OWASPの歩き方

OWASPのプロジェクト

FLAGSHIP

  • OWASP Zed Attack Proxy
  • OWASP Web Testing Environment Project
  • OWASP OWTF
  • OWASP Dependecy Check
  • OWASP Security Shepherd

LAB

  • OWASP ModSecurity Core Rule Set Project
  • OWASP CSRFGuard Project
  • OWASP AppSensor Project

INCUBATOR

  • OWASP Application Security Verification Standard Project
  • OWASP Software Arrurance Marturity Model(SAMM)
  • OWASP Top Ten Project
  • OWASP Testing Guide Project

主なもの

OWASP Top 10

  • OWASPが公開しているWEBの主要な脆弱性ランキング

ZAP

  • すごくメジャーなWEBアプリケーションスキャナー

OWASP Web Testing Environment

  • OWASPのWEBアプリケーションセキュリティツールとドキュメントの詰め合わせ

OWTF(Offensive Web Testing Framework)

  • 自動診断ツール
  • OWASP Testing Guide + PTES(The Penetration Testing Execution Standard) + NIST

OWASP Dependecy Check

OWASP Security Shepherd

  • WEBとモバイルアプリケーションセキュリティのためのトレーニングツール
  • セキュリティを学ぶためのハンズオン環境
  • CTFモード、オープンフロアモード、トーナメントモードなどを揃える

ModSecurity Core Rule Set Project

  • ModSecurity
  • MopSecurity で使えるルールセット
  • CSRFGuard Project
    • CSRF対策ライブラリ

AppSensor Project

  • アプリケーションレイヤーに対する侵入検知・自動応答のためのフレームワーク

AVAS(Application Security Verification Standard Project)

  • アプリケーションのセキュリティ評価のための検査基準
  • 3段階ある

SAMM(Software Assurance Maturity Model)

  • ソフトウェアセキュリティ保障成熟度モデル
  • リスクに合わせたセキュリティ戦略を実施するためのフレームワーク

Testing Guide

  • WEBサイト/アプリケーションのテストガイド
  • 脆弱性、機能別のテスト方法

WEBシステム/WEBアプリケーション セキュリティ要件書

  • WEBシステム/WEBアプリケーション開発のための要件定義書
  • OWASP JAPAN !!

脆弱性診断しスキルマッププロジェクト

  • 脆弱性を行う個人の技術的な能力を具体的にする
  • ISOG-JとOWASP JAPANの共同開発

WEBアプケーション脆弱性診断ガイドライン

  • 手動診断補助ツールを使ったWEB