OWASP World Tour Tokyo 2017 その2
各セッションをかいつまんでまとめます。
ここにスライドはまとまってますので、参照してください。
Presentations by OWASP Japan // Speaker Deck
OWASP Top 10を用いた脆弱性対応
ポイント
- OWASP Top 10では主要な脆弱性10個を説明
- PCI DSS等のガイドラインもOWASPを参照
- OWASP Top10 Proactive Controlでは脆弱性を作りこまないための事前の準備手法を解説
- IPA セキュアプログラミング講座
- OWASP Web Goat
参考
最小権限
ポイント
- 権限は、”権限の範囲”と”アクセス可能な期間”で考える
- 設計をする際にデータを中心に設計する
- リスクアセスメントでも同じ(情報資産の洗い出し→脅威の明確化)
設計の進め方
- 扱うデータの特定
- データのライフサイクルの検討
- データ操作権の特定
- 操作方法の検討
実装するには
- フレームワークのアクセス制御機能を利用(賛否両論あるが、独自よりはましだと判断)
- IPA
セキュアプログラミング講座 - OWASP
Top10 Proactive Control 2016
12の事例に学ぶWebアプリケーションのアクセス制御
どのように検証すべきか
第三者:権限表がないと判断できない
開発者:コーディング時にテストコード書いて検証する
・コードから権限表を生成する
>ドキュメンテーションとテストコードの記述のコストを抑える
>権限設定をユーザ視点、データ視点双方から確認しやすくする
続きます