Submit Search
Upload
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
•
5 likes
•
3,111 views
J
JPCERT Coordination Center
Follow
OSC2016Hokkaido での講演資料です. OWASP ASVS と Cheat Sheet シリーズの簡単な紹介をします.
Read less
Read more
Software
Report
Share
Report
Share
1 of 56
Download now
Download to read offline
Recommended
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
Yoshitaka Kawashima
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
SageMakerを使った異常検知
SageMakerを使った異常検知
Ryohei Yamaguchi
Recommended
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
Yoshitaka Kawashima
分散システムについて語らせてくれ
分散システムについて語らせてくれ
Kumazaki Hiroki
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
AWSにおけるバッチ処理の ベストプラクティス - Developers.IO Meetup 05
都元ダイスケ Miyamoto
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
SageMakerを使った異常検知
SageMakerを使った異常検知
Ryohei Yamaguchi
怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション
土岐 孝平
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
[Container Runtime Meetup] runc & User Namespaces
[Container Runtime Meetup] runc & User Namespaces
Akihiro Suda
Proxy War
Proxy War
zaki4649
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
O/Rマッパーによるトラブルを未然に防ぐ
O/Rマッパーによるトラブルを未然に防ぐ
kwatch
ざっくり DDD 入門!!
ざっくり DDD 入門!!
Yukei Wachi
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
泰 増田
Java ORマッパー選定のポイント #jsug
Java ORマッパー選定のポイント #jsug
Masatoshi Tada
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
More Related Content
What's hot
怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション
土岐 孝平
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
Yahoo!デベロッパーネットワーク
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
Tatsuya (達也) Katsuhara (勝原)
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
Kohei Tokunaga
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
Hirotaka Sato
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
Yuta Shimada
[Container Runtime Meetup] runc & User Namespaces
[Container Runtime Meetup] runc & User Namespaces
Akihiro Suda
Proxy War
Proxy War
zaki4649
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
Masaya Tahara
O/Rマッパーによるトラブルを未然に防ぐ
O/Rマッパーによるトラブルを未然に防ぐ
kwatch
ざっくり DDD 入門!!
ざっくり DDD 入門!!
Yukei Wachi
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
NTT DATA Technology & Innovation
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Satoyuki Tsukano
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
Masahito Zembutsu
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
YoshioSawada
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
泰 増田
Java ORマッパー選定のポイント #jsug
Java ORマッパー選定のポイント #jsug
Masatoshi Tada
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
NTT Communications Technology Development
What's hot
(20)
怖くないSpring Bootのオートコンフィグレーション
怖くないSpring Bootのオートコンフィグレーション
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
20180914 security iotlt#1_ほんとうにあった怖い話_aws_iot編
コンテナ未経験新人が学ぶコンテナ技術入門
コンテナ未経験新人が学ぶコンテナ技術入門
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
「おうちクラウド」が今熱い!
「おうちクラウド」が今熱い!
コンテナにおけるパフォーマンス調査でハマった話
コンテナにおけるパフォーマンス調査でハマった話
[Container Runtime Meetup] runc & User Namespaces
[Container Runtime Meetup] runc & User Namespaces
Proxy War
Proxy War
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
OSS+AWSでここまでできるDevSecOps (Security-JAWS第24回)
O/Rマッパーによるトラブルを未然に防ぐ
O/Rマッパーによるトラブルを未然に防ぐ
ざっくり DDD 入門!!
ざっくり DDD 入門!!
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
スケールアウトするPostgreSQLを目指して!その第一歩!(NTTデータ テクノロジーカンファレンス 2020 発表資料)
はじめてのElasticsearchクラスタ
はじめてのElasticsearchクラスタ
Re: ゼロから始める監視設計
Re: ゼロから始める監視設計
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
クラウドでも非機能要求グレードは必要だよね
クラウドでも非機能要求グレードは必要だよね
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
Java ORマッパー選定のポイント #jsug
Java ORマッパー選定のポイント #jsug
分散トレーシング技術について(Open tracingやjaeger)
分散トレーシング技術について(Open tracingやjaeger)
Viewers also liked
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Muneaki Nishimura
Owasp Project を使ってみた
Owasp Project を使ってみた
Akitsugu Ito
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
JPCERT Coordination Center
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
JPCERT Coordination Center
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
JPCERT Coordination Center
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
Mizutani Masayoshi
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
Takaaki Hoyo
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田株式会社
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
Riotaro OKADA
OWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCON
Jun Matsumoto
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
JPCERT Coordination Center
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
JPCERT Coordination Center
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JPCERT Coordination Center
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JPCERT Coordination Center
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
JPCERT Coordination Center
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
JPCERT Coordination Center
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
junk_coken
Viewers also liked
(20)
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
OWASP Testing Guide からはじめよう - セキュリティ診断技術の共有、そして横展開
Owasp Project を使ってみた
Owasp Project を使ってみた
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
CERT コーディングスタンダードご紹介 (OSC2017@Osaka)
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
Android Platform の URLConnection に HTTP ヘッダインジェクションの脆弱性
脆弱性情報はこうしてやってくる
脆弱性情報はこうしてやってくる
クラウドハニーポットを運用しよう!
クラウドハニーポットを運用しよう!
脆弱性診断研究会 第34回セミナー資料
脆弱性診断研究会 第34回セミナー資料
低対話型サーバハニーポットの運用結果及び考察
低対話型サーバハニーポットの運用結果及び考察
オワスプナイト20150115 dependency check
オワスプナイト20150115 dependency check
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
早田㈱5 s活動事例商工会議所講演会2012.10.15
早田㈱5 s活動事例商工会議所講演会2012.10.15
アプリケーションデリバリーのバリューチェイン
アプリケーションデリバリーのバリューチェイン
OWASP ZAP(など)で挑む SECCON
OWASP ZAP(など)で挑む SECCON
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache ActiveMQにおける認証処理不備の脆弱性(AMQ-1272)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
Apache CommonsのHttpClientに おけるSSLサーバ証明書検証不備 (CVE-2012-5783)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JRE標準ライブラリの脆弱性事例を理解する (AtomicReferenceArrayクラス と Type Confusion)
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Lessons (to be) Learned from Handling OpenSSL Vulnerabilities
Apache Axis2におけるXML署名検証不備
Apache Axis2におけるXML署名検証不備
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
セキュリティ・キャンプアワード(2016)発表資料_ハニーポッターへの道
Similar to OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
mkoda
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
Yasuo Ohgaki
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
Takashi Watanabe
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
Creationline,inc.
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
JPCERT Coordination Center
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
ymmt
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
Riotaro OKADA
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
RWSJapan
JavaOne2017参加報告 Microservices topic & approach #jjug
JavaOne2017参加報告 Microservices topic & approach #jjug
Yahoo!デベロッパーネットワーク
Heroku Inside
Heroku Inside
Ayumu Aizawa
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
Riotaro OKADA
CSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdf
yojitanaka2
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
CODE BLUE
Nginx meetup 1_20181114_omo
Nginx meetup 1_20181114_omo
NAOFUMI HARA
150726cmdbuild jtf2015
150726cmdbuild jtf2015
OSSラボ株式会社
The Shift Left Path and OWASP
The Shift Left Path and OWASP
Riotaro OKADA
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
ichikaway
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
龍弘 岡
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
Shinichiro Kawano
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
NISSHO USA
Similar to OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
(20)
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
ソースコード検査に耐えるコードとは?
ソースコード検査に耐えるコードとは?
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
継続的デリバリーとサービス仮想化で変わる、エンタープライズアジャイル開発
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
コンテナライフサイクルを守るセキュリティソリューション Aqua Cloud Native Security Platform
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
デブサミ2015 事例から学ぶAndroidアプリのセキュアコーディング「SSL/TLS証明書検証の現状と対策」
正しく恐れるクラウドのセキュリティ
正しく恐れるクラウドのセキュリティ
OWASP ASVS Project review 2.0 and 3.0
OWASP ASVS Project review 2.0 and 3.0
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
リスクを低減するためのクラウド型OSS管理ツールOpenLogic および Zend PHP
JavaOne2017参加報告 Microservices topic & approach #jjug
JavaOne2017参加報告 Microservices topic & approach #jjug
Heroku Inside
Heroku Inside
CISOが、適切にセキュリティ機能とレベルを決めるには
CISOが、適切にセキュリティ機能とレベルを決めるには
CSCJ_Webcast_20180626_ACI.pdf
CSCJ_Webcast_20180626_ACI.pdf
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
[CB16] 「ネットバンキングウイルス無力化作戦」の裏側と高度化する金融マルウェア by 高田一樹
Nginx meetup 1_20181114_omo
Nginx meetup 1_20181114_omo
150726cmdbuild jtf2015
150726cmdbuild jtf2015
The Shift Left Path and OWASP
The Shift Left Path and OWASP
VAddy - CI勉強会 fukuoka
VAddy - CI勉強会 fukuoka
Hybrid appmeetssecurity kdl20171017-20
Hybrid appmeetssecurity kdl20171017-20
2019 1009 f-secure_ali_eater_tokyo13_slideshare
2019 1009 f-secure_ali_eater_tokyo13_slideshare
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
【日商USA】webinar 2022.6.24 RSAカンファレンス2022 フィードバック
More from JPCERT Coordination Center
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
JPCERT Coordination Center
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
JPCERT Coordination Center
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
JPCERT Coordination Center
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
JPCERT Coordination Center
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
JPCERT Coordination Center
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
JPCERT Coordination Center
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
JPCERT Coordination Center
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
JPCERT Coordination Center
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
JPCERT Coordination Center
Android Secure Coding
Android Secure Coding
JPCERT Coordination Center
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
JPCERT Coordination Center
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
JPCERT Coordination Center
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性
JPCERT Coordination Center
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性
JPCERT Coordination Center
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性
JPCERT Coordination Center
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
JPCERT Coordination Center
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説
JPCERT Coordination Center
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説
JPCERT Coordination Center
Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義
JPCERT Coordination Center
Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習
JPCERT Coordination Center
More from JPCERT Coordination Center
(20)
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
いま改めて製品開発者の脆弱性対応について考える ~情報セキュリティ早期警戒パートナーシップを運用する調整機関の視点から~
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
安全なプラグインに必要なこと: 脆弱性届出状況に見る傾向と対策 (WordCampTokyo 2017)
DLL読み込みの問題を読み解く
DLL読み込みの問題を読み解く
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
WordBench東京 7月勉強会「夏のLT大会!」『WordPress とバックアップの話』
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
Case Studies and Lessons Learned from SSL/TLS Certificate Verification Vulner...
クロスサイトリクエストフォージェリ(CSRF)とその対策
クロスサイトリクエストフォージェリ(CSRF)とその対策
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (JavaDayTokyo2015)
ソフトウェアセキュリティ保証成熟度モデル
ソフトウェアセキュリティ保証成熟度モデル
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
脆弱性事例に学ぶセキュアコーディング「SSL/TLS証明書検証」編 (KOF2014)
Android Secure Coding
Android Secure Coding
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Apache Tomcat における クロスサイトリクエストフォージェリ (CSRF) 保護メカニズム回避の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
Spacewalkにおけるクロスサイト リクエストフォージェリ(CSRF)の脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性
MySQL Connector/J における SQL インジェクションの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性
Blojsom におけるクロスサイトスクリプティングの脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Struts2 における任意の Java メソッド実行の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Apache Sling におけるサービス運用妨害(無限ループ)の脆弱性
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第2回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回演習の解説
Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第4回講義
Javaセキュアコーディングセミナー東京第3回演習
Javaセキュアコーディングセミナー東京第3回演習
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
1.
OWASP ASVS と
Cheat Sheet シリーズ (⽇本語版) の ご紹介 JPCERT/CC 情報流通対策グループ ⼾⽥洋三 (yozo.toda@jpcert.or.jp) OSC2016Hokkaido
2.
Copyright©2016JPCERT/CC All rights
reserved. 自己紹介 http://www.tomo.gr.jp/root/e9706.html JPCERT/CC 情報流通対策グループ リードアナリスト ⼾⽥ 洋三 脆弱性情報分析, セキュアコーディ ング普及啓発活動…… に努めてます 2
3.
Copyright©2016JPCERT/CC All rights
reserved. JPCERT/CCとは JPCERT Coordination Center ⽇本における情報セキュリティ 対策活動の向上に取り組んでい る組織 3
4.
Copyright©2016JPCERT/CC All rights
reserved. JPCERT/CCの主な活動 4
5.
Copyright©2016JPCERT/CC All rights
reserved. 過去のOSC参加履歴 (セミナーを⾏ったもの) 5 •OSC2015@Hokkaido •CSRF 脆弱性とその対策について •OSC2014@Fukuoka •Lessons (to be) Learned from Handling OpenSSL Vulnerabilities •OSC2013@Kyoto •〜ヒトの振り⾒て我が振り直せ〜脆弱性事例に学ぶJavaセキュアコーディング •OSC2012@Fukuoka •Androidセキュアコーディング〜安全なAndroidアプリ開発のための⼼得〜 •OSC2011@Nagoya: セキュアコーディングノススメ(JAVA編) •OSC2010@Hokkaido: あなたのコードにセキュアコーディングスタンダード •OSC2009@Fukuoka: セキュアコーディングノススメ •OSC2008@Tokyo/Spring: セキュアコーディングノススメ •OSC2007@Fukuoka: セキュアコーディングノススメ •OSC2007@Niigata: ソフトウェア脆弱性を取り巻く状況と対策 •OSC2007@Kansai: ソフトウェア脆弱性情報流通のこれまでとこれから •OSC2005@Tokyo/Fall: ソフトウェア脆弱性情報流通への取り組み
6.
Copyright©2016JPCERT/CC All rights
reserved. JPCERT/CC セキュアコーディングのコンテンツ 6 www.jpcert.or.jp/securecoding/
7.
Copyright©2016JPCERT/CC All rights
reserved. slideshare にも講演資料やセミナコンテンツ置いてます 7 www.slideshare.net/jpcert_securecoding/presentations
8.
Copyright©2016JPCERT/CC All rights
reserved. セキュアコーディングスタンダード 8 ⽶国 CMU/SEI の the CERT Secure Coding Initiative によるコーディングスタンダードシリーズ https://www.securecoding.cert.org/ 現状, 5種類公開され ています.
9.
Copyright©2016JPCERT/CC All rights
reserved.9 CERT C コーディングスタンダード CERT C セキュアコーディングスタンダード紹介 https://www.jpcert.or.jp/research/materials.html#secure JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/sc-rules/
10.
Copyright©2016JPCERT/CC All rights
reserved.10 CERT Oracle Java コーディングスタンダード OSC2011@Nagoya で紹介してます http://www.ospn.jp/osc2011-nagoya/pdf/ osc2011nagoya-JPCERT_CC.pdf JPCERT/CC で⽇本語公開中!! https://www.jpcert.or.jp/java-rules/
11.
Copyright©2016JPCERT/CC All rights
reserved.11 コーディングスタンダード(C++, Perl, Android) “under development” (開発中)
12.
Copyright©2016JPCERT/CC All rights
reserved. コーディングスタンダードの協⼒者募集中! セキュアコーディングスタンダード⽇本語版 の整備に協⼒してくれる⽅を求めています。 —Java, Android, C, C++, …… —既存の⽇本語へのコメント、改善案 —英語原⽂へのコメント、改善案 —さらに編集も… 12
13.
Copyright©2016JPCERT/CC All rights
reserved. 本⽇の話題 ü ⾃⼰紹介 ü OWASP とは ü ASVS とは ü Cheat Sheet シリーズとは ü まとめ ü 参考情報など 13
14.
Copyright©2016JPCERT/CC All rights
reserved. 1. OWASP(OPEN WEB APPLICATION SECURITY PROJECT)とは 14
15.
Copyright©2016JPCERT/CC All rights
reserved. OWASP とは 15 https://www.owasp.org/index.php/Main_Page
16.
Copyright©2016JPCERT/CC All rights
reserved. OWASP とは 16 https://www.owasp.org/index.php/Main_Page OWASPとは、Webをはじめとするソフト ウェアのセキュリティ環境の現状、また セキュアなソフトウェア開発を促進する 技術・プロセスに関する情報共有と普及 啓発を⽬的としたコミュニティです。 https://www.owasp.org/index.php/Japan から引⽤
17.
Copyright©2016JPCERT/CC All rights
reserved. OWASP とは 17 L M 20 S B T M S A T M S T M S B T O O O k O05 21 242 O O O nk O D B B O DD2 B C O x pi O O O1 C G I CBG CA O G 2 G 2 O M M O O3 G B O GG 1 CJ S 1T i O k https://speakerdeck.com/owaspjapan/owasp-contents-reference
18.
Copyright©2016JPCERT/CC All rights
reserved. ⽇本における OWASP 関連の活動 18 ⽇本で設⽴されたチャプター⼀覧 •Japan •Fukushima •Kansai •Kyushu •Okinawa •Sendai https://www.owasp.org/index.php/OWASP_Chapter
19.
Copyright©2016JPCERT/CC All rights
reserved. ⽇本における OWASP 関連の活動 19 OWASP 蛇とはしご⽇本語版 脆弱性診断⼠(Webアプリケーション)スキルマップ OWASP Cheat Sheet Series ガイドブック Webシステム/Webアプリケーションセキュリティ要件書2.0 OWASP Top 10 Proactive Controls 2016 Japanese 脆弱性診断⼠(Webアプリケーション)スキルマップ&シラバス 脆弱性診断⼠(プラットフォーム)スキルマップ&シラバス OWASP Japan Blog (http://blog.owaspjapan.org/)
20.
Copyright©2016JPCERT/CC All rights
reserved. OWASPドキュメントの⽇本語訳 20 OWASPっていいドキュメント(英語)い ろいろあるじゃん. JPCERT/CCでいちから作るより ⽇本語訳して提供した⽅が良さそうだぞ.
21.
Copyright©2016JPCERT/CC All rights
reserved. OWASPドキュメントの⽇本語訳 21 やっちゃいました.
22.
Copyright©2016JPCERT/CC All rights
reserved. OWASPドキュメントの⽇本語訳 22 ベータ版を github に… まもなく www.jpcert.or.jp に も掲載します. https://jpcertcc.github.io/OWASPdocuments/
23.
Copyright©2016JPCERT/CC All rights
reserved. 2. ASVS(APPLICATION SECURITY VERIFICATION STANDARD) とは 23
24.
Copyright©2016JPCERT/CC All rights
reserved. OWASP ASVS プロジェクト 24 https://www.owasp.org/index.php/Category:OWASP_Application_Security_Verification_Standard_Project
25.
Copyright©2016JPCERT/CC All rights
reserved. ASVS の⽬標 25 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings
26.
Copyright©2016JPCERT/CC All rights
reserved. ASVS の⽬標 26 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザによる製品やサービスに対するセキュリ ティ要件を合致させる
27.
Copyright©2016JPCERT/CC All rights
reserved. ASVS の⽬標 27 ASVS has two main goals: •to help organizations develop and maintain secure applications •to allow security service, security tools vendors, and consumers to align their requirements and offerings •組織におけるセキュアなアプリケーション開発と保守 を⽀援する •セキュリティサービス・セキュリティツールベンダお よびユーザが製品やサービスをセキュリティ要件に合 致させる
28.
Copyright©2016JPCERT/CC All rights
reserved. ASVS (3.0.1) のセクション⼀覧 28 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0)
29.
Copyright©2016JPCERT/CC All rights
reserved.29 V1. Architecture, design and threat modelling V2. Authentication V3. Session management V4. Access control V5. Malicious input handling V7. Cryptography at rest V8. Error handling and logging V9. Data protection V10. Communication V11. HTTP security configuration V13. Malicious controls V15. Business logic V16. File and resources V17. Mobile V18. Web services (NEW for 3.0) V19. Configuration (NEW for 3.0) ASVS (3.0.1) のセクション⼀覧(⽇本語) アーキテクチャ, 設計, 脅威モデリング 認証 セッション管理 アクセス制御 悪性⼊⼒の処理 暗号化 エラー処理とログの保存 データ保護 通信 HTTP に関するセキュリティ設定 悪性活動の管理 ビジネスロジック ファイルとリソース モバイル Web サービス (3.0 で追加) 構成 (3.0 で追加) V6 は V5 に統合 V12 は V11 に統合 V14 は V13 に統合
30.
Copyright©2016JPCERT/CC All rights
reserved. V2: 認証に関する検査要件(抜粋) 30 2.1: 公開を意図しているものを除き、意図していないすべてのページとリ ソースがデフォルトで認証を必要とする(完全仲介の原則)。 2.2: すべてのパスワードフィールドについてはユーザーのパスワードがその まま表⽰されない設定になっている。 2.4: すべての認証の管理がサーバー側で⾏われる。 2.6: 攻撃者がログインできないように、認証失敗の場合の安全対策を施して いる。 2.7: パスワード⼊⼒フィールドで、パスフレーズの使⽤を許可または推奨し、 ⻑いパスフレーズやきわめて複雑なパスワードの⼊⼒を拒否しない。 2.8: …... 2.9: パスワード変更機能には、古いパスワード、新しいパスワード、パス ワードの確認が含まれている。 2.12: …...
31.
Copyright©2016JPCERT/CC All rights
reserved. V5: 悪性⼊⼒の処理に関する検査要件(抜粋) 31 5.1: ランタイム環境がバッファオーバーフローの影響を受けにくい。または バッファオーバーフローの対策を持っている。 5.3: サーバー側で⼊⼒検証エラーが発⽣した場合、リクエストを拒否し、ロ グに記録する。 5.5: ⼊⼒検証ルーチンはサーバー側で実施する。 5.6: アプリケーションに許可される各データ型に対して、単⼀の⼊⼒検証気 候が使⽤されている。 5.10: すべての SQL クエリ、HQL、OSQL、NOSQL、ストアドプロシー ジャ、ストアドプロシージャの呼び出しが、プリペアドステートメント またはクエリのパラメーター化の使⽤によって保護されており、SQL イ ンジェクションの影響を受けない。 5.11: アプリケーションは LDAP インジェクションの影響を受けない、また はセキュリティ制御によって LDAP インジェクションが防⽌される。 5.12: …...
32.
Copyright©2016JPCERT/CC All rights
reserved. 3段階のセキュリティ検査レベル 32 ASVS では、3段階の検査レベルが設けられている。 • レベル1: すべてのソフトウェアが満たすべきレベル • レベル2: 保護すべき機密データを扱うシステム向け • レベル3: 医療⽤データなど、⾼信頼性が求められるシ ステム⽤
33.
Copyright©2016JPCERT/CC All rights
reserved. 3段階のセキュリティ検査レベル 33
34.
Copyright©2016JPCERT/CC All rights
reserved. ユーザ使⽤例 34 OWASP Project 使ってみた ((http://www.slideshare.net/akitsuguito/owasp-project) から引⽤
35.
Copyright©2016JPCERT/CC All rights
reserved. 3. CHEAT SHEET シリーズとは 35
36.
Copyright©2016JPCERT/CC All rights
reserved.36 https://www.owasp.org/index.php/Cheat_Sheets
37.
Copyright©2016JPCERT/CC All rights
reserved.37
38.
Copyright©2016JPCERT/CC All rights
reserved.38 開発者 向け
39.
Copyright©2016JPCERT/CC All rights
reserved.39 検証者 向け
40.
Copyright©2016JPCERT/CC All rights
reserved.40 モバイル 環境向け
41.
Copyright©2016JPCERT/CC All rights
reserved.41 運⽤者向 け
42.
Copyright©2016JPCERT/CC All rights
reserved.42 ベータ版 ドラフト
43.
Copyright©2016JPCERT/CC All rights
reserved. 開発者向けチートシート(1) 43 • アクセス制御に関するチートシート • (AJAX Security Cheat Sheet) • 認証に関するチートシート • セキュリティの質問の選択と使⽤に関するチートシート • クリックジャッキング対策に関するチートシート • C ベースのツールチェーンの強化に関するチートシート • クロスサイトリクエストフォージェリ (CSRF) の防⽌策に関す るチートシート • 暗号化ストレージに関するチートシート • DOM ベース XSS 対策チートシート • パスワードを忘れた場合に関するチートシート • HTML5 セキュリティに関するチートシート
44.
Copyright©2016JPCERT/CC All rights
reserved. 開発者向けチートシート(2) 44 • ⼊⼒値検証に関するチートシート • JAAS に関するチートシート • (LDAP Injection Cheat Sheet) • ロギングに関するチートシート • (Mass Assignment Cheat Sheet) • .NET セキュリティに関するチートシート • OWASP トップ 10 チートシート • パスワードの保存に関するチートシート • ピン留めに関するチートシート • クエリのパラメーター化に関するチートシート • Ruby on Rails に関するチートシート
45.
Copyright©2016JPCERT/CC All rights
reserved. 開発者向けチートシート(3) 45 • REST セキュリティに関するチートシート • セッション管理に関するチートシート • SAML セキュリティに関するチートシート • SQL インジェクション対策に関するチートシート • トランザクション認可に関するチートシート • トランスポート層の保護に関するチートシート • 未検証のリダイレクトと転送に関するチートシート • ユーザープライバシーの保護に関するチートシート • Web サービスのセキュリティに関するチートシート • クロスサイトスクリプティング (XSS) 対策チートシート • (XML External Entity (XXE) Prevention Cheat Sheet)
46.
Copyright©2016JPCERT/CC All rights
reserved. 検証者向けチートシート 46 •攻撃対象領域分析に関するチートシート •XSS フィルター回避チートシート •REST 評価に関するチートシート •Web アプリケーションのセキュリティテストに関するチート シート
47.
Copyright©2016JPCERT/CC All rights
reserved. モバイル環境向けチートシート 47 •iOS 開発者のためのチートシート •モバイルデバイスのジェイルブレイクに関するチートシート
48.
Copyright©2016JPCERT/CC All rights
reserved. 運⽤者向けチートシート 48 •仮想パッチに関するチートシート
49.
Copyright©2016JPCERT/CC All rights
reserved. ベータ版ドラフト 49 • (3rd Party Javascript Management) • (Android Testing) • アプリケーションのセキュリティアーキテクチャに関するチートシート • ビジネスロジックのセキュリティに関するチートシート • (Injection Prevention Cheat Sheet) • PHP セキュリティに関するチートシート • セキュアコーディングに関するチートシート • (Secure SDLC) • (Threat Modeling) • (Grails Secure Code Review) • iOS アプリケーションのセキュリティテストに関するチートシート • 鍵管理に関するチートシート • (Insecure Direct Object Reference Prevention) • CSP に関するチートシート
50.
Copyright©2016JPCERT/CC All rights
reserved. 例: XSS 対策チートシート 50
51.
Copyright©2016JPCERT/CC All rights
reserved. 例: 認証に関するチートシート 51
52.
Copyright©2016JPCERT/CC All rights
reserved. 4. まとめ 52
53.
Copyright©2016JPCERT/CC All rights
reserved. まとめ lOWASP が有⽤なドキュメントをい ろいろ公開してるぞ l⽇本語訳もあるので活⽤してね l jpcertcc.github.io の⽇本語訳改良にご協⼒を! l⽇本国内でも OWASP 関連の活動 あるから参加してみよう 53
54.
Copyright©2016JPCERT/CC All rights
reserved. 参考情報 OWASP (https://en.wikipedia.org/wiki/OWASP) OWASP とは — (http://2014.appsecapac.org/owasp-appsec-apac-2014/about-owasp/index.html) アプリケーションセキュリティ検査・検証の標準化 — (http://www.slideshare.net/okdt/owasp-asvs-project-review-20-and-30) — (https://speakerdeck.com/owaspjapan/owasp-asvs-project-review) About OWASP ASVS 2009 — (http://www.owasp.org/images/7/71/About_OWASP_ASVS.ppt) OWASP Cheat Sheet Series を⽇本語訳して馴染みやすくして みた。 — (http://blog.owaspjapan.org/post/130374053294/) 54
55.
Copyright©2016JPCERT/CC All rights
reserved. 参考情報 OWASP Proactive Controls 2016 の⽇本語訳を作成しました (http://www.lac.co.jp/blog/category/system/20160324.html) 「OWASPでビルトイン・セキュリティ」 (http://codezine.jp/article/corner/608) OWASP Project 使ってみた (http://www.slideshare.net/akitsuguito/owasp-project) セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリ ティ診断基準と診断サービスの選定ポイント) (http://www.intellilink.co.jp/article/column/security-assess01.html) 55
56.
Copyright©2016JPCERT/CC All rights
reserved.56 ⼀般社団法⼈JPCERTコーディネーションセンター (https://www.jpcert.or.jp/) セキュアコーディング (https://www.jpcert.or.jp/securecoding/) お問い合わせはこちらにどうぞ… (secure-coding@jpcert.or.jp)
Download now