#hiro_itで発表した内容です。 OWASP Top 10について、簡単に説明しています。 発表場所 https://hiro-it.connpass.com/event/255530/

1. OWASP Top 10 超初級編
(2021Ver.)
akimalu

2. 自己紹介
akimalu
Twitter:@aki_malu_sec(セキュリティ専門アカウント)
愛知県生まれ タイ育ち
所属 : 東京の某セキュリティ企業(開発)
趣味 : テニス(プレーヤー、観戦)、音楽(ギター、ライブ参戦)、など

3. OWASP Top 10
• OWASP(The Open Web Application Security Project)が
4年毎のペースで公開されているドキュメント
• 悪用のしやすさ，検知のしやすさ，影響の3つの指標から算出
されたスコアが高い順に順位付けされたもの
→ Webアプリケーションにおいて、特に気を付けなければ
ならないセキュリティリスクTop 10のようなもの

4. https://owasp.org/Top10/ja/

5. A1. アクセス制御の不備

6. 例
http://example.com/guest
↓
http://example.com/admin
http://example.com/account?userid=1000
↓
http://example.com/account?userid=2000
適切なアクセス制御
必要最低限の権限付与

7. https://www.itmedia.co.jp/news/articles/2210/26/news118.ht

8. A2. 暗号化の失敗
• 平文送信
→ 暗号化をして送信(必要最低限の送信)
• 保存時に平文で保存
→ ソルト付与や暗号化をして保存(必要最低限の保存)
• 暗号鍵の不十分な管理
→ 暗号鍵の適切な管理

9. A3. インジェクション

10. Webページを見るとき
① XXXというWebページのHTMLちょうだい！！
② XXXのHTML

11. Webページが動的に生成されるとき
① 検索
② 検索結果

12. 反射型XSS(Cross Site Scripting)
① 悪意のあるコード
② 機密情報

13. SQL Injection
セキュアなWebアプリケーション 脆弱なWebアプリケーション
https://www.ipa.go.jp/security/vuln/vuln_contents/sql.html

14. SQL Injection(ハンズオン5)
SELECT first_name, surname
FROM user
WHERE id ==

15. OS Command Injection
https://www.ipa.go.jp/security/vuln/vuln_contents/oscmd.html

16. コマンド例
ping 11 & ls
(ping 11と同時にlsをする)
対策後(簡単なエスケープ処理後)
‘ping 11 & ls’としてshell_exec関数に渡している

17. A4.安全が確認されない不安な設計
• パスワードを平文で保存
→ 保存されたDBが漏洩したときのダメージが大きい
• 不適切なエラー文
→ エラー文から攻撃者に情報を与えてしまう
• 認証時の秘密の質問(パスワード忘れたときに出てくるあれ)
→ 認証としては非推奨

18. A5. セキュリティの設定ミス
• 古いバージョンのセキュリティホールをついた攻撃
→ 最新のバージョンを使用
• テストアカウント(デフォルトアカウント)を使用した攻撃
→ デフォルトアカウントの削除
• 脆弱性をついた攻撃を受ける可能性の上昇
→ 必要最低限の機能付与

19. よくあるミス
① ID，パスワードを適当に入力
② IDとパスワードが間違っています
③ パスワードクラック試行
④ パスワードが間違っています
IDは合っているのか

20. A6. 脆弱で古くなったコンポーネント
• バージョン管理しきれていないことによる脅威
→ 適切なバージョン管理
• セキュリティパッチが適用されていないことによる脅威
→ パッチの適用
• 古いバージョンの使用による脅威
→ 最新のバージョンへの更新

21. A7. 識別と認証の失敗

22. 最悪なパスワードTop100(2021年より)
77.ranger
78.1991
79.trustno1
80.merlin
81.cookie
82.ashley
83.bandit
84.killer
85.aaaaaa
86.1q2w3e
87.zaq1zaq1
88.test
89.hockey
90.dallas
91.whatever
92.admin123
93.pussy
94.liverpool
95.querty
96.william
97.soccer
98.london
99.1992
100.biteme
69.nicole
70.hunter
71.1989
72.amanda
73.1990
74.jennifer
75.banana
76.chelsea
https://www.teamsid.com/100-worst-passwords/

23. 最悪なパスワードTop100(2021年より)
37.summer
38.george
39.harley
40.222222
41.jessica
42.ginger
43.letmein
44.abcdef
45.solo
46.jordan
47.55555
48.tigger
49.joshua
50.pepper
51.sophie
52.1234
53.rebert
54.matthew
55.12341234
56.Andrew
57.lakers
58.andrea
59.1qaz2wsx
60.starwars
61.ferrari
62.cheese
63.computer
64.corvette
65.mercedes
66.blahblah
67.maverick
68.hello
https://www.teamsid.com/100-worst-passwords/

24. 最悪なパスワードTop100(2021年より)
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10.iloveyou
11.princess
12.admin
13.welcome
14.666666
15.abc123
16.football
17.123123
18.monkey
19.654321
20.!@#$%^&*
21.charlie
22.aa123456
23.donald
24.password1
25.qwerty123
26.zxcvbnm
27.121212
28.bailey
29.freedom
30.shadow
31.passw0rd
32.baseball
33.buster
34.daniel
35.hannah
36.thomas
https://www.teamsid.com/100-worst-passwords/

25. 最悪なパスワードTop100(2021年より)
1.123456
2.password
https://www.teamsid.com/100-worst-passwords/
3.123456789
4.12345678

26. 辞書攻撃
辞書にある語を順に試す

27. SP800-63
• NIST(米国国立標準技術研究所)が発行
• SP800-63B(電子的認証に関するガイドライン)のパスワード認証に
注目がされた

28. SP800-63Bにおけるパスワード
• 複雑さ要件(大文字,記号などを複数使用させるなど)を課さない
• 辞書攻撃対策は必須
• パスワードが危篤化した場合以外は変更の必要なし

29. SP800-63Bにおけるパスワード
• 秘密の質問は実施すべきではない
• アカウントリカバリーでE-mailを要素に入れても良い
→ これはイレギュラー(攻撃者が知らない要素を入れるべき)
→ 理想的には要素に入れない方が良いが, 現実的に入れるしかない

30. A8. ソフトウェアとデータの整合性の不具合
• アップデート時に受け取るデータは本当に正しいところから
受信している？
→ デジタル署名を使用

31. A9. セキュリティログとモニタリングの失敗
• ログ不足によりインシデントレスポンスが困難になる
→ 十分な期間の十分な内容のログを残す
• ログ閲覧の権限に関する不適切な設定による情報漏洩
→ ログ閲覧に関する設定は必要最低限で適切な設定にする

32. A10. SSRF

33. XVWA(https://github.com/s4n7h0/xvwa)
Webアプリケーションにおけるセキュリティをハンズオンで
学べるOSS
• SQLインジェクション
• OSコマンドインジェクション
• XSS
• PHPオブジェクトインジェクション
• XPATHインジェクション
など