2017-09-30から1日間の記事一覧

The SHIFT LEFT PATH !!

教養としてセキュアプログラミングが一番足りない リリース直前にセキュリティテストをすると… バグが見つかる 直さなきゃいけない でも締切は近い 隠したい 無視、諦め しかも高額 だからこそ… SHIFT LEFT!! バリューチェイン 認識不足 ゆるい要件 機能偏…

OWASPの歩き方

OWASPのプロジェクト FLAGSHIP OWASP Zed Attack Proxy OWASP Web Testing Environment Project OWASP OWTF OWASP Dependecy Check OWASP Security Shepherd LAB OWASP ModSecurity Core Rule Set Project OWASP CSRFGuard Project OWASP AppSensor Project …

開発プロジェクトの現状を把握する OWASP SAMM

OWASP SAMMとは 概要 OWASP Software Assurance Maturity Model 開発サイクルをよりセキュアにすること 要件定義から運用保守まで使える より成熟したセキュア開発を行うことを支援するドキュメント 特徴 開発プロジェクトのセキュリティ成熟度を定量化・可…

OWASP BWAを用いた学生および職員向けトレーニングを聞いたメモ

OWASP BWAを用いた学生および職員向けトレーニング セキュリティのトレーニング OWASP BWAとは セキュリティ学習用な脆弱なアプリを含むLinuxがベースとなったVMイメージ (速攻乗っ取られる→絶対にグローバルな環境に置くな) BWAの対象者 幅広く使える ア…

OWASP ZAPを用いた脆弱性診断のメモ

注意 自分の管理する範囲いないのサーバ、または検証ネットワーク内に対してのみスキャンを行うようにする データへの影響や診断文字列の残存、診断対象への一定の負荷があるので、本番環境への診断は避けるべき アンチウイルスソフトが攻撃と判断し、通信を…

最小権限の具体的な実現方法のメモ

- 情報・データ起点権限設計をしよう - テーマの対象 WEBアプリケーションの権限設定 最小権限とは ユーザやシステム・コンポーネントごとに操作の実行に要求される最低限の権限を、 最低限の期間だけ割り当てる 最小権限の権限設定と難しさ ビジネスとの結…

OWASP World Training Tourのメモ

はじめに OWASP World Tour行ってきました! その時書いたメモをここにまとめました。 OWASP World Tourとは アプリケーションセキュリティのアプローチには、あらゆる側面が含まれています。その問題の解決には、人、プロセス、および技術の視点で取り組む…

セキュアコーティング・コードレビュー・セキュリティアーキテクチャ

セキュアコーティング セキュアコーティングとは 攻撃者の攻撃に耐えられる、プログラムを書くこと アプリケーション自体の防御力を上げる直接的な方法 ソフトウェアの脆弱性の多くはコーティングエラーがが原因で作り込まれる 脆弱性有無の確認 すべてのイ…

OWASP Top10 を用いた脆弱性診断のメモ

OWASP Top10とは 主要な脆弱性10種類を説明 * 影響 * 確認 * 攻撃 * シナリオの例 * 防止方法 * 参考資料 OWASP Top10を準用 PCI DSS MITRE CWE CVE DISA FTC OWASP Top10 2013 インジェクション 認証とセッション管理の不備 クロスサイトスクリプティング …