて送りたい ↓ a:3:{s:5:”akira”;s:6:”soccer”;s:32:”28729a29f9e7a328aa 28394827ffea38”} ↓ ユーザID:akira パスワード:soccer Cookie: 28729a29f9e7a328aa28394827ffea38 デシリアライゼーション
安全ではないデシリアライゼーション a:3:{s:5:”akira”;s:6:”soccer”;s:32:”28729a29f9e7a328aa 28394827ffea38”} ↓ a:3:{s:4:”root”;s:5:”admin”;s:32:”28729a29f9e7a328aa 28394827ffea38”}
A9. 既知の脆弱性のあるコンポーネントの使用 ? バージョン管理しきれていないことによる脅威 → 必要最低限の機能付与 ? セキュリティパッチが適用されていないことによる脅威 → パッチの適用 ? 古いバージョンの使用による脅威 → 最新のバージョンへの更新
A10. 不十分なロギングとモニタリング ? ログ不足によりインシデントレスポンスが困難になる → 十分な期間の十分な内容のログを残す ? ログ閲覧の権限に関する不適切な設定による情報漏洩 → ログ閲覧に関する設定は必要最低限で適切な設定にする
XVWA(https://github.com/s4n7h0/xvwa) Webアプリケーションにおけるセキュリティをハンズオンで 学べるOSS ? SQLインジェクション ? OSコマンドインジェクション ? XSS ? PHPオブジェクトインジェクション ? XPATHインジェクション など

More Related Content

What's hot (20)

PPTX
4 Enemies of DevSecOps 2016
Riotaro OKADA
?
PDF
公司のデジタル変革とサイバーリスク
Riotaro OKADA
?
PPTX
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
?
PPTX
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
?
PPTX
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
?
PDF
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
?
PPTX
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
?
PPTX
OWASP Cheatsheetを参考にやられアプリ作ってみた
mkoda
?
PPTX
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
?
PDF
翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出
oshiro_seiya
?
PDF
天職の就き方 ? ほ?くらか?旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
?
PPTX
厂别肠耻谤颈迟测颁补尘辫2015「バグハンティング入门」
Masato Kinugawa
?
PPTX
脆弱性诊断研究会 第34回セミナー资料
脆弱性诊断研究会
?
PDF
モバイルアプリケーションセキュリティ101
TokujiAkamine
?
PDF
20210404_SECURITY_MELT
Typhon 666
?
PDF
脆弱性诊断って何をどうすればいいの?(おかわり)
脆弱性诊断研究会
?
PPTX
osc2016do ひけ?て?学ふ?Webアフ?リケーションに潜むリスク
Ierae Security
?
PPTX
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
?
PPTX
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
?
PDF
シフトレフト戦略と冲縄県
Riotaro OKADA
?
4 Enemies of DevSecOps 2016
Riotaro OKADA
?
公司のデジタル変革とサイバーリスク
Riotaro OKADA
?
OWASP Top 10 - 2013 を起点にして
Chia-Lung Hsieh
?
20180426 不正指令電磁的記録に関する罪とオンプレおよびクラウドにおけるWebネット型インシデントレスポンスについて
Typhon 666
?
20210716 Security Audit of Salesforce & Other Measures
Typhon 666
?
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
?
20190418 About the concept of intra-organization release approval flow in wat...
Typhon 666
?
OWASP Cheatsheetを参考にやられアプリ作ってみた
mkoda
?
20191013_Wolf and Seven Little Goats -Serverless Fairy Tales-
Typhon 666
?
翱奥础厂笔冲罢辞辫冲10冲2017冲础3机微な情报の露出
oshiro_seiya
?
天職の就き方 ? ほ?くらか?旅に出る理由 Part 2 #ssmjp 1501
Sen Ueno
?
厂别肠耻谤颈迟测颁补尘辫2015「バグハンティング入门」
Masato Kinugawa
?
脆弱性诊断研究会 第34回セミナー资料
脆弱性诊断研究会
?
モバイルアプリケーションセキュリティ101
TokujiAkamine
?
20210404_SECURITY_MELT
Typhon 666
?
脆弱性诊断って何をどうすればいいの?(おかわり)
脆弱性诊断研究会
?
osc2016do ひけ?て?学ふ?Webアフ?リケーションに潜むリスク
Ierae Security
?
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
Sen Ueno
?
OWASP meets KOBE - コピペで作るシステムの終焉とシフトレフト -
Riotaro OKADA
?
シフトレフト戦略と冲縄県
Riotaro OKADA
?

Similar to OWASP Top 10 超初級編 (20)

PDF
OWASP Top 10 超初級編 (2021 Ver.)
AkitadaOmagari
?
PPTX
今た?からこそ振り返ろう!OWASP Top 10
Daiki Ichinose
?
PPTX
Owasp top10 HandsOn
masafumi masutani
?
PDF
OWASP Top 10 - 2021 Overview
OWASP Nagoya
?
PDF
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
?
PPTX
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
?
PPTX
OWASP Top 10 2017 RC1について
Daiki Ichinose
?
PPTX
OWASP IoT Top10 超初級編
AkitadaOmagari
?
PDF
Security issue201312
Riotaro OKADA
?
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
Yasuo Ohgaki
?
PDF
OWASP Projects
Takanori Nakanowatari
?
PDF
introduction to OWASP's documentation 20250607
OWASP Nagoya
?
PDF
セキュリティは2016年も「热男」で行こう!
Tomohiro Hanada
?
PPTX
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
?
PDF
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
?
PPTX
翱奥础厂笔のドキュメントやツールを知ろう
Yuichi Hattori
?
PDF
Privacy by Design with OWASP
Riotaro OKADA
?
PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
?
PPTX
20190124 waf
Serverworks Co.,Ltd.
?
PDF
Kobe sec#7 summary
Yukio NAGAO
?
OWASP Top 10 超初級編 (2021 Ver.)
AkitadaOmagari
?
今た?からこそ振り返ろう!OWASP Top 10
Daiki Ichinose
?
Owasp top10 HandsOn
masafumi masutani
?
OWASP Top 10 - 2021 Overview
OWASP Nagoya
?
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
Hiroshi Tokumaru
?
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
?
OWASP Top 10 2017 RC1について
Daiki Ichinose
?
OWASP IoT Top10 超初級編
AkitadaOmagari
?
Security issue201312
Riotaro OKADA
?
アプリ開発者に大きな影響 2017年版OWASP TOP 10
Yasuo Ohgaki
?
OWASP Projects
Takanori Nakanowatari
?
introduction to OWASP's documentation 20250607
OWASP Nagoya
?
セキュリティは2016年も「热男」で行こう!
Tomohiro Hanada
?
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
?
owasp_evening_okinawa_7_owasp_top_10-2017_injection
tobaru_yuta
?
翱奥础厂笔のドキュメントやツールを知ろう
Yuichi Hattori
?
Privacy by Design with OWASP
Riotaro OKADA
?
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
JPCERT Coordination Center
?
20190124 waf
Serverworks Co.,Ltd.
?
Kobe sec#7 summary
Yukio NAGAO
?
Ad

More from AkitadaOmagari (9)

PDF
滨辞罢のセキュリティを考える(滨辞罢机器内部の通信)
AkitadaOmagari
?
PDF
2020年のセキュリティを振り返る
AkitadaOmagari
?
PDF
フィッシングメールの见破り方
AkitadaOmagari
?
PPTX
资格取得に意味はあるのか?
AkitadaOmagari
?
PDF
テレワーク特有のセキュリティについて考えてみた
AkitadaOmagari
?
PPTX
2019年のセキュリティを振り返る
AkitadaOmagari
?
PPTX
非接触型決済 vs QRコード決済(セキュリティ編)
AkitadaOmagari
?
PPTX
Adversarial ExampleからDeep Learningのセキュリティを考える
AkitadaOmagari
?
PPTX
2018年のセキュリティを振り返る
AkitadaOmagari
?
滨辞罢のセキュリティを考える(滨辞罢机器内部の通信)
AkitadaOmagari
?
2020年のセキュリティを振り返る
AkitadaOmagari
?
フィッシングメールの见破り方
AkitadaOmagari
?
资格取得に意味はあるのか?
AkitadaOmagari
?
テレワーク特有のセキュリティについて考えてみた
AkitadaOmagari
?
2019年のセキュリティを振り返る
AkitadaOmagari
?
非接触型決済 vs QRコード決済(セキュリティ編)
AkitadaOmagari
?
Adversarial ExampleからDeep Learningのセキュリティを考える
AkitadaOmagari
?
2018年のセキュリティを振り返る
AkitadaOmagari
?
Ad

OWASP Top 10 超初級編

About
? 2025 狠狠撸