改めてOWASPってなんだ？

CEHのテキストにもしばしば登場してきたOWASP。特にWebアプリケーションの脆弱性Top10は、テキストでも詳細に説明されていて、CEHの問題集では、Top10に含まれないものはなんでしょう？なんて問題も出ていた。

OWASPはThe Open Web Application Security Project の略で、非営利団体。設立は2021年12月で、最近は20周年イベントなどもやっていた。

プロジェクト単位で様々な活動がされている。プロジェクトの総数が見えないのですが、相当数あって、以下が有名どころでしょうか。

• OWASP ZAP（Zed Attack Proxy）
• OWASP Juice Shop
• OWASP BWA (The Broken Web Applications)
• OWASP Top10-Web Application Security Risks
• OWASP ASVS(Application Security Verification Standard/ASVS:アプリケーションセキュリティ検証標準)

OWASP ZAP（Zed Attack Proxy）

Burp Suiteと並び称される、ローカルプロキシーツールで、Webアプリケーションの診断などができます。しかも無料で使えます。

www.zaproxy.org

OWASP Juice Shop & OWASP BWA (The Broken Web Applications)

俗にいう、やられサイトで、あえて脆弱性のあるWebアプリケーションを公開して、それを見つける手法の訓練などに使用できます。

owasp.org

OWASP Top10

OWASP Top10と言えば、Web Application Security Risksを指すようです。CEH v11のテキストには、OWASP Top10 2017が掲載されていました。やけに古いなぁ、と思ったのですが、公開周期が3-4年らしく、先月、OWASP Top10 2021が公開されました。

owasp.org

OWASPは世界に支部があるらしく、当然、日本にもあり、翻訳をしてくれているようです。

Home - OWASP Top 10:2021

2021年のTop３は以下の通り。

1. A01:2021-アクセス制御の不備
2. A02:2021-暗号化の失敗
3. A03:2021-インジェクション

Top10の選び方は、

10項目のうち8項目は提供されたデータから、2項目は業界調査から高いレベルで選びました。

とあり、データに裏打ちされたもののようです。

プロジェクトの一覧は、以下から確認できます。

owasp.org

個別に、DockerやAPIなどのTop10プロジェクトがあり、情報提供されています。

OWASP ASVS

アプリケーションセキュリティ検証標準が定義されている。

日本語訳もされている。

github.com

ただ、こちらの検証基準は、以下のWebセキュリティテストガイドと併用を想定されています。

OWASP Web Security Testing Guide（WSTG）

owasp.org

最新版の邦訳が見つからない。。。

セキュリティの維持は、OWASPのような非営利団体のボランティアによっても支えられているのですね。もう少し詳細を見てみよう。

つ・づ・く