100 99 98 97 96 95 94 93 92 91

90898887868584838281

80 79 78 77

76

75 74 73

72

7170

6968676665

64

636261

60 59 58 57 56 55 54 53

52

51

504948

4746

454443

42

41

40 39 38

37

36

35

34

33

32 31

30

29

282726

25

2423222120

19 18 17 16 15 14

13

12

11

1098

7

65

4

321

D

pf

❉P✭

スタート

ゴール

OWASP-C1クエリのパラメータ化 OWASP-C2

データのエンコード

OWASP-C3 全ての入力の検証

OWASP-C4適切なアクセス制御の実装

OWASP-C5 IDと認証制御の確立

OWASP-C6データ保護とプライバシー

OWASP-C7 ログ取得、エラー処理、侵入検知の実装

OWASP-C8 フレームワークのセキュリティ機能やセキュリティライブラリの活用

OWASP-C9 セキュリティに特化した要件を盛り込む

OWASP-C10設計と構築にセキュリティを入れ込む

OWASP-A1インジェクション

OWASP-A2認証とセッション管理の不備

OWASP-A3クロスサイトスクリプティング(XSS)

OWASP-A4 安全でないオブジェクト直接参照

OWASP-A5 セキュリティ設定

のミス

OWASP-A6機密データの露出

OWASP-A7機能レベルのアクセス制御の欠落

OWASP-A8クロスサイトリクエストフォージェリ(CSRF)

OWASP-A9既知の脆弱性のあるコンポーネントの使用

OWASP-A10 検証されていないリダイレクトと転送

サイコロやコマがない？下の図形を切り取って使ってください。色のついた丸いものをコマとして使えるでしょう。あるいは、６面のサイコロプログラムを書くとか、乱数ジェネレータアプリを使うとか。1から6までの値がランダムかどうかはちゃんとチェックすること！

このシートから切り取ったものでサイコロを作るには、点線に沿って折り曲げ、のりしろのところに接着剤をつけ、立方体になるように慎重に整形してください。

Created by Colin Watson Version WebApp-1.02-JA

OWASPトップ10 プロアクティブコントロール(2014)

OWASP トップ10 プロアクティブコントロールは、すべてのソフトウェア開発プロジェクトに取り入れられるべきセキュリティ技法のリストです。C1 パラメータクエリC2 データのエンコードC3 全ての入力の検証C4 適切なアクセス制御の実装C5 IDと認証制御の確立C6 データ保護とプライバシーC7 ログ取得、エラー処理、侵入検知の実装C8 フレームワークのセキュリティ機能やセキュリティライブラリの活用C9 セキュリティに特化した要件を盛り込むC10 設計と構築にセキュリティを入れ込むhttps://www.owasp.org/index.php/OWASP_Proactive_Controls

OWASPトップ10 最重要ウェブアプリケーションリスク (2013)

OWASPトップ10は、最も重要なウェブアプリケーションのセキュリティ上の欠陥についての共通認識を示しています。A1 インジェクションA2 認証とセッション管理の不備A3 クロスサイトスクリプティング(XSS)A4 安全でないオブジェクト直接参照A5 セキュリティ設定のミスA6 機密データの露出A7 機能レベルのアクセス制御の欠落A8 クロスサイトリクエストフォージェリ(CSRF) A9 既知の脆弱性のあるコンポーネントの使用A10 検証されていないリダイレクトと転送https://www.owasp.org/index.php/TopTen

Project Leader

Colin Watson

Translators / Other Contributors

Manuel Lopez Arredondo, Fabio Cerullo, Tobias Gondrom, Martin Haslinger, Yongliang He, CédricMesseguer, Riotaro Okada, Ferdinand Vroom, Ivy Zhang

OWASP 蛇とはしごは、無料で自由にお使いいただけます。クリエイティブコモンズ表示-継承3.0ライセンスに基づき、この成果物を複写、配布、送信、改変、商業的利用が可能ですが、この作品に基づくいかなるものについて、また再利用、転送、二次的著作物については、このライセンスと同 じ使用許諾条件でなければなりません。 © OWASP Foundation 2014.

OWASP 蛇とはしごは、アプリケーション・セキュリティ認知向上のための教育的なゲームです。この版はウェブアプリケーションに重点を置いており、「OWASP トップ10 プロアクティブコントロール」を「はしご」、また有名な「OWASPトップ10 最重要リスク」を「蛇」としました。これらのプロジェクトのリーダーならびに貢献された方々に感謝いたします。

このシートのソースファイル、他のアプリケーションセキュリティトピックのシート、他の言語バージョン、また「OWASP 蛇とはしごプロジェクト」に関する情報は、以下のOWASPのウェブサイトにあります。 https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders

背景「蛇とはしご」はアジア発祥のボードゲームで、ビクトリア朝時代に英国に輸入された人気のボードゲームです。オリジナルのゲームは善と悪、美徳と悪徳のそれぞれの効果を示したものでした。このゲームは、アメリカの一部の場所では、「雨どいとはしご」として知られています。このOWASP版では、セキュアなコーディング（プロアクティブコントロール）を高潔な行動とし、アプリケーションリスクを悪徳としています。

警告OWASP 蛇とはしごは、大小を問わず、ソフトウェアプログラマーに使っていただくことを意図しています。この紙のゲームシートそのものは有害ではありませんが、利用者が、自分で所有しているプラスチックあるいは木製のサイコロやカウンター(コマ)を使うことにする場合、4歳以下の子供たちには喉に詰まらせて窒息するリスクがあるかもしれません。

ルールこのゲームは2人から6人で遊びます。それぞれのプレイヤーに色のついたコマを配ってください。最初に、それぞれのプレイヤーはサイコロを振って誰が最初にプレイするか決めます。一番大きな数の目を出した人が最初です。全プレイヤーのコマを「スタート1」とある最初のマス目に置きます。順に、各プレイヤーはサイコロを振り、その数にしたがってコマを移動します。移動した時に、もしコマがはしごの下に来たなら、コマをはしごの最上段のところにあるマス目に上げなければなりません。コマが蛇の口のところに来たなら、そのコマを蛇の尻尾のところに降ろさなければなりません。

左上の"100"のところに最初に来たプレイヤーが勝者となります。

コマは７つあるはずなんだけど、食いしん坊の蛇がひとつ食べちゃったみたい。どこかにありますか？

OWASP 蛇とはしご– ウェブアプリケーション –

C

M

Y

CM

MY

CY

CMY

K

OWASP-SnakesAndLadders-WebApplications-1v02-JA.pdf 1 26/11/2014 10:40