OWASP-SnakesAndLadders-WebApplications-1v01-EN.pdf 1 05/11/2014 17:05 ゴール Version WebApp-1.01-JA Created by Colin Watson OWASP 蛇とはしご – ウェブアプリケーション – 100 OWASP-A1 インジェクション 99 98 「OWASP トップ10 プロアクティブコントロール」を「はしご」とし、また有名な「OWASPトップ10 最重要リスク」を「蛇」としました。 96 95 94 93 OWASP-A6 機密データの露出 OWASP-A10 検証されていないリダイレクトと転送蛇と梯子は、アプリケーション・セキュリティ認知向上のための教育的なゲームです。このバージョンはウェブアプリケーションのゲームとして、 97 OWASP-A9 既知の脆弱性のあるコンポーネントの使用 92 91 89 72 90 OWASP-A5 セキュリティ設定のミスこれらの二つのプロジェクトのプロジェクトリーダーと貢献した方々に感謝します。 OWASPトップ10 プロアクティブコントロール(2014) OWASPトップ10 最重要ウェブアプリケーションリスク (2013) OWASP トップ10 プロアクティブコントロールは、すべてのソフトウェア開発プロジェクトに取り入れられるべきセキュリティ技法のリストです。 OWASPトップ10は、最も重要なウェブアプリケーションのセキュリティ上の欠陥についての共通認識を示しています。 C1 C2 C3 C4 C5 C6 C7 C8 C9 C10 パラメータクエリデータのエンコード全ての入力の検証適切なアクセス制御の実装 IDと認証制御の確立データ保護とプライバシーログ取得、エラー処理、侵入検知の実装フレームワークのセキュリティ機能やセキュリティライブラリの活用セキュリティに特化した要件を盛り込む設計と構築にセキュリティを入れ込む https://www.owasp.org/index.php/OWASP_Proactive_Controls A1 インジェクション A2 認証とセッション管理の不備 A3 クロスサイトスクリプティング(XSS) A4 安全でないオブジェクト直接参照 A5 セキュリティ設定のミス A6 機密データの露出 A7 機能レベルのアクセス制御の欠落 A8 クロスサイトリクエストフォージェリ (CSRF) A9 既知の脆弱性のあるコンポーネントの使用A10 検証されていないリダイレクトと転送 https://www.owasp.org/index.php/TopTen 背景ルール「蛇とはしご」はアジア発祥のボードゲームで、ビクトリア朝時代に英国に輸入された人気のボードゲームです。オリジナルのゲームは善と悪、美徳と悪徳のそれぞれの効果を示したものでした。このゲームは、アメリカの一部の場所では、「雨どいとはしご」として知られています。このOWASP版では、セキュアなコーディング（プロアクティブコントロール）を高潔な行動とし、アプリケーションリスクを悪徳としています。このゲームは2人から6人で遊びます。それぞれのプレイヤーに色のついたコマを配ってください。最初に、それぞれのプレイヤーはサイコロを振って誰が最初にプレイするか決めます。一番大きな数の目を出した人が最初です。全プレイヤーのコマを「スタート1」とある最初のマス目に置きます。順に、各プレイヤーはサイコロを振り、その数にしたがってコマを移動します。警告移動した時に、もしコマがはしごの下に来たなら、コマをはしごの最上段のところにあるマス目に上げなければなりません。コマが蛇の口のところに来たなら、そのコマを蛇の尻尾のところに降ろさなければなりません。 M Y CM MY CY CMY K OWASP 蛇とはしごは、大小を問わず、ソフトウェアプログラマーに使っていただくことを意図しています。この紙のゲームシートそのものは有害ではありませんが、利用者が、自分で所有しているプラスチックあるいは木製のサイコロやカウンター (コマ)を使うことにする場合、4歳以下の子供たちには喉に詰まらせて窒息するリスクがあるかもしれません。左上の"100"のところに最初に来たプレイヤーが勝者となります。サイコロやコマがない？下の図形を切り取って使ってください。色のついた丸いものをコマとして使えるでしょう。あるいは、６面のサイコロプログラムを書くとか、乱数ジェネレータアプリを使うとか。1から6までの値がランダムかどうかはちゃんとチェックすること！ P Project Leader Colin Watson Translators / Other Contributors Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Riotaro Okada, Ferdinand Vroom, Ivy Zhang D ✭ 83 84 80 79 87 85 86 76 OWASP-A8 クロスサイトリクエ 77 64 78 OWASP-A4 安全でないオブジェクト直接参照 61 60 41 62 63 59 42 58 OWASP-C8 フレームワークのセキュリティ機能やセキュリティライブラリの活用 OWASP-C10 設計と構築にセキュリティを入れ込む 57 43 コマは７つあるはずなんだけど、食いしん坊の蛇がひとつ食べちゃったみたい。どこかにありますか？ ❉ OWASP 蛇とはしごは、無料で自由にお使いいただけます。クリエイティブコモンズ表示-継承3.0ライセンスに基づき、この成果物を複写、配布、送信、改変、商業的利用が可能ですが、この作品に基づくいかなるものについて、また再利用、転送、二次的著作物については、このライセンスと同じ使用許諾条件でなければなりません。 © OWASP Foundation 2014. 21 20 OWASP-C4 適切なアクセス制御の実装 39 38 88 OWASP-C7 ログ取得、エラー処理、侵入検知の実装 75 74 73 66 67 68 55 46 54 47 69 53 48 33 35 OWASP-C6 データ保護とプライバシー 36 25 71 70 34 OWASP-A3 クロスサイトスクリプティング (XSS) 50 32 29 31 OWASP-C5 IDと認証制御の確立 24 26 27 28 13 19 18 17 4 16 15 14 OWASP-C3 全ての入力の検証 12 8 9 2 3 OWASP-C1 クエリのパラメータ化 5 6 OWASP-C2 データのエンコード 51 49 23 7 52 OWASP-C9 セキュリティに特化した要件を盛り込む 22 スタート 1 56 セッション管理の不備 40 f 65 44 45 37 OWASP-A2 認証と OWASP-A7 機能レベルのアクセス制御の欠落このシートから切り取ったものでサイコロを作るには、点線に沿って折り曲げ、のりしろのところに接着剤をつけ、立方体になるように慎重に整形してください。 p 82 ストフォージェリ (CSRF) このシートのソースファイル、他のアプリケーションセキュリティトピックのシート、他の言語バージョン、また「OWASP 蛇とはしごプロジェクト」に関する情報は、以下のOWASPのウェブサイトにあります。 https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders C 81 30 11 10