SlideShare a Scribd company logo

introduction to OWASP's documentation 20250607

OWASP Nagoya, profile picture
OWASP Nagoya

This is an introduction to OWASP's documentation.

Internet
1 of 29
Downloaded 11 times
1
2
3
4
5
6
7
8
9
Most read
10
Most read
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Most read
25
26
27
28
29
OWASP FOUNDATION ® OWASP NagoyaChapter Meeting 第39回 OWASPドキュメント紹介 2025.06.07(Sat) 丹羽 雪晴
OWASP FOUNDATION owasp.org 本日の内容 • 初学者向けにOWASPドキュメントを幅広く紹介 • 業務や趣味の活動でOWASPドキュメントを思い出し て、使ってもらいたい • ドキュメントの詳細までは紹介できないため、興味を 持って、学んでもらいたい
OWASP FOUNDATION owasp.org もくじ • OWASPドキュメントとは • OWASP Projectsカット • ソフトウェア開発プロセス(SDLC)カット • ちょっとのぞいてみよう • Top 10 Series • OWASP Cheat Sheet Series • Threat Dragon
OWASP FOUNDATION owasp.org OWASPドキュメントとは • プロジェクトは、全部で378(2025年6月1日現在) • 全てオープンソース で作られていますので、だれでも、自由に使う ことができます
OWASP FOUNDATION owasp.org OWASPドキュメントとは • どんな人にとって有用なのか? • セキュリティにかかるすべての人です。 • 様々な業種・役割の人にとって役立つドキュメントがあります。 • 開発者、ペンテスター、アーキテクト、PM、CISO、運用担当者、リスクマネジメント 等
OWASP FOUNDATION owasp.org OWASPドキュメントとは • ドキュメントの探し方は様々あります • OWASP projectsカット • ソフトウェア開発プロセス(SDLC)カット • ニュース、新しいものカット
OWASP FOUNDATION owasp.org OWASP Projectsカットで見てみよう https://owasp.org/projects/
OWASP FOUNDATION owasp.org OWASP Projectsカットで見てみよう • OWASP Projectsは3つに分類されます • Flagship Projects(15個) • Production Projects(9個) • Other Projects
OWASP FOUNDATION owasp.org Flagship Projects • 最も成熟しており、広く認識されているプロジェクト • OWASP Top 10 • Webアプリケーションセキュリティにおける最も重大なリスクのリスト • OWASP Application Security Verification Standard (ASVS) • Webアプリのセキュリティ要件と検証基準を定義したフレームワーク • OWASP Cheat Sheet Series • 特定のトピック(SQLi対策、XSS防御、認証 等)のベストプラクティス • OWASP Web Security Testing Guide (WSTG) など • 脆弱性をテストするための詳細な手順と手法をまとめた技術的なガイド
OWASP FOUNDATION owasp.org 各ドキュメントの関係性 Top 10 • 何が危険か • 羅針盤 • 意識向上 ASVS • どうすれば安全か • 要件定義 • 品質保証 Cheat Sheet Series • どう対策するのか • 対策方法 WSTG • どう検証するか • 検証方法
OWASP FOUNDATION owasp.org Production Projects • フラグシップの次に成熟、実運用に耐えうる成果物を提供 • 特定のセキュリティニーズに対応 しているものが多い • OWASP API Security Project など • APIは現在のスマホ、SaaS、Webアプリにとって不可欠なもので あり、安全なAPIを提供するためのプロジェクト • API Security Top 10 2023
OWASP FOUNDATION owasp.org Other projects • Lab Projects • レビューされてはいるが、まだ開発中のプロジェクト • OWASP WebGoat • OWASP Threat Dragon など • Projects Needing Website Update • Incubator projects • 新しいアイデアやコンセプトを検証中段階 • OWASP SBOM Forum • OWASP LLM Security Verification Standard など
OWASP FOUNDATION owasp.org SDLCカットで見てみよう ※ソフトウェア開発ライフサイクル
OWASP FOUNDATION owasp.org SDLCカットで見てみよみよう 評価
OWASP FOUNDATION owasp.org SDLCカットで見てみよみよう 運用 教育 検証 評価 実装 設計 要件 文化・成 熟 反復
OWASP FOUNDATION owasp.org OWASPドキュメントを、 ちょっとのぞいてみよう
OWASP FOUNDATION owasp.org OWASP Top 10:2021 • Webアプリにおけるリスクが高い もの ≠ 脆弱性 • A01 アクセス制御の不備 • A02 暗号化の失敗 • A03 インジェクション • A04 安全が確認されない不安な設計 • A05 セキュリティの設定ミス • A06 脆弱で古くなったコンポーネント • A07 識別と認証の失敗 • A08 ソフトウェアとデータの整合性の不具合 • A09 セキュリティログとモニタリングの失敗 • A10 サーバーサイドリクエストフォージェリ (SSRF)
OWASP FOUNDATION owasp.org OWASP Top 10勉強会@OWASAP Nagoya • OWASAP NagoyaではTop10をテーマにした勉強会 を開催 <過去の開催> • #35 2024/08/23(金) • A04:2021 – 安全が確認されない不安な設計 • A05:2021 – セキュリティの設定ミス • #29 2023/02/17(金) • A2:2021 – 暗号化の失敗 • A03:2021 – インジェクション • #25 2022/04/15(金) • A01:2021 – アクセス制御の不備
OWASP FOUNDATION owasp.org OWASP Top 10推移 https://www.secure-iv.co.jp/blog/5195
OWASP FOUNDATION owasp.org OWASP Top 10推移 https://diggle.engineer/entry/owasp_top_ten_2003_2021 Top 10 2025 2024年9月現在のプ ロジェクト状況 • OWASP Top 10:2025のリリース は2025年前半に 発表予定 • データ収集 (現在 - 2024 年 12 月)
OWASP FOUNDATION owasp.org 様々なTop 10 • OWASP Machine Learning Security Top Ten • OWASP OT Top Ten • OWASP Top Ten • OWASP Cloud-Native Application Security Top 10 • OWASP Data Security Top 10 • OWASP Desktop App Security Top 10 • OWASP DevSecOps Top 10 • OWASP Docker Top 10 • OWASP internet of things top 10 • OWASP Mobile Top 10 • OWASP Non-Human Identities Top 10 • OWASP Top 10 Risks for Open Source Software • OWASP Serverless Top 10 • OWASP Smart Contract Top 10 • OWASP Top 10 CI/CD Security Risks • OWASP Top 10 Client-Side Security Risks • OWASP Top 10 Drone Security Risks • OWASP Top 10 for Large Language Model Applications • OWASP Top 10 for Maritime Security • OWASP Top 10 in XR • OWASP Low-Code/No-Code Top 10 • OWASP Top 10 Privacy Risks
OWASP FOUNDATION owasp.org ちょっとのぞいてみよう: Cheat Sheet Series
OWASP FOUNDATION owasp.org 様々なCheat Sheet Series • API Security Cheat Sheet • Authentication Cheat Sheet • Authorization Cheat Sheet • Error Handling Cheat Sheet • JWT Security Cheat Sheet • REST Security Cheat Sheet • Cross-Site Request Forgery (CSRF) Prevention Cheat Sheet • DOM based XSS Prevention Cheat Sheet • SQL Injection Prevention Cheat Sheet • URL Encoding Cheat Sheet • Vulnerability Disclosure Cheat Sheet • XSS Prevention Cheat Sheet
OWASP FOUNDATION owasp.org Treat Dragon • 脅威モデリング • 脅威モデリングとは、潜在的な脅威を識別し、軽減策を講じるため に、システムの資産、脅威、脆弱性、対策状況を可視化して分析す るプロセス(≒リスクアセスメント) • Treat Dragonは脅威モデリングを行うための補助ツール
OWASP FOUNDATION owasp.org Treat Dragon:Data Flow Diagram
OWASP FOUNDATION owasp.org Treat Dragon:脅威の評価
OWASP FOUNDATION owasp.org Treat Dragon:サマリ
OWASP FOUNDATION owasp.org まとめ • 多種多様なドキュメントがOWASPにはある • 業務や趣味の活動で使っていただければ幸いです
THANK YOU Facebook https://www.facebook.com/owaspnagoya E-MAIL owasp758@gmail.com Web https://owasp.org/www-chapter-nagoya/ FOR YOUR ATTENTION X https://twitter.com/owaspnagoya

More Related Content

PPTX
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
 
PDF
OWASP Projects
Takanori Nakanowatari
 
PDF
Privacy by Design with OWASP
Riotaro OKADA
 
PPTX
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
PDF
OWASP ASVS5.0 overview 20240607_owaspnagoya
OWASP Nagoya
 
PPTX
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
 
PDF
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
 
OWASPのドキュメントやツールを知ろう
Yuichi Hattori
 
OWASP Projects
Takanori Nakanowatari
 
Privacy by Design with OWASP
Riotaro OKADA
 
20180601 OWASP Top 10 2017の読み方
OWASP Nagoya
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
Riotaro OKADA
 
OWASP ASVS5.0 overview 20240607_owaspnagoya
OWASP Nagoya
 
オワスプナイト20150115 dependency check
Hiroaki Kuramochi
 
IoT Security を実現する3つの視点とShift Left
Riotaro OKADA
 

Similar to introduction to OWASP's documentation 20250607 (20)

PPTX
Owasp top10 HandsOn
masafumi masutani
 
PDF
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
 
PDF
OpenStack Now!
Hideki Saito
 
PDF
PaaS / Cloud Foundry makes you happy
Katsunori Kawaguchi
 
PDF
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
PDF
OSC2013.Cloud@Osaka
Hideki Saito
 
PDF
Overview of Scala ~ Hacker Tackle
Daisuke Kasuya
 
PDF
Invitation to the Open Cloud Campus #osckansai 2011
Masahito Zembutsu
 
PDF
Scalaと過ごした5ヶ月間
Haruki Okada
 
PPTX
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
VirtualTech Japan Inc.
 
PDF
OWASP Top 10 - 2021 Overview
OWASP Nagoya
 
PDF
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
 
PDF
20161111 java one2016-feedback
Takashi Ito
 
PDF
Security issue201312
Riotaro OKADA
 
PDF
Seasar ユーザだったプログラマが目指す OSS の世界展開 #seasarcon
Kazuhiro Sera
 
PDF
JavaとOSSとAndroid - JavaAPI訴訟問題を考える
Yusuke Suzuki
 
PDF
Agile japan2016 a 2 ricksoft
Hiroshi Ohnuki
 
PDF
SwiftとCocoaPodsで始めるサクサクiOS開発!
Koji Shiraishi
 
PPTX
【テックリンク】平日の夜1時間で学ぶ!RubyonRails初心者ハンズオン
linkbal
 
PDF
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
 
Owasp top10 HandsOn
masafumi masutani
 
OSC2013 Tokyo Spring OpenStack Overview
irix_jp
 
OpenStack Now!
Hideki Saito
 
PaaS / Cloud Foundry makes you happy
Katsunori Kawaguchi
 
Owasp evening : Privacy x Design with OWASP
Riotaro OKADA
 
OSC2013.Cloud@Osaka
Hideki Saito
 
Overview of Scala ~ Hacker Tackle
Daisuke Kasuya
 
Invitation to the Open Cloud Campus #osckansai 2011
Masahito Zembutsu
 
Scalaと過ごした5ヶ月間
Haruki Okada
 
OpenStack Summit Austin 2016 参加報告 - OpenStack最新情報セミナー 2016年5月
VirtualTech Japan Inc.
 
OWASP Top 10 - 2021 Overview
OWASP Nagoya
 
20150312 html5とか勉強会-lt-開発者に知ってほしいi pv6のこと
v6app
 
20161111 java one2016-feedback
Takashi Ito
 
Security issue201312
Riotaro OKADA
 
Seasar ユーザだったプログラマが目指す OSS の世界展開 #seasarcon
Kazuhiro Sera
 
JavaとOSSとAndroid - JavaAPI訴訟問題を考える
Yusuke Suzuki
 
Agile japan2016 a 2 ricksoft
Hiroshi Ohnuki
 
SwiftとCocoaPodsで始めるサクサクiOS開発!
Koji Shiraishi
 
【テックリンク】平日の夜1時間で学ぶ!RubyonRails初心者ハンズオン
linkbal
 
診断ツールの使い方(Owasp zapの場合)
shingo inafuku
 
Ad

More from OWASP Nagoya (18)

PDF
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
 
PDF
(A7)cross site scripting
OWASP Nagoya
 
PDF
#24 prepare for_hands-on
OWASP Nagoya
 
PDF
(A2)broken authentication
OWASP Nagoya
 
PDF
Developer tools
OWASP Nagoya
 
PDF
#23 prepare for_hands-on
OWASP Nagoya
 
PDF
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
 
PDF
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya
 
PDF
Owasp top10 2017 a4 xxe
OWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya
 
PDF
20190208 脆弱性と共生するには
OWASP Nagoya
 
PPTX
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
 
PDF
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya
 
PDF
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya
 
PDF
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya
 
PDF
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya
 
OWASP TOP10 A01:2021 – アクセス制御の不備
OWASP Nagoya
 
(A7)cross site scripting
OWASP Nagoya
 
#24 prepare for_hands-on
OWASP Nagoya
 
(A2)broken authentication
OWASP Nagoya
 
Developer tools
OWASP Nagoya
 
#23 prepare for_hands-on
OWASP Nagoya
 
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
OWASP Nagoya
 
Rethinking car security based on autonomous driving and advanced driving support
OWASP Nagoya
 
Owasp top10 2017 a4 xxe
OWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_3
OWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_2
OWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_1
OWASP Nagoya
 
20190208 脆弱性と共生するには
OWASP Nagoya
 
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
OWASP Nagoya
 
WPSCanによるWordPressの脆弱性スキャン
OWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
OWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
OWASP Nagoya
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
OWASP Nagoya
 
Ad

introduction to OWASP's documentation 20250607