ロード・トゥ・ザ・ホワイトハッカー

ホワイトハッカーはじめました

OWASP

OWASP Online Academy

OWASP Online Academyとは OWASP Online Academyがあるらしい、ということを知り、早速検索してみた。OWASP上のナレッジがe-learning形式になっていることを期待してしまいます。 プロジェクトの一覧を見ると、「Projects Needing Website Update」として扱…

OWASP Cyber Defense Matrix

OWASP Cyber Defense Matrixの図 OWASPのDocumentation ProjectにCyber Defense Matrixというのがあり、以下の図を提唱している。 横軸の5つのカテゴリ「IDENTIFY,PROTECT,DETECT,RESPOND,RECOVER」はNISTのNIST Cybersecurity Frameworkに定義されている5…

OWASP Dependency-Check

ライブラリのスキャン Log4Shellの通称で有名になっている脆弱性。 Apacheプロジェクトの Log4jというオープンソースライブラリで、致命的な欠陥が見つかったと大騒ぎ。 脆弱性の深刻度を評価するCVSSのスコアでは、最大値となる10.0(緊急レベル)を記録。 …

OWASP ZAPのスキャンの詳細

スキャンの詳細について OWASP ZAPをセットアップして、スキャンの実行までは出来た。 chikuwamarux.hatenablog.com 実際、どんなスキャンが実施されているのか。 スキャンの結果から、以下のようなアラートが上がる。 アラートが上がれば、そのリクエストの…

OWASP ZAP

OWASP ZAPを使う Burp Suiteを使って、アプリケーションの脆弱性診断を、と思っていたのですが、 Scanに関しては、有料版でないとできない。 chikuwamarux.hatenablog.com Burp SuiteのUIは、日本語化出来るらしいのですが、OWASP ZAPはデフォルトで日本語表…

脅威モデリング

脅威モデリングについて OWASP SAMMの中で、脅威モデリング(Threat modeling)という言葉がある。 chikuwamarux.hatenablog.com ビジネス機能:Designセキュリティ対策:Threat Assessmentの中で、 StreamとしてThreat modelingが定義されている。 その内容…

OWASP ASVSとその周辺

OWASP ASVSとは? Application Security Verification Standard=ASVSで、OWASPのプロジェクトで、日本語の訳では「アプリケーションセキュリティ検証標準」が当てられている。 ASVS は現代の Web アプリケーションおよび Web サービスを設計、開発、テストす…

OWASP SAMM

20周年 OWASP(The Open Web Application Security Project)さんは、設立20周年らしく、CEHのテストを行うEc-councilも20周年らしく、またいろんなセールをやっている。 20年間Securityに取り組んできた成果は大きい。ただ、大きすぎて、飲み込めない感は否め…

OWASP(オワスプ)

改めてOWASPってなんだ? CEHのテキストにもしばしば登場してきたOWASP。特にWebアプリケーションの脆弱性Top10は、テキストでも詳細に説明されていて、CEHの問題集では、Top10に含まれないものはなんでしょう?なんて問題も出ていた。 OWASPはThe Open Web …