狠狠撸

狠狠撸Share a Scribd company logo

OWASPの歩き方(How to walk_the_owasp)

?
?
Sen Ueno
Sen Ueno

How to walk_the_owasp

1 of 14
Downloaded 30 times
OWASPの歩き方 2012?2013 OWASP Japan Local Chapter 上野宣 ,野渡志浩
Webサイトには何がある? ? Webアプリケーションのセキュリティに 関するさまざまな資料 – ガイドライン – チュートリアル、ビデオ、ドキュメント – ライブラリ、サンプルコード – ツール
OWASP Top 10 for 2010 日本語版アリ? ? Webアプリケーション脆弱性トップ10
ZAP Proxy 日本語版アリ? ? ZAP (The Zed Attack Proxy ) Proxy ? Webアプリケーション脆弱性スキャナー
WebScarab ? Webアプリケーション セキュリティテス トツール
ESAPI ? ESAPI (Enterprise Security API) ? セキュアWebアプリケーション開発ため のセキュリティメソッドコレクション ? for Java, .NET, Classic ASP, PHP, ColdFusion & CFML, Python, Javascript
ASVS 日本語版アリ? ? ASVS (Application Security Verification Standard) ? アプリケーションのセキュリティ評価の ための検査標準 – 自動または手動のセキュリティテスト及び コードレビュー方式の要件
AntiSamy ? HTML/CSS への出?を安全するための API ? ポリシーファイルの変更で要件を変更 – antisamy-slashdot.xml ? CSS は許可せず、 <b>, <u>, <i>, <a>, <blockquote> のみが許可される。スラド風 – 他にも antisamy-ebay.xml, antisamy- myspace.xml など
Development Guide 日本語版アリ?が… ? セキュアWebアプリケーションのための 設計?構築?運用ガイドライン – どの程度安全にするか?、セキュリティガイ ドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よ く起こる問題(XSSなど)を防ぐ方法、プライ バシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年
Code Review Guide ? セキュリティコードレビュー ? コードレビューのプロセスではなく、特 定の脆弱性に焦点を当てている – 脆弱なコードのサンプルなど ? 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services
Testing Guide ? Webサイト/アプリケーションのテスト ガイド、全349ページ(Ver.3) ? 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing
SAMM 日本語版アリ? ? SAMM (Software Assurance Maturity Model):ソフトウェアセキュリティ保障 成熟度モデル
Contracting 日本語版アリ? ? Contracting: 契約書 ? セキュア?ソフトウェア開発契約付属書 ? 開発者と顧客のためのセキュリティに関 連した重要な契約事項について – 原理、ライフサイクル活動、セキュリティ要 求エリア、要員および組織、開発環境、ライ ブラリ、フレームワーク、および生産物、セ キュリティ?レビュー、セキュリティ問題管 理、保証、セキュリティ承認と保守
現状 ? 日本語版がないプロジェクトもいくつか ? 停滞しているプロジェクトもいくつか ? ボランティアの?が必要 ? 日本発でセキュリティ要件定義書のプロ ジェクトもスタートさせたい(前回言っ たけど)

More Related Content

OWASPの歩き方(How to walk_the_owasp)

  • 1. OWASPの歩き方 2012?2013 OWASP Japan Local Chapter 上野宣 ,野渡志浩
  • 2. Webサイトには何がある? ? Webアプリケーションのセキュリティに 関するさまざまな資料 – ガイドライン – チュートリアル、ビデオ、ドキュメント – ライブラリ、サンプルコード – ツール
  • 3. OWASP Top 10 for 2010 日本語版アリ? ? Webアプリケーション脆弱性トップ10
  • 4. ZAP Proxy 日本語版アリ? ? ZAP (The Zed Attack Proxy ) Proxy ? Webアプリケーション脆弱性スキャナー
  • 6. ESAPI ? ESAPI (Enterprise Security API) ? セキュアWebアプリケーション開発ため のセキュリティメソッドコレクション ? for Java, .NET, Classic ASP, PHP, ColdFusion & CFML, Python, Javascript
  • 7. ASVS 日本語版アリ? ? ASVS (Application Security Verification Standard) ? アプリケーションのセキュリティ評価の ための検査標準 – 自動または手動のセキュリティテスト及び コードレビュー方式の要件
  • 8. AntiSamy ? HTML/CSS への出?を安全するための API ? ポリシーファイルの変更で要件を変更 – antisamy-slashdot.xml ? CSS は許可せず、 <b>, <u>, <i>, <a>, <blockquote> のみが許可される。スラド風 – 他にも antisamy-ebay.xml, antisamy- myspace.xml など
  • 9. Development Guide 日本語版アリ?が… ? セキュアWebアプリケーションのための 設計?構築?運用ガイドライン – どの程度安全にするか?、セキュリティガイ ドライン、認証、セッション管理、アクセス 制御、イベントのログ監視、データ検証、よ く起こる問題(XSSなど)を防ぐ方法、プライ バシーへの配慮、暗号技術 – 2010年版が最新、日本語版は2002年
  • 10. Code Review Guide ? セキュリティコードレビュー ? コードレビューのプロセスではなく、特 定の脆弱性に焦点を当てている – 脆弱なコードのサンプルなど ? 言語別のベストプラクティス – Java, Classic ASP, PHP, C/C++, MySQL, Flash, AJAX, Web Services
  • 11. Testing Guide ? Webサイト/アプリケーションのテスト ガイド、全349ページ(Ver.3) ? 各脆弱性、機能別のテスト方法 – Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoS Testing, Web Services Testing, AJAX Testing
  • 12. SAMM 日本語版アリ? ? SAMM (Software Assurance Maturity Model):ソフトウェアセキュリティ保障 成熟度モデル
  • 13. Contracting 日本語版アリ? ? Contracting: 契約書 ? セキュア?ソフトウェア開発契約付属書 ? 開発者と顧客のためのセキュリティに関 連した重要な契約事項について – 原理、ライフサイクル活動、セキュリティ要 求エリア、要員および組織、開発環境、ライ ブラリ、フレームワーク、および生産物、セ キュリティ?レビュー、セキュリティ問題管 理、保証、セキュリティ承認と保守
  • 14. 現状 ? 日本語版がないプロジェクトもいくつか ? 停滞しているプロジェクトもいくつか ? ボランティアの?が必要 ? 日本発でセキュリティ要件定義書のプロ ジェクトもスタートさせたい(前回言っ たけど)