2015/10/19 19:00-20:30
久しぶりの更新。OWASP Night 19th に行ってきたのです。
ですので、個人的備忘録。
Capterは以下。
1.Webシステム/Webアプリケーションセキュリティ要件書2.0
2.OWASP Global AppSec USA 2015
3.IETFとOSS
4.OWASP プロジェクトを使ってみた
1.Webシステム/Webアプリケーションセキュリティ要件書2.0
https://github.com/ueno1000/secreq
Ver.1.0 からの主な変更点
「1.3 パスワードについて」のパスワード文字列の長さを最低8文字以上に変更
「1.3 パスワードについて」の登録可能なパスワード文字列の長さ127文字以上と追加
「1.3 パスワードについて」の登録可能なパスワード文字列の文字を大小英字、数字、記号が利用可能であることと追加
「1.5 パスワードリセット機能について」を追加
「3.3 CSRF対策の実施について」の対策を再認証を主な対策としないような記載に変更
「5.3 CSSを動的に生成しないこと」を追加
「6.3 安全な暗号化通信を使用すること」でSSL2.0/3.0を無効に変更
「7.1 cookieの属性を適切に設定すること」で HttpOnly属性を必須に変更、Domain属性を指定しないことを追加
「8.3 レスポンスヘッダーにX-Frame-Optionsを指定すること」を追加
「9.6 管理者がアカウントの有効・無効を設定できること」を追加
「9.7 重要な処理が行われたらログを記録すること」を追加
2.OWASP Global AppSec USA 2015
実際のセッションの内容は以下。
https://speakerdeck.com/owaspjapan/owaspglobalconference-number-owaspnight19th
その中で出てきた話題のリンクは以下。
https://www.owasp.org/index.php/Category:OWASP_AppSec_Conference
http://2015.appsecusa.org
話の中で気になって点:
・DevOpsがAppSecに吸収されていた。
・OWASP Benchmark
・BugHunters Methodology
1app 30min くらいで切り上げる。どんどん新しいappを確認しよう。
find bugは以下を使ったりするよ。
https://github.com/danielmiessler/SecLists
https://github.com/jhaddix/tbhm
3.IETFとOSS
このセクションを知る上で勉強になる情報:
http://www.jnsa.org/seminar/pki-day/2014/data/AM02_kanno.pdf
暗号/セキュアプロトコルの観点から考えて見る
IETF:Internet Engineering Task Force(プロトコルの標準化団体)
Surveillance対策(キーワード):
Opportunistic Encryption
Post Quantum
New Elliptic Curves
DJB
AEAD
ChaCha20
IETFでDJBが注目されているらしい。
キーワード:
Let's Encrypt
CrypTech
Heads up:
IETF94 が横浜で開催。(https://www.ietf.org/meeting/94/)
ISOC-JP(http://www.isoc.jp)に参加していると無料?
4.OWASP プロジェクトを使ってみた
実際のセッションの内容は以下。
http://www.slideshare.net/akitsuguito/owasp-project
CSIRTによる情報収集。OSSの最新化。
OWASP Dependency Check
ビルドプロセスに組み込んで利用。デイリービルドで確認。
・誤判定が多い
・Clientサイドの情報がない
・海外サイトにつながらないと時間がかかる
OWASP ASVS v3
アプリケーションセキュリティ検証標準プロジェクト
Gest:業界標準に従った開発が行なわれている?
OWASP ZAP
OSSなので提供が可能
0 件のコメント:
コメントを投稿