Embed Size (px)
Citation preview
100 99 98 97 96 95 94 93 92 91
90898887868584838281
80 79 78 77
76
75 74 73
72
7170
6968676665
64
636261
60 59 58 57 56 55 54 53
52
51
504948
4746
454443
42
41
40 39 38
37
36
35
34
33
32 31
30
29
282726
25
2423222120
19 18 17 16 15 14
13
12
11
1098
7
65
4
321
D
pf
❉P✭
スタート
ゴール
OWASP-C1クエリのパラメータ化 OWASP-C2
データのエンコード
OWASP-C3 全ての入力の検証
OWASP-C4適切なアクセス制御の実装
OWASP-C5 IDと認証制御の確立
OWASP-C6データ保護とプライバシー
OWASP-C7 ログ取得、エラー処理、侵入検知の実装
OWASP-C8 フレームワークのセキュリティ機能やセキュリティライブラリの活用
OWASP-C9 セキュリティに特化した要件を盛り込む
OWASP-C10設計と構築にセキュリティを入れ込む
OWASP-A1インジェクション
OWASP-A2認証とセッション管理の不備
OWASP-A3クロスサイトスクリプティング(XSS)
OWASP-A4 安全でないオブジェクト直接参照
OWASP-A5 セキュリティ設定
のミス
OWASP-A6機密データの露出
OWASP-A7機能レベルのアクセス制御の欠落
OWASP-A8クロスサイトリクエストフォージェリ(CSRF)
OWASP-A9既知の脆弱性のあるコンポーネントの使用
OWASP-A10 検証されていないリダイレクトと転送
サイコロやコマがない?下の図形を切り取って使ってください。色のついた丸いものをコマとして使えるでしょう。あるいは、6面のサイコロプログラムを書くとか、乱数ジェネレータアプリを使うとか。1から6までの値がランダムかどうかはちゃんとチェックすること!
このシートから切り取ったものでサイコロを作るには、点線に沿って折り曲げ、のりしろのところに接着剤をつけ、立方体になるように慎重に整形してください。
Created by Colin Watson Version WebApp-1.02-JA
OWASPトップ10 プロアクティブコントロール(2014)
OWASP トップ10 プロアクティブコントロールは、すべてのソフトウェア開発プロジェクトに取り入れられるべきセキュリティ技法のリストです。C1 パラメータクエリC2 データのエンコードC3 全ての入力の検証C4 適切なアクセス制御の実装C5 IDと認証制御の確立C6 データ保護とプライバシーC7 ログ取得、エラー処理、侵入検知の実装C8 フレームワークのセキュリティ機能やセキュリティライブラリの活用C9 セキュリティに特化した要件を盛り込むC10 設計と構築にセキュリティを入れ込むhttps://www.owasp.org/index.php/OWASP_Proactive_Controls
OWASPトップ10 最重要ウェブアプリケーションリスク (2013)
OWASPトップ10は、最も重要なウェブアプリケーションのセキュリティ上の欠陥についての共通認識を示しています。A1 インジェクションA2 認証とセッション管理の不備A3 クロスサイトスクリプティング(XSS)A4 安全でないオブジェクト直接参照A5 セキュリティ設定のミスA6 機密データの露出A7 機能レベルのアクセス制御の欠落A8 クロスサイトリクエストフォージェリ(CSRF) A9 既知の脆弱性のあるコンポーネントの使用A10 検証されていないリダイレクトと転送https://www.owasp.org/index.php/TopTen
Project Leader
Colin Watson
Translators / Other Contributors
Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Yongliang He, CédricMesseguer, Riotaro Okada, Ferdinand Vroom, Ivy Zhang
OWASP 蛇とはしごは、無料で自由にお使いいただけます。クリエイティブコモンズ表示-継承3.0ライセンスに基づき、この成果物を複写、配布、送信、改変、商業的利用が可能ですが、この作品に基づくいかなるものについて、また再利用、転送、二次的著作物については、このライセンスと同 じ使用許諾条件でなければなりません。 © OWASP Foundation 2014.
OWASP 蛇とはしごは、アプリケーション・セキュリティ認知向上のための教育的なゲームです。この版はウェブアプリケーションに重点を置いており、「OWASP トップ10 プロアクティブコントロール」を「はしご」、また有名な「OWASPトップ10 最重要リスク」を「蛇」としました。これらのプロジェクトのリーダーならびに貢献された方々に感謝いたします。
このシートのソースファイル、他のアプリケーションセキュリティトピックのシート、他の言語バージョン、また「OWASP 蛇とはしごプロジェクト」に関する情報は、以下のOWASPのウェブサイトにあります。 https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders
背景「蛇とはしご」はアジア発祥のボードゲームで、ビクトリア朝時代に英国に輸入された人気のボードゲームです。オリジナルのゲームは善と悪、美徳と悪徳のそれぞれの効果を示したものでした。このゲームは、アメリカの一部の場所では、「雨どいとはしご」として知られています。このOWASP版では、セキュアなコーディング(プロアクティブコントロール)を高潔な行動とし、アプリケーションリスクを悪徳としています。
警告OWASP 蛇とはしごは、大小を問わず、ソフトウェアプログラマーに使っていただくことを意図しています。この紙のゲームシートそのものは有害ではありませんが、利用者が、自分で所有しているプラスチックあるいは木製のサイコロやカウンター(コマ)を使うことにする場合、4歳以下の子供たちには喉に詰まらせて窒息するリスクがあるかもしれません。
ルールこのゲームは2人から6人で遊びます。それぞれのプレイヤーに色のついたコマを配ってください。最初に、それぞれのプレイヤーはサイコロを振って誰が最初にプレイするか決めます。一番大きな数の目を出した人が最初です。全プレイヤーのコマを「スタート1」とある最初のマス目に置きます。順に、各プレイヤーはサイコロを振り、その数にしたがってコマを移動します。移動した時に、もしコマがはしごの下に来たなら、コマをはしごの最上段のところにあるマス目に上げなければなりません。コマが蛇の口のところに来たなら、そのコマを蛇の尻尾のところに降ろさなければなりません。
左上の"100"のところに最初に来たプレイヤーが勝者となります。
コマは7つあるはずなんだけど、食いしん坊の蛇がひとつ食べちゃったみたい。どこかにありますか?
OWASP 蛇とはしご– ウェブアプリケーション –
C
M
Y
CM
MY
CY
CMY
K
OWASP-SnakesAndLadders-WebApplications-1v02-JA.pdf 1 26/11/2014 10:40
