OWASP Top 10の日本語訳、公開

OWASP Top 10の日本語訳、公開 20

ストーリー by Acanthopanax 2004年07月10日 6時44分
熟読部門より

hisai 曰く、 "米国の非営利団体であるOWASP (Open Web Application Security Project)発行の「The Ten Most Critical Web Application Security Vulnerabilities」日本語訳を本家にて公開しました。フランス語と韓国語も同時公開です(ファイルリスト)。
このドキュメントは、Webアプリケーションでよく起こる10種類の脆弱性を解説しています。Webアプリケーション開発者の皆さんはもとより、Webアプリケーションをアウトソーシングされる方にも役に立つと思います。" (つづく…)

"【注記】このドキュメントでは、クラックする人を「ハッカー」という言葉で表現しています。日本のマスコミもそうですが、米国の辞書(Merriam-Webster, American Heritage, Cambridge Dictionary of American English)もクラックする人→ハッカーという意味を載せています(もちろん良い意味でのハッカーも載せています)。悩みました。で、原文通り「ハッカー」という言葉を使用しました。"

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索20コメント Log In/Create an Account

Webアプリケーション脆弱性の解説 (スコア:3, 参考になる)

by lux (7575) on 2004年07月10日 8時30分 (#586436) 日記

@itの記事 [atmarkit.co.jp]も、Webアプリケーションで起こりやすい脆弱性の具体例がコードとともに掲載されており、読みやすいですよ。

# 翻訳お疲れ様でした

--
by lux
- 他には、IPA ISEC セキュア・プログラミング講座とか (スコア:2, 参考になる)
  
  by Anonymous Coward on 2004年07月10日 11時27分 (#586524)
  
  IPA ISEC　セキュア・プログラミング講座 [ipa.go.jp]
  
  # 丁度作っていて、しかも仕事中なのでACで勘弁してください；；
  
  シェア
  
  親コメント
  - Re:他には、IPA ISEC セキュア・プログラミング講座と (スコア:1)
    
    by hisai (470) on 2004年07月10日 12時24分 (#586557) 日記
    
    訳者です。IPA ISECには「公開しました」と連絡してあります。担当の方と面識ありますので。余談ですけど。
    
    シェア
    
    親コメント
    - ｈ ??? (スコア:1)
      
      by u1p (2709) on 2004年07月12日 19時14分 (#587799) 日記
      
      p.18 の A8.2 の最後にある h の意味が判りません。
      原文には無い様ですし。
      
      # 最初、Wordの方を落として印刷したので、自分で書き加えちゃったのかと…。
      # PDFにもあって、安心しましたが。
      
      シェア
      
      親コメント
      - Re:ｈ ??? (スコア:1)
        
        by hisai (470) on 2004年07月12日 19時41分 (#587812) 日記
        
        ご指摘ありがとうございます。私のミスです。
        早速直してWebを更新...と行きたいのですが、
        本家プロジェクト担当が繁忙でなかなかサイト
        を更新できない、かつ他にも間違いある(苦笑)ので、
        もう少し様子見たいです。
        本家への更新作業はもう少し待ってください。
        
        シェア
        
        親コメント
- Re:Webアプリケーション脆弱性の解説 (スコア:2, 参考になる)
  
  by nyagy (17036) on 2004年07月10日 17時14分 (#586712)
  
  高木浩光さんの安全なWebアプリ開発 31箇条の鉄則 [java-house.jp]も参考になります。
  
  シェア
  
  親コメント
いやあ本当に... (スコア:2, 興味深い)

by Anonymous Coward on 2004年07月10日 7時44分 (#586427)

Webシステムは危ないですね。まともなサイトの方が少ないくらいですから。できるだけ値切ろうとする発注者にも問題がありますね。機能で削って見た目上分からないはセキュリティー関連の部分ですから。
まともなサイトが少ないのは作る側、作ってもらっている側の両方にあります。
Webサイト開発関係者なのでAC

# ハッカー == コンピュータギークですが
# クラッカーには大した知識が必要なかったりします。
# 世の中はハッカー ~= クラッカーなのでしかた無いかな。
- hack(おふとぴ) (スコア:0)
  
  by Anonymous Coward
  
  人に説明するときは、「白ハッカー」「黒ハッカー」のような言い方をすることが多いです。山形浩生いわくの「ハッカーそのものには善悪はない」意見 [cruel.org]に基づいてます。ケビン・ミトニックは、黒ハッカーの代表格と思ってます。腕は確かなので。
  一方、いわゆる Script kiddy は、単なる「ガキ」で片づけてます。せっかく立てたサーバを、セキュリティアップデートかます前にガキのIRC庭にされたこともあったっけなぁ(遠い目)。
  そういう意味では、hack, hacker には善悪の概念がないとも言えるけど、いわゆる「ハッキング」は、もはやクラッキング
  - Re:hack(おふとぴ) (スコア:1)
    
    by tyuu (9154) on 2004年07月11日 9時16分 (#586984) ホームページ日記
    
    ケビン・ミトニックて誰？
    
    という人の為に欺術 [amazon.co.jp]。
    プログラムを組まない人も一度は、読むべき本。
    
    彼が得意なのは、ソーシャルエンジニアリングで、
    これって hack/crack って言うのでしょうか？
    
    消化器を売りつける「消防署の方から来ました」と同類だと思いますが。
    
    ただ、技術的に防衛手段がないあたり、
    hack/crack より高度な事なのかも。
    
    シェア
    
     親コメント
  - Re:hack(おふとぴ) (スコア:1)
    
    by mocchino (13752) on 2004年07月11日 18時15分 (#587192)
    
    >私自身、ガキの頃は、ゲームのプロテクト破ったりパッチ当てたりして育ってきて、それはそれで現職の礎になってたりするわけです。今の子供たちは、いたずらしようとしても、それが広範な影響を及ぼしたり、挙げ句の果てには重罪になったりするので
    
    ローカルな環境で自分のマシンにアタックするのであれば、だーれも文句言ったりすることは無いと思います。
    まぁ最低でもマシンｘ２台必要ですが、今の価格ならあのころに比べてやりやすくはなったのではないかな？
    親を説得するのは難しそうですが(苦笑)
    
    シェア
    
    親コメント
XSS脆弱性防衛策 (スコア:2, 参考になる)

by stwo (9482) on 2004年07月11日 15時39分 (#587137)

このOWASPの文書、労作ですね。ご苦労様です。
XSS脆弱性防衛策の部分に関して、ちょこっとツッコミ。

エスケープ方法なのですが、この文書では以下を推奨しています。全角で書き替えて引用します。

これから　これへ
＜　　　＆ｌｔ；
＞　　　＆ｇｔ；
（　　　＆＃４０；
）　　　＆＃４１；
＃　　　＆＃３５；
＆　　　＆＃３８；

上で引用した内容でエスケープして安心していたらXSS脆弱性があった、、なんてことがないように気をつけましょう。

”　や　’　も数値文字参照や文字実体参照するようにしましょう。

（皆さん知っていると思いますが念の為）

--
| 慈愛こそ慈愛
- Re:XSS脆弱性防衛策 (スコア:0)
  
  by Anonymous Coward
  
  「(」と「)」はどうしてエスケープする必要があるんでしょうか? ね?
  - Re:XSS脆弱性防衛策 (スコア:1)
    
    by stwo (9482) on 2004年07月13日 0時04分 (#587940)
    
    Anonymous Coward ＞「(」と「)」はどうしてエスケープする必要があるんでしょうか? ね?
    
    必要はありませんが、script kiddyに対する抑止になっているかもしれません。主要な論点としては、XSS攻撃が成立するまでの手段と、成立してからの攻撃続行手段との２段階についてそれぞれ別途考察すると良いかも知れないと云う点でしょうか。
    
    javascriptの起動までは出来たとして、「(」と「)」を使えないとcookieを盗めないようでは門前払いということで。（妄想）
    
    まぁ、XSS攻撃が真に成功する為には事前に完璧な手段で情報収集のための生贄サーバが必要なわけですから、script kiddyには難しいかと。その意味で、わざわざ「(」と「)」をエスケイプする必要はありません、、デスね？踏み台作れるkiddyならば、「(」と「)」は軽～くイテコマスはずです。
    
    |私はチキンなので厨房以前です。
    
    --
    | 慈愛こそ慈愛
    
    シェア
    
    親コメント
「スラッシュドット効果」 (スコア:1)

by u1p (2709) on 2004年07月12日 17時15分 (#587749) 日記

もありますし。

としっかり書かれてますね。
これがなかったらタレこまれ無かった、とか？
- Re:「スラッシュドット効果」 (スコア:1)
  
  by hisai (470) on 2004年07月21日 20時45分 (#593606) 日記
  
  download数が2600を超えました。/.jのおかげだと思います。感謝感謝！
  
  シェア
  
  親コメント
それより (スコア:0)

by Anonymous Coward on 2004年07月10日 17時06分 (#586709)

何故WORD？
- Re:それより (スコア:1)
  
  by hisai (470) on 2004年07月10日 19時39分 (#586755) 日記
  
  原文がWORDでした。最初はDocbookだと思っていたのですが...
  
  シェア
  
  親コメント
- Re:それより (スコア:0)
  
  by Anonymous Coward
  
  脆弱性のテスト用です
OWASP... (スコア:0)

by Anonymous Coward on 2004年07月10日 20時46分 (#586778)

そうか、ついに大統領への道もWASPを離れてOpenWASPに向かったか・・・
- Re:OWASP... (スコア:1)
  
  by YO1201 (17300) on 2004年07月12日 10時34分 (#587534)
  
  White Anglo-Saxon Protestantの略の方かｗ
  
  シェア
  
  親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

OWASP Top 10の日本語訳、公開 20

OWASP Top 10の日本語訳、公開 More ログイン

Webアプリケーション脆弱性の解説 (スコア:3, 参考になる)

他には、IPA ISEC セキュア・プログラミング講座とか (スコア:2, 参考になる)

Re:他には、IPA ISEC セキュア・プログラミング講座と (スコア:1)

ｈ ??? (スコア:1)

Re:ｈ ??? (スコア:1)

Re:Webアプリケーション脆弱性の解説 (スコア:2, 参考になる)

いやあ本当に... (スコア:2, 興味深い)

hack(おふとぴ) (スコア:0)

Re:hack(おふとぴ) (スコア:1)

Re:hack(おふとぴ) (スコア:1)

XSS脆弱性防衛策 (スコア:2, 参考になる)

Re:XSS脆弱性防衛策 (スコア:0)

Re:XSS脆弱性防衛策 (スコア:1)

「スラッシュドット効果」 (スコア:1)

Re:「スラッシュドット効果」 (スコア:1)

それより (スコア:0)

Re:それより (スコア:1)

Re:それより (スコア:0)

OWASP... (スコア:0)

Re:OWASP... (スコア:1)

スラド