OWASPの歩き方2012〜2013

OWASP Japan Local Chapter上野宣 ,野渡志浩

Webサイトには何がある？• Webアプリケーションのセキュリティに

関するさまざまな資料– ガイドライン– チュートリアル、ビデオ、ドキュメント– ライブラリ、サンプルコード– ツール

OWASP Top 10 for 2010 • Webアプリケーション脆弱性トップ10

日本語版アリ〼

ZAP Proxy • ZAP (The Zed Attack Proxy ) Proxy • Webアプリケーション脆弱性スキャナー

日本語版アリ〼

WebScarab• Webアプリケーション セキュリティテス

トツール

ESAPI• ESAPI (Enterprise Security API) • セキュアWebアプリケーション開発ため

のセキュリティメソッドコレクション• for Java, .NET, Classic ASP, PHP,

ColdFusion & CFML, Python, Javascript

ASVS• ASVS (Application Security

Verification Standard) • アプリケーションのセキュリティ評価の

ための検査標準– 自動または手動のセキュリティテスト及び

コードレビュー方式の要件

日本語版アリ〼

AntiSamy• HTML/CSS への出⼒を安全するための

API• ポリシーファイルの変更で要件を変更

– antisamy-slashdot.xml• CSS は許可せず、 <b>, <u>, <i>, <a>,

<blockquote> のみが許可される。スラド風– 他にも antisamy-ebay.xml, antisamy-

myspace.xml など

Development Guide • セキュアWebアプリケーションのための

設計・構築・運用ガイドライン– どの程度安全にするか？、セキュリティガイ

ドライン、認証、セッション管理、アクセス制御、イベントのログ監視、データ検証、よく起こる問題(XSSなど)を防ぐ方法、プライバシーへの配慮、暗号技術

– 2010年版が最新、日本語版は2002年

日本語版アリ〼が…

Code Review Guide • セキュリティコードレビュー• コードレビューのプロセスではなく、特

定の脆弱性に焦点を当てている– 脆弱なコードのサンプルなど

• 言語別のベストプラクティス– Java, Classic ASP, PHP, C/C++, MySQL,

Flash, AJAX, Web Services

Testing Guide • Webサイト／アプリケーションのテスト

ガイド、全349ページ（Ver.3）• 各脆弱性、機能別のテスト方法

– Information Gathering, Configuration Management Testing, Authentication Testing, Session Management, Authorization Testing, Business logic testing, Data Validation Testing, DoSTesting, Web Services Testing, AJAX Testing

SAMM• SAMM (Software Assurance Maturity

Model)：ソフトウェアセキュリティ保障成熟度モデル

日本語版アリ〼

Contracting• Contracting: 契約書• セキュア・ソフトウェア開発契約付属書• 開発者と顧客のためのセキュリティに関

連した重要な契約事項について– 原理、ライフサイクル活動、セキュリティ要

求エリア、要員および組織、開発環境、ライブラリ、フレームワーク、および生産物、セキュリティ・レビュー、セキュリティ問題管理、保証、セキュリティ承認と保守

日本語版アリ〼

現状• 日本語版がないプロジェクトもいくつか• 停滞しているプロジェクトもいくつか• ボランティアの⼒が必要

• 日本発でセキュリティ要件定義書のプロジェクトもスタートさせたい（前回言ったけど）