サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
画力アップ
jpcertcc.github.io
このトレーニングから得られる知識 このコンテンツは、以下の知識を得ることができます。 攻撃者の典型的なネットワーク侵入の手口 侵入の痕跡を見つけるために必要なWindowsのログ設定 Windowsログの調査手順 ログ調査のポイント Active Directoryログから攻撃の痕跡を分析する手法の基礎 対象者 このコンテンツは、以下のようなインシデント調査、分析に関わる初級者を対象としています。 現場のシステム管理者 組織のセキュリティ窓口担当者 インシデント分析に関心のある方 トレーニングの詳細
このドキュメントは、iOS アプリの開発者を対象に、Apple の iOS オペレーティングシステム向けのセキュアなアプリを開発するときに重要となる項目について、その基本を説明することを目的としています。このドキュメントは、「OWASP Mobile Top 10 Risks 」(OWASP モバイルリスク Top 10) 一覧に基づいています。 基礎 ユーザーの観点から、自分の iOS デバイスを守るためにできる最善のことを 2 つ挙げるとすれば、強力なパスワードを有効にすることと、ジェイルブレイクしないことです。しかし、開発者にとっては、このどちらも問題を含んでいます。アプリのサンドボックス環境内では、いずれも検証できないからです。(Appleは以前、ジェイルブレイクしているかどうかデバイスをテストするための API を提供していましたが、その API は 2010 年に廃止されました
クロスサイトスクリプティング (XSS) は、一般に次の 3 種類に分類されます。 反射型、格納型、および DOM ベースの XSS です。反射型 XSS と格納型 XSS については、XSS 対策チートシートで詳しく取り上げています。このチートシートでは、ドキュメントオブジェクトモデル (DOM) ベースの XSS について説明します。このチートシートは、XSS 対策チートシートの延長であり、その内容の理解を前提としています。 DOM ベースの XSS を理解するには、DOM ベースの XSS と反射型および格納型 XSS との基本的な違いを知る必要があります。最も大きな違いは、攻撃がどこでアプリケーションに挿入されるかです。反射型 XSS と格納型 XSS がサーバー側でのインジェクションの問題であるのに対し、DOM ベースの XSS はクライアント (ブラウザー) 側でのインジェクシ
この文書は2016年以降更新されていません クロスサイトリクエストフォージェリ (CSRF) の防止策に関するチートシート クロスサイトリクエストフォージェリ (CSRF) は攻撃の一種であり、悪意のある Web サイト、電子メール、ブログ、インスタントメッセージ、またはプログラムを使用して、ユーザーが現在認証されている信頼されたサイト上で、ユーザーの Web ブラウザーに意図しないアクションを実行させます。クロスサイトリクエストフォージェリ攻撃が成功した場合、影響を受けるのは脆弱性のあるアプリケーションによって露出される機能に限られています。たとえば、この攻撃により、送金処理、パスワード変更、ユーザーコンテキストを使用した物品の購入などが行われることがあります。実際、攻撃者は CSRF 攻撃を使用して、ターゲットのシステムにターゲットのブラウザー経由で機能 (送金処理、フォーム送信など)
REST (REpresentational State Transfer) は、システム内のエンティティを URL パス要素によって表現するための手段です。REST は、アーキテクチャを指す言葉ではなく、Web 上のサービスを構築する際のアーキテクチャスタイルを指す言葉です。REST による Web ベースのシステムとの対話では、複雑なリクエスト本文や POST パラメーターを使わず、簡素化された URL を使用してシステム上のエンティティを指定することを可能にします。このドキュメントは、REST ベースのサービスに役立つベストプラクティスのガイドとして使用できます。 認証とセッション管理 RESTful Web サービスでは、POST によってセッショントークンを確立するか、または POST 本文の引数や Cookie として API キーを使用することによって、セッションベースの認証
この資料は、アプリケーションで適切な入力値検証を行うための、簡単でわかりやすい実用的なガイダンスを提供することに重点を置いています。 入力値検証の目的 入力値検証は、誤った形式のデータがシステムに入力されるのを最小限に抑えるために実行されます。入力値検証は、XSS や SQL インジェクションの一次的な防御方法ではありません。これらの攻撃については、出力エンコードと関連チートシートで取り上げています。 ホワイトリスト型の入力値検証 常に、ユーザー (攻撃者) のリクエストを処理するできるだけ早い段階で攻撃を防ぐことが推奨されます。入力値検証を使用すれば、アプリケーションで処理される前に不正な入力を検出できます。開発者はよくブラックリスト型の入力値検証を実行して「'」文字、文字列「1=1」、<script> タグのような攻撃文字や攻撃パターンを検出しようとしますが、これは非常に欠陥の多いアプ
この資料では、適切に出力のエスケープ / エンコードを使用した XSS 対策について、シンプルかつポジティブなモデルを紹介します。極めて多くの XSS 攻撃ベクトルがありますが、いくつかのシンプルなルールに従うことで、この重大な攻撃を完全に防ぐことができます。この資料では、XSS の技術的な影響、ビジネスへの影響は扱いません。XSS を使用すれば、攻撃者は、被害者がブラウザーを使用して実行可能なあらゆる行為を行うことができるとだけ、ここでは述べておきます。 反射型 XSS と格納型 XSS の両方ともに、サーバー側で適切な検証とエスケープを実行することで対応できます。DOM ベース XSS には、DOM ベース XSS 対策チートシートで説明する特殊なルールのサブセットにより対応できます。 XSS 関連の攻撃ベクトルについてのチートシートは、XSS フィルター回避チートシートを参照してくだ
以下のチートシートは、HTML 5 をセキュアに実装するためのガイドの役割を果たします。 通信 API Web メッセージング Web メッセージング (クロスドメインメッセージングとも呼ばれます) は、オリジンが異なるドキュメント間で、従来使用されてきたさまざま手法よりも安全に、メッセージをやり取りする手段を提供します。ただし、留意すべきアドバイスがいくつかあります。 メッセージをポストする際には、想定するオリジンを postMessage の第 2 引数 として、 明示的に指定します。これにより、リダイレクト後や、他の何らかの方法でターゲットウィンドウのオリジンが変更された後で、不明なオリジンにメッセージが送信されるのを防止できます。 受信側のページでは、以下のことを必ず実行してください。 送信側の origin 属性を調べて、データの生成元が所期の場所であることを確認します。 イベン
この資料は、アプリケーションのセキュリティテストを行う技術者に、クロスサイトスクリプティングのテストを支援するガイドを提供することに重点を置いています。この資料の初期版は、RSnake から OWASP に寄付されたもので、彼のセミナーの XSS チートシートが元になっています(http://ha.ckers.org/xss.html)。現在このサイトにアクセスすると、この新しいサイトにリダイレクトされるようになっており、今後はここで保守や強化が行われる予定です。最初に作成された OWASP 対策チートシート、XSS (クロスサイトスクリプティング) 対策チートシートは、RSnake の XSS チートシートをベースにしています。彼に謝意を表します。私たちは、攻撃に関する複雑なチートシートにあらゆる巧妙なトリックを列挙して、とにかくこれらを防ぐアプリケーションを構築せよと開発者に言うのでは
この資料は、アプリケーションに SQL インジェクションの脆弱性が入り込まないようにするための、簡単でわかりやすい実用的なガイダンスを提供することに重点を置いています。残念なことに、SQL インジェクション攻撃は、次に示す 2 つの要因により非常に一般的なものになっています。 SQL インジェクション脆弱性の高い発生率、および 標的の魅力 (つまり、データベースには、通常、アプリケーションにとって興味深い / 不可欠なデータがすべて格納されているということ)。 これほど多くの SQL インジェクション攻撃が成功しているのは情けないことです。というのも、コーディングで SQL インジェクション脆弱性を回避するのは、非常に簡単だからです。 SQL インジェクションの脆弱性は、ソフトウェア開発者が、ユーザーによる入力を含む動的データベースクエリを作成するときに入り込みます。SQL インジェクショ
Japanese translation of OWASP documents View the Project on GitHub JPCERTCC/OWASPdocuments Download ZIP File Download TAR Ball View On GitHub Welcome to OWASP documents page by JPCERT/CC. JPCERT/CC で行っている OWASP ドキュメント日本語訳のベータ版ファイルを置いています. 参考: OWASP Japan チャプター (「Translation / OWASP ドキュメント翻訳」タブ) ASVS (Application Security Verification Standard) ASVS プロジェクトの github リポジトリ ASVS v3.0.1 日本語訳 (docx) (pdf
このページを最初にブックマークしてみませんか?
『jpcertcc.github.io』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く