Hello there, ('ω')ノ WebアプリケーションのOWASP TOP10 2021は、下記のとおりで。 https://www.infosectrain.com/blog/owasp-top-10-vulnerabilities-2021-revealed/ 概要については、下記のとおりで。 https://owasp.org/Top10/ja/ アクセス制御の不備に…

Hello there, ('ω')ノ OWASP BWAの中には設定が必要なものがあるようで。 OWASP 1-Linerには、以下のようなことが書かれていて。 hackxorにも同じようなことが書かれていて。 結局のところ、hostsにローカルホストのIPアドレスの追加が必要とのことで。 メモ…

Hello there, ここ数日の作業で、理解を深めたこともあって。 あらためてOWASP TOP10と脆弱性診断ガイドラインの紐づけをブラッシュアップ。 今回は、『脆弱性診断スタートガイド』に載っているCWEを追加してみて。 この本に書かれているCWEは、OWASP TOP10…

Hello there, ようやく、一通りOWASP TOP10の内容をCWEでイメージできて。 あとでイメージが思い出せるようにCWEの内容の一部を追加して。 地味な作業すぎて、脳みそが破裂しそうで。 脆弱性ガイドラインのリモートファイルインクルージョンの内容から。 ど…

Hello there, OWASP TOP10のA2に着手してみて。 かなり間違いに気づいてしまって。 さっそく、脆弱性ガイドラインとの紐づけを訂正。 昨日は、いろんなところと紐づけていましたが。 リモートインクルージョンは、新たにOWASP TOP10 2007に紐づけることに。 …

Hello there, OWASP TOP10のA3について、もう少しイメージができるように。 CWEから一部を抜粋していくと。 昨日の紐づけは間違っていたことに気づいて。 正しくは、脆弱性診断ガイドラインの『情報漏洩』に紐づきそうで。 この作業方法は、まだ十分に理解し…

Hello there, OWASP TOP10のA4とA5についても再確認。 CWEの内容をGoogle翻訳して抜粋して作成してみて。 再度、脆弱性診断ガイドラインとの紐づけを確認して。 おそらく間違いはなく。 少しずつ、頭の中がスッキリしてきた。 Best regards,

hello there, 突貫工事でOWASP TOP10と脆弱性診断ガイドラインを紐づけたものの。 性格上、適当で済ますことはできず。 CWEからより丁寧にOWASP TOP10の内容を理解しようとおもって。 また、自信をもって発言したい思いもあり。 さっそく検索してみると。 ht…

Hello there, いろんなタイプの脆弱性をテストしていると。 おそらく、多くの方が思うであろうことを。 まずは、OWASP TOP10の紐づけを。 これは、結構簡単にいけて。 IPAのウェブ健康診断とOWAP TOP10との紐づけが少々時間がかかってしまって。 まだまだ、…

Hey Guys! OWASP TOP 10は、３年周期で発表されるWebアプリケーションのセキュリティ脅威動向のこと。 2013年からマージされたものもあればランク外へ出たものもあり。 ランク外へ出たからといってなくなったわけでもなく。 また、ランクが低いから手を抜い…