Download to read offline
Uploaded by株式会社ランチェスター
【らぼ★ろぐ】Web情報セキュリティ入門(OWASPのご紹介)
OWASPって、ご存じですか? エンジニアならおさえておきたい、セキュリティ対策入門編です 【らぼ★ろぐ】http://bit.ly/S0jjZN
【らぼ★ろぐ】Web情報セキュリティ入門(OWASPのご紹介)
- 1.
- 2.
- 3. 不正アクセス禁止法て何 平成11年8月 公布・施行 平成25年5月 最終改正 (目的) 第一条この法律は、不正アクセス行為を禁止するとともに、これについての罰則及びその再発防止のための都道府県公安委員会による 援助措置等を定めることによ り、電気通信回線を通じて行われる電子計算機に係る犯罪の防止及びアクセス制御機能により実現される電 気通信に関する秩序の維持を図り、もって高度情報通 信社会の健全な発展に寄与することを目的とする。 (定義) 第二条 この法律において「アクセス管理者」とは、電気通信回線に接続している電子計算機(以下「特定電子計算機」という。)の利用(当 該電気通信回線を通じて行うものに限る。以下「特定利用」という。)につき当該特定電子計算機の動作を管理する者をいう。 2 この法律において「識別符号」とは、特定電子計算機の特定利用をすることについて当該特定利用に係るアクセス管理者の許諾を得 た者(以下「利用権者」と いう。)及び当該アクセス管理者(以下この項において「利用権者等」という。)に、当該アクセス管理者において当 該利用権者等を他の利用権者等と区別して 識別することができるように付される符号であって、次のいずれかに該当するもの又は次のい ずれかに該当する符号とその他の符号を組み合わせたものをいう。 一 当該アクセス管理者によってその内容をみだりに第三者に知らせ てはならないものとされている符号 二 当該利用権者等の身体の全部若しくは一部の影像又は音声を用いて当該アクセス管理者が定める方法により作成される符号 三 当該利用権者等の署名を用いて当該アクセス管理者が定める方法により作成される符号 3 この法律において「アクセス制御機能」とは、特定電子計算機の特定利用を自動的に制御するために当該特定利用に係るアクセス管 理者によって当該特定電子 計算機又は当該特定電子計算機に電気通信回線を介して接続された他の特定電子計算機に付加されている 機能であって、当該特定利用をしようとする者により当 該機能を有する特定電子計算機に入力された符号が当該特定利用に係る識別符 号(識別符号を用いて当該アクセス管理者の定める方法により作成される符号と当 該識別符号の一部を組み合わせた符号を含む。次項 第一号及び第二号において同じ。)であることを確認して、当該特定利用の制限の全部又は一部を解除するも のをいう。 ZZZZZZZZZZZZZZZZZZZZ(-_-) IPASS窃盗は罪です。 不正に入手したそれを利用してシステム にアクセスすることも、それを受領し、保 管することも罪です。刑法の対象にもな ります。懲役または罰金もあるけど、企 業にとっては社会的信用損失がでかい。
- 4.
- 5. OWASP Top 102013 • A1 インジェクション • A2 認証とセッション管理の不備 • A3 クロスサイトスクリプティング(XSS) • A4 安全ではないオブジェクト直接参照 • A5 セキュリティ設定ミス • A6 機密データの露出 • A7 機能レベルアクセス制御の欠落 • A8 クロスサイトリクエストフォージェリ(CSRF) • A9 既知の脆弱性をもつコンポーネントを使用 • A10 未検証のリダイレクトとフォワード
- 6.
- 7.
- 8.