owasp top 10 - 2013 を起点にして
DESCRIPTION
OWASP Top 10の2013年版は今年出版しました。日本語訳も完成しました。三年間一度の更新なので、ぜひご参照下さい。Top 10はアプリケーション・セキュリティの初心者にも分かりやすいドキュメントなので、アプリセキュリティのトレンドや重要な課題を知りたい方々にお薦めします。TRANSCRIPT
OWASP Top 10 – 2013を起点にして
謝 佳龍 2013/12/16
OWASP Night 9th 2013
OWASP Top 10 とは?
Open Web Application Security Project (OWASP) アプリケーション・セキュリティ意識を向上するため
最初の客観的な情報セキュリティ・リスク評価基準
2004(2003) から 3 年間ごと更新 今年 2013 最新版リリース !
PCI DSS v3.0( 要件 6.5 一般的な脆弱性 ) OWASP Top 10 が参照されている
多数の企業や機関に使われて de facto ( 事実上の基準 ) になっている
OWASP Top 10 の歴史
2003, SANS/FBI Top 20 があった ( 特定な製品向け ) →OWASP Top 10 は製品ニュートラル
2007, MITRE CWE( 共通脆弱性一覧 ) 統計データ → そのトレンド統計データを用いて更新
2010, 脆弱性からリスクへ! リスク = 発生率 X 衝撃 企業自身で評価して下さい
2013, OWASP Top 10 が成熟している。。。
脆弱性だけではなく リスク
OWASP Risk Rating Methodology に基づき
ご自分で評価する
ご自分で評価する
OWASP Top 10 – 2013 版 2013/6, 英語版リリース
順番の入れ替え 新項目追加
2010 版からの変更点 ( 追加項目 1)
A6 - 機密データの露出 “ 安全でない暗号化データ保管” + “ 不十分なトランスポート層保
護”
保存時や転送時にかかわらず暗号化する 必要でない機密データを保存しない 強い暗号化アルゴリズムとキーを使用する パスワード向けアルゴリズム (bcrypt, PBKDF2 など ) を使用する オートコンプリートや画面キャッシュを無効化する
2010 版からの変更点 ( 追加項目 2)
A7 - 機能レベルアクセス制御の欠落 “URL アクセス制御の失敗”から拡大した
各ビジネス機能が呼び出される際に、必ず認可を検証する 監査しやすい権限管理を設計する アクセス権はデフォルトで全拒否する 業務上に必要な場合、アクセスの許可を確認する ボタンを表示しないではなく、ビジネスロジック層で制御する
2010 版からの変更点 ( 追加項目 3)
A9 - 既知の脆弱性を持つコンポーネントの使用 “ セキュリティ設定のミス”の一部でした
コンポーネントは全て自分で書く 。。。でも現実ではない → 常にコンポーネントを更新する
使用するコンポーネントの依存関係を把握する 公開データベースやメーリングリストで更新情報を確認する コンポーネント管理のポリシーを作成する 必要でない、或いは脆弱な部分を無効化する
OWASP Top 10 のトレンドOWASP Top 10 2004 2007 2010 2013
インジェクション A6 A2 A1 A1
認証とセッション A3 A7 A3 A2
XSS A4 A1 A2 A3
オブジェクト直接参照 - A4 A4 A4
設定のミス A10 - A6 A5
機密情報露出 A8 A8 A7 A6
アクセス制御 A2 A10 A8 A7
CSRF - A5 A5 A8
脆弱なコンポネント - - - A9
リダイレクト - - A10 A10
安全でない通信 A10 A9 A9 -
エラー処理 A7 A6 - -
悪意ファイル実行 - (A3) - -
入力チェック A1 - - -
バッファオーバーフロー (A5) - - -
DoS (A9) - - -無くなった
分けた
結合した 結合した
抽出した追加した
要件 設計 実装 テスト 運用
疑問点 1 :十年以来のトレンドをもう一度振り返ったら。。。
Top 10 は、大体包括的なりつつ、内容はほぼ同じ見える。。。 Top 10 の多い部分は なぜ消えていない?
考えられる原因 セキュリティコミュニティ =/= 開発コミュニティ 検出して修正する =/= 意識向上する
後からセキュリティ検証だけでは足りない!
最初からセキュリティを意識しながら開発が必要!
疑問点 2 :社会学上のマタイ効果 ?
マタイ効果 重視されるもの (Top 10) だけが重視されつつ 他のは無視される?
Clickjacking
DoS 攻撃
Header Injection
不適切なエラー処理
Mass AssignmentConcurrency Flaws
悪意ファイルの実行
ユーザプライバシ
結論: Top 10 だけじゃ足りない!
OWASP Top 10 で止めない! Top 10 を起点にして。。。
無料な OWASP ドキュメント: Application Security Verification Standard (ASVS)
セキュリティ評価基準、セキュリティ要件設定 Developer’s Guide, Testing Guide
Prevention Cheat Sheets
Software Assurance Maturity Model(SAMM)
また、 OWASP ナイトに参加!
ご清聴有難うございます!