Weitere ähnliche Inhalte
Ähnlich wie 今だからこそ振り返ろう!OWASP Top 10 (20)
今だからこそ振り返ろう!OWASP Top 10
- 3. @mahoyaya
Name: 一ノ瀬 太樹
Work : セキュリティエンジニア
Twitter: @mahoyaya
blog: http://mahoyaya.hateblo.jp
GitHub: https://github.com/mahoyaya
Affiliation:
Perl入学式 東京 サポーター
OWASP Japan プロモーションチーム
脆弱性診断研究会
OWASP ZAP User Group
HASHコンサルティング株式会社
- 6. 日本では?
OWASP Japan 2012.3
OWASP Kansai 2014.3
OWASP Kyushu 2015.3
OWASP Sendai 2016.1
OWASP Fukushima 2016.2
OWASP Okinawa 2016.2
OWASP NightやOWASP DAYといった定期的な勉強会を実施し
ています。
- 13. WEB以外は・・・
OWASP Mobile Top 10
https://www.owasp.org/index.php/Mobile_Top_10_2016-Top_10
OWASP IOT Top 10
https://www.owasp.org/images/7/71/Internet_of_Things_Top_Ten_2014-OWASP.pdf
OWASP Embedded Application Security
https://www.owasp.org/index.php/OWASP_Embedded_Application_Security
- 15. OWASP Top 10とは?
OWASP Top 10 の主要目的は、最も重要なWebアプリケー
ションセキュリティ上の弱点を、開発者、デザイナー、アー
キテクト、 管理者および組織に教育すること。
Top10は、リスクの高い問題に対する基本的な保護手法、お
よび次ステップへのガイダンスを提供します。
OWASP Top 10 2013 日本語版
https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf
- 17. OWASP Top 10 – 2013 概要
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 19. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 23. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 27. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 33. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 37. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 40. A6-機密データの露出 対策
• 不要な機密情報を持たない
• 保護する機密情報の把握と暗号化
• 強いアルゴリズムと鍵の利用
• FIPS 140 validated cryptographic modules
• 扱うデータに対して適切なヘッダ情報を付与する
• キャッシュ対象を正しく見極める
• 機密情報は含まれていませんか?
• バックアップファイルの保存ルールを策定
• 公開ディレクトリには保存しない
- 41. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 43. A5-セキュリティ設定のミス
• 脆弱なソフトウェア利用
• HSTSの利用不備
• HTTPアクセス時にリダイレクトしていない
• 不要な機能の有効化
• SSHでのrootログイン、管理画面のアクセス制限
• httpdのディレクトリスティング
• デフォルトのログインアカウント
• フレームワークやライブラリのセキュリティ
• スタックトレースなどエラー情報が表示設定のまま
• サンプルアプリケーションの脆弱性
• セッションIDのURLパラメータ化
- 45. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 49. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 55. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 61. A2-認証とセッション管理の不備 対策
• セッションマネージャーを自作しない
• セッションIDをURL、エラーメッセージ、ログから漏洩させない
• ログイン前後で必ずセッションIDを変更する
• HSTSを利用し、クッキーにHttpOnlyとsecureを設定する
• 機能を実行する前には認証状態を確認(現実には認可状態も)
• ログアウトを実装し、ログアウト処理ではセッションクッキーの
削除とセッション情報の削除を確実に実施する
• パスワードリマインダ機能でパスワード設定URLをメール送信す
る際は予め登録された宛先に限定する
• パスワード変更には旧パスワードを求める
• アカウントロック機能
- 62. OWASP Top 10 – 2013
A1 – インジェクション
A2 – 認証とセッション管理の不備
A3 – クロスサイトスクリプティング(XSS)
A4 – 安全でないオブジェクト直接参照
A5 – セキュリティ設定のミス
A6 – 機密データの露出
A7 – 機能レベルアクセス制御の欠落
A8 – クロスサイトリクエストフォージェリ(CSRF)
A9 – 既知の脆弱性を持つコンポーネントの使用
A10 – 未検証のリダイレクトとフォーワード
- 69. さいごに
OWASP Proactive Controls 2016
https://www.owasp.org/images/a/a8/OWASPTop10ProactiveControls2016-Japanese.pdf
今回はOWASP Top 10 2016が待ちきれなかったので、私見と診断あ
るあるを含めてOWASP Top 10 2013を振り返りました。
そして、どのような脆弱性が潜んでいるのか、どのような対策が効果
的なのか紹介しました。
また、OWASP Top 10に加えて簡単に紹介したOWASP ASVS v3や
OWASP Proactive Controls 2016はOWASP Japanによって日本語化され
ていますので、是非活用してください。
OWASP ASVS 3.0.1
https://www.jpcert.or.jp/securecoding/OWASP_ASVS_20160623.pdf
Hinweis der Redaktion
- 2、3ヶ月に1回のミーティングや勉強会を行っています
- ModSecurity Core Rule Set
- ここがクロスサイト