Contenu connexe
Similaire à OWASPの歩き方(How to walk_the_owasp) (20)
OWASPの歩き方(How to walk_the_owasp)
- 4. ZAP Proxy
日本語版アリ〼
• ZAP (The Zed Attack Proxy ) Proxy
• Webアプリケーション脆弱性スキャナー
- 6. ESAPI
• ESAPI (Enterprise Security API)
• セキュアWebアプリケーション開発ため
のセキュリティメソッドコレクション
• for Java, .NET, Classic ASP, PHP,
ColdFusion & CFML, Python,
Javascript
- 7. ASVS
日本語版アリ〼
• ASVS (Application Security
Verification Standard)
• アプリケーションのセキュリティ評価の
ための検査標準
– 自動または手動のセキュリティテスト及び
コードレビュー方式の要件
- 8. AntiSamy
• HTML/CSS への出⼒を安全するための
API
• ポリシーファイルの変更で要件を変更
– antisamy-slashdot.xml
• CSS は許可せず、 <b>, <u>, <i>, <a>,
<blockquote> のみが許可される。スラド風
– 他にも antisamy-ebay.xml, antisamy-
myspace.xml など
- 9. Development Guide
日本語版アリ〼が…
• セキュアWebアプリケーションのための
設計・構築・運用ガイドライン
– どの程度安全にするか?、セキュリティガイ
ドライン、認証、セッション管理、アクセス
制御、イベントのログ監視、データ検証、よ
く起こる問題(XSSなど)を防ぐ方法、プライ
バシーへの配慮、暗号技術
– 2010年版が最新、日本語版は2002年
- 10. Code Review Guide
• セキュリティコードレビュー
• コードレビューのプロセスではなく、特
定の脆弱性に焦点を当てている
– 脆弱なコードのサンプルなど
• 言語別のベストプラクティス
– Java, Classic ASP, PHP, C/C++, MySQL,
Flash, AJAX, Web Services
- 11. Testing Guide
• Webサイト/アプリケーションのテスト
ガイド、全349ページ(Ver.3)
• 各脆弱性、機能別のテスト方法
– Information Gathering, Configuration
Management Testing, Authentication
Testing, Session Management,
Authorization Testing, Business logic
testing, Data Validation Testing, DoS
Testing, Web Services Testing, AJAX
Testing
- 12. SAMM
日本語版アリ〼
• SAMM (Software Assurance Maturity
Model):ソフトウェアセキュリティ保障
成熟度モデル
- 13. Contracting
日本語版アリ〼
• Contracting: 契約書
• セキュア・ソフトウェア開発契約付属書
• 開発者と顧客のためのセキュリティに関
連した重要な契約事項について
– 原理、ライフサイクル活動、セキュリティ要
求エリア、要員および組織、開発環境、ライ
ブラリ、フレームワーク、および生産物、セ
キュリティ・レビュー、セキュリティ問題管
理、保証、セキュリティ承認と保守