元情シス部員の頑張るIT

元情シスで現コンサル。マジ使えないと言われても頑張ります。

OWASP World Tour Tokyo 2017 その2

 

各セッションをかいつまんでまとめます。

ここにスライドはまとまってますので、参照してください。

Presentations by OWASP Japan // Speaker Deck

OWASP Top 10を用いた脆弱性対応

ポイント 

  • OWASP Top 10では主要な脆弱性10個を説明
  • PCI DSS等のガイドラインもOWASPを参照
  • OWASP Top10 Proactive Controlでは脆弱性を作りこまないための事前の準備手法を解説
  • IPA セキュアプログラミング講座
  • OWASP Web Goat
    参考

    www.pupha.net

最小権限

ポイント

  • 権限は、”権限の範囲”と”アクセス可能な期間”で考える
  • 設計をする際にデータを中心に設計する
  • リスクアセスメントでも同じ(情報資産の洗い出し→脅威の明確化)

設計の進め方

  1. 扱うデータの特定
  2. データのライフサイクルの検討
  3. データ操作権の特定
  4. 操作方法の検討

実装するには

  • フレームワークのアクセス制御機能を利用(賛否両論あるが、独自よりはましだと判断)
  • IPA
    セキュアプログラミング講座
  • OWASP
    Top10 Proactive Control 2016
    12の事例に学ぶWebアプリケーションのアクセス制御

どのように検証すべきか

第三者:権限表がないと判断できない

開発者:コーディング時にテストコード書いて検証する

・コードから権限表を生成する

 >ドキュメンテーションとテストコードの記述のコストを抑える

 >権限設定をユーザ視点、データ視点双方から確認しやすくする

 

続きます