扉 - owasp-mastg-ja
Bernhard はあらゆる種類のシステムをハックする才能を持つサイバーセキュリティの専門家です。業界で10年以上にわたり、MS SQL Server, Adobe Flash Player, IBM Director, Cisco VOIP, ModSecurity などのソフトウェアに対するゼロデイエクスプロイトを多数公表しています。それに名前をつけることができても、おそらく少なくとも一度はそれを破棄しているでしょう。BlackHat USA は Pwnie Award for Best Research でモバイルセキュリティの先駆的な取り組みを賞賛しました。 Sven は経験豊かなウェブおよびモバイルのペネトレーションテスト技術者であり、歴史上有名な Flash アプリケーションからプログレッシブモバイルアプリまでのすべてを評価しています。彼はセキュリティエンジニアでもあり、SDL
GitHub - LAC-Japan/OWASP-MASVS: OWASP Mobile Application Security Verification Standard (MASVS) 日本語訳
Source Code Analysis Tools | OWASP Foundation
Contributor(s): Dave Wichers, itamarlavender, will-obrien, Eitan Worcel, Prabhu Subramanian, kingthorin, coadaflorin, hblankenship, GovorovViva64, pfhorman, GouveaHeitor, Clint Gibler, DSotnikov, Ajin Abraham, Noam Rathaus, Mike Jang Source code analysis tools, also known as Static Application Security Testing (SAST) Tools, can help analyze source code or compiled versions of code to help find sec
12 Case Studies for the Access Controls of Web Application #appsecapac2014
12 Case Studies for the Access Controls of Web Application #appsecapac2014
Owasp Project を使ってみた
OWASP Night 19th で、サイボウズが活用する OWASP Project の成果物を紹介いたしました。Read less
セキュリティ診断のグローバル・スタンダードの紹介(OWASPセキュリティ診断基準と診断サービスの選定ポイント) | NTTデータ先端技術株式会社
Tweet はじめに システムのセキュリティリスクを把握する一つの手段として、セキュリティ診断が有効だと言われています。セキュリティ診断の代表的なものに、サーバーやネットワーク機器を対象とするネットワーク診断、主に顧客が独自作成したWebアプリケーションを対象としたWebアプリケーション診断があります。当社でも、これらの診断サービスを提供しています。 診断サービスを選択する際に、重要な点として以下があります(費用は、以下の項目に応じて決まるため、観点から除いています)。 診断手法 診断対象 診断項目 Webアプリケーション診断に適用すると、具体的には以下のようになります。 1. 診断手法 スキャナーを利用するのか、診断員が手動オペレーションで診断するのかなどの診断の手法に関係するもの。 2. 診断対象 全てのページなのか、一部のページに限定するのか(例:同じ作りのページは代表的なページ
tokuhirom's blog
OWASP dependency-check を利用して脆弱性のある Java ライブラリに依存していないか確認する 依存しているライブラリに脆弱性がある場合、それを検出できると嬉しい。 OWASP dependency-check の gradle プラグインを入れると、簡単に検出が可能となる。 設定は以下のようであり、非常に容易である。 buildscript { repositories { mavenCentral() } dependencies { classpath('org.owasp:dependency-check-gradle:3.2.1') } } apply plugin: 'org.owasp.dependencycheck' check.dependsOn dependencyCheckAnalyze // https://jeremylong.github.
OWASP Dependency-Check | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Dependency-Check is a Software Composition Analysis (SCA) tool that attempts to detect publicly disclosed vulnerabilities contained within a project’s dependencies. It does this by determining if there is a Common Platform Enumeration (CPE) identifier for a given dependency. If foun
OWASP World Tour 2017レポート - Qiita
こんにちは、ひろかずです。 OWASP World Tour 2017に行ってきたので、一筆書きます。 会場は、東京工業大学 大岡山キャンパス サイバーセキュリティ特別専門学修プログラムが開講されるなど、セキュリティの熱量が高さが伺えます。 なんと、東京工業大学は、OWASPアカデミックパートナーに申請されるそうです。 認可が待ち遠しいですね! 会のスライドはこちらです。 例によって、リアルタイムで執筆しているので、表記ゆれ、誤字、脱字、記載漏れはご容赦ください。 お品書き OWASP Top10を用いた脆弱性対応 最小権限の具体的な実現方法 開発者・運用社に向けたOWASP ZAPを用いた脆弱性診断手法 OWASP BWAを用いた学生及び職員向けトレーニング 開発ブロジェクトの現場を把握する ~OWASP SAMMを活用~ OWASP Top10を用いた脆弱性対応 オージス総研 安藤さん
組み込んだOSSコンポーネントの更新漏れを可視化する「OWASP Dependency Check」
昨今のウェブアプリケーションでは、ほとんどの場合、オープンソースのフレームワークやライブラリのような、自社開発ではないパッケージ化された部品(コンポーネント)を組み合わせて構築することでしょう。ですから、もしも既知の脆弱(ぜいじゃく)性が存在するようなコンポーネントを利用してウェブアプリケーションを開発していた場合には、組み込まれたコンポーネントの脆弱性を悪用され、攻撃を受けてしまう可能性が高くなります。 本稿では、ウェブアプリケーションに組み込まれている脆弱性が存在するコンポーネントの洗い出しに有用な、OWASPコミュニティより公開されているツール「OWASP Dependency Check」の概要および利用方法について解説します。 はじめに 本連載の第1回では、ウェブアプリケーションにおける重要なインパクトのある10のセキュリティリスクについてまとめた「OWASP Top 10」につ
OWASP Cheat Sheet Seriesの概要〜日本語版〜
Webアプリにおける認証機能の設計時に留意すべき事項(例:パスワードの複雑性、パスワードのセキュアな送信方法、多要素認証の適用など)について紹介している。
OWASP Cheat Sheet Seriesを日本語訳して馴染みやすくしてみた。
OWASPとは、Webをはじめとするソフトウェアのセキュリティ環境の現状、またセキュアなソフトウェア開発を促進する技術・プロセスに関する情報共有と普及啓発を目的としたプロフェッショナルの集まる、オープンソース・ソフトウェアコミュニティです。ここでは、OWASP Japan公式サイト等では伝えきれないマル得情報を配信します。 OWASP Top 10に代表される日本語化された成果物と比較すると、日本語化されていないOWASPの成果物は馴染みづらい印象を受けるとともにその利用を躊躇しているといったご意見を何度かいただいています。 とはいえ日本語化されていない成果物の中にも有用な成果物は数多く存在し、その中でもOWASP Cheat Sheet Seriesはセキュリティを専任とする方をはじめ、開発者、設計者、マネジャー、利用者など、どの立場の方にとっても有用な情報が詰まっています。それゆえに、
OWASP ZAP に追加された attack mode の概要
ZAPのtrunkリポジトリに「attack mode」 という新しいモードが追加されましたので、概要をメモしておきます。このまま問題がなければ、次のバージョンで組み込まれるでしょう。 attack mode の概要OWASP ZAP Developer Groups への psiinon(プロジェクトリーダー) さんの投稿によると、以下のような機能だそうです。 新たに追加されたWebページを検知するためのスレッドがバックグラウンドで動く。新しいWebページを検知した場合、それがスコープ内のWebページであればそのURLに対してアクティブスキャンを実行する。スコープ(のコンテキスト)を設定していなければ、何もしない。次のどちらもスキャンの対象となる。プロキシとしてZAPを設定したブラウザでアクセスしたWebページスパイダー検索でアクセスしたWebページアクティブスキャンの処理待ちキューに入
OWASP ZAP スキャンポリシーの検査項目一覧(Release版)
Software WebSecurity OWASP ZAP スキャンポリシーの検査項目一覧(Release版)※当サイトにはプロモーションが含まれています。 スキャンポリシーで選択できる各検査項目(Release品質の項目のみ)の一覧と、やっている検査処理の簡単な説明です。 脆弱性を自動診断して何らかの脆弱性が報告された場合、本当にその脆弱性が存在するのか調査すると思いますが、どういう診断処理が行われたのかが分かっていないと、非効率な調査しかできません。ですので、OWASP ZAPの自動検査で発見された脆弱性を調べる時に、この一覧を役立てて頂ければ嬉しいです。 ※ 脆弱性自体の説明があまりされていなかったり、各CWE情報へのリンクが貼っていなかったりして少し不親切な状態ですが、今後少しずつ追加していければなと思っています。 Passive Script passive scan rule
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編
OWASP ZAP ハンズオンセミナー 「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」第一回~第三回の内容まとめ・前編 8月から毎月一度開催されている「セキュリティ診断(自分でしたら)いかんのか?(OWASP ZAPなら)ええんやで(^ ^)」という、OWASP ZAPハンズオンセミナーに第一回から第三回まで参加し、講師の方に全体的な内容のまとめ&ブログ掲載の許可をいただいたので、これまで私がセミナーで学んだ内容を全部まとめてみます。 時系列に沿ったまとめではなく、セミナーの内容を頭から自習できるような一本の記事に再構成しました。 ブログ記事へのまとめ・編集による間違いやミスの混入の責任は私にあります。 また、一部、セミナーの時にとったメモを見ながら不明点を手元で確かめて書いている箇所があります。 リンク セミナーの案内ページ(セキュリティ診
OWASP ZAP | OWASP Foundation
The OWASP® Foundation works to improve the security of software through its community-led open source software projects, hundreds of chapters worldwide, tens of thousands of members, and by hosting local and global conferences. Project Information Flagship Project Classification Tool Audience Breaker Builder Downloads Download OWASP ZAP! Questionnaire Please help us to make ZAP even better for you
Selenium と OWASP ZAP を使った自動脆弱性検査への道標
Webアプリケーションをローカル環境で開発している場合に、Selenium と OWASP ZAP を使って自動的に脆弱性検査を実行するための設定・実行手順について説明します。使用するプログラミング言語には依存しない範囲で書くので、具体的な記述方法までは踏み込みません。 前置き大まかに言うと、開発中のWebアプリケーションに対してまず Selenium を使ったテストを実行し(この時、ブラウザのプロキシ設定をZAPにしておきます)、その後で OWASP ZAP による脆弱性検査を行います。自動といっても、今回はローカルのPC上でブラウザやZAPがGUI起動することを前提としています。GUIのない環境でブラウザを実行できるツールもありますし(XVFB, PhantomJS, etc.)、ZAPもデーモンモードで起動できますので、CUI環境(サーバ上等)でも今回のテストは可能なはずです。しかし
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
脆弱性診断を通じて見えてくるWebセキュリティ
GitHub - juice-shop/juice-shop: OWASP Juice Shop: Probably the most modern and sophisticated insecure web application
OWASP Juice Shop - An Intentionally Insecure Webapp For Security Trainings Written Entirely In Javascript