ABDEFGHIJKLMNOPQRSTUVWXY
1
項番分類日本語タイトル概要シートの最新更新日
2
1Builder向けのチートシートWebアプリの認証に関するチートシートWebアプリにおける認証機能の設計時に留意すべき事項(例:パスワードの複雑性、パスワードのセキュアな送信方法、多要素認証の適用など)について紹介している。2015/08/11
3
2ユーザがパスワードを忘れた場合の措置としての秘密の質問の実装に関するチートシート秘密の質問を用いてパスワードを忘れた場合の機能を実装するためのベストプラクティスについて紹介している。2015/07/18
4
3クリックジャッキング対策に関するチートシートクリックジャッキングの脆弱性への対策として、①X-Frame-Optionsヘッダーの利用②フレームブレーキングスクリプトの実装について紹介している。2015/02/11
5
4C、C++、Objective-C言語における開発環境に関するチートシートC、C++、Objective-C言語における開発環境において、信頼性の高い安全なコードを提供するために考慮しなければならないことを紹介している。より踏み込んだ内容については、C-Based Toolchain Hardening(https://www.owasp.org/index.php/C-Based_Toolchain_Hardening)を参照とのこと。2015/07/18
6
5CSRF対策に関するチートシートCSRFの脆弱性への対策として、トークンを利用する対策について紹介するとともに、リファラーヘッダまたはオリジンヘッダを確認するといった補足的な対策を紹介している。また、ウェブアプリ利用後にはログオフするなどユーザができる対策についても紹介している。2015/07/18
7
6保存データの暗号化に関するチートシートクレジットカード情報などの機密性の高いデータを保存する際に考慮すべきルールについて概念レベルで簡単に紹介している。2015/09/04
8
7DOMベースのXSS対策に関するチートシートXSSの脆弱性は①反射型②持続型③DOMベースの3パターンに大別されるが、本チートシートにおいては、XSS対策に関するチートシート(https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet)では言及されていない③DOMベースのXSSの脆弱性への対策手法について紹介している。2015/07/27
9
8ユーザーがパスワードを忘れた場合の措置に関するチートシートユーザーがパスワードをわすれた場合の措置として、Webアプリケーションにはパスワードリセットの機能を実装する必要がある。本チートシートでは、セキュアな方法でパスワードリセット機能を実装する方法について紹介している。2015/09/15
10
9HTML5におけるセキュリティ対策に関するチートシートHTML5で新たに追加された機能に対してセキュリティ面で注意しなければならないポイントや新たに追加されたセキュリティを高める機能などを紹介している。2015/09/09
11
10ホワイトリストによる入力値バリデーションチェックに関するチートシートWebアプリのセキュリティ機能として、入力値に対するバリデーションチェックがある。本チートシートでは、ホワイトリストによるバリデーションチェックを用いて郵便番号を検証する事例を紹介している。2015/07/18
12
11JAAS認証に関するチートシートJAAS(Java Authentication and Authorization Services)認証の概要とLoginModule及びCallbackHandlerについて紹介している。2015/07/18
13
12Webアプリにおけるログの取得などに関するチートシートWebアプリにおける特にセキュリティに関するアプリケーションログについて、具体的にどういったイベントのログを取得すべきか、取得すべき内容は何かなどを紹介している。合わせて、ログの取得に関して設計から運用時まで各工程において考慮すべき点について紹介している。2015/07/18
14
13.NETフレームワークにおけるセキュリティ対策に関するチートシート.NETフレームワークを用いて開発を行う際に考慮したいセキュリティの観点について紹介している。2015/03/29
15
14OWASP Top Ten 2013における10の脅威への対策及びテスト手法に関するチートシートOWASP Top Ten 2013における10の脅威への対策方法及び当該対策が適切に講じられているかを確認するためのテスト手法(詳細はリンク先のOWASP Testing guideを参照。)について紹介している。2015/08/24
16
15パスワードなどの保持に関するチートシートパスワード、秘密の質問やこれらに類する重要情報はSQLインジェクション攻撃やログ、ダンプ、バックアップデータの盗難などより、漏洩してしまう可能性がある。そこで、本チートシートでは、これら重要情報を適切に保持し、漏洩リスクを低減する方法について紹介している。2015/07/18
17
16公開鍵ピンニングに関するチートシート証明書や公開鍵のピンニングについて説明するとともに、Android、iOS、.Net、OpenSSLにおけるピンニングの実現手法についてサンプルコード(ダウンロード可能)を用いて紹介している。詳細はCertificate and Public Key Pinnningプロジェクトhttps://www.owasp.org/index.php/Certificate_and_Public_Key_Pinningを参照とのこと。2015/07/18
18
17クエリパラメータに関するチートシートSQLインジェクション対策としてのプリペアードステートメントを利用する手法及びストアドプロシージャにおけるバインド変数を利用する手法に関するコード例を言語ごとに紹介している。2014/11/21
19
18Ruby on Railsにおけるセキュリティ対策に関するチートシートRailsセキュリティガイドを補完しており、Ruby on Railsの開発者のためにコマンドインジェクション、SQLインジェクション、XSSなどの脆弱性に対する基本的なセキュリティ対策を紹介している。2015/03/09
20
19RESTfulなサービスの実現に関するチートシートRESTfulなサービスを実現する際に留意すべき作法(認証及びセッション管理、認可、入力値検証、エンコーディング、暗号化)について紹介している。2015/07/24
21
20セッション管理などに関するチートシートWebアプリに接続するユーザを識別するためのセッションを用いてユーザ認証、セッション管理、アクセス制御を行う際に、セキュリティを高める方法について紹介している。合わせて、セッションに対する攻撃を検知する方法やWAFを用いて攻撃を防ぐといった概念についても紹介している。2015/07/18
22
21SAMLを用いたSSOの実装に関するチートシートリダイレクト / POSTバインディングを利用したWebブラウザにおけるSAML / SSO(Security Assertion Markup Language / Single Sign On)プロファイルについて紹介している。2015/09/04
23
22SQLインジェクション対策に関するチートシートSQLインジェクションの対策手法として、プリペアドステートメントの利用、ストアドプロシジャの利用、入力値のエスケープについて具体的なコードを交えつつ紹介するとともに、保険的な対策である権限の最小化、ホワイトリストによる入力値の検証についても紹介している。2015/07/28
24
23トランザクション認証に関するチートシートワンタイムパスワードやスマートカードによるデジタル署名などを用いたトランザクション認証の適切な実装手法について紹介している。2015/07/18
25
24トランスポート層におけるセキュリティ対策に関するチートシートSSL/TLS技術の基礎を紹介している。合わせて、SSL/TLS技術を用いてサーバ設計、サーバ認証、プロトコル/暗号構成を適切に実装するためのルールを紹介している。2015/07/28
26
25リダイレクト及び転送機能の実装手法に関するチートシートJavaやPHPなどの各言語におけるリダイレクト及び転送機能の安全な実装手法について、危険な実装手法も交えつつ紹介している。2015/08/21
27
26プライバシー情報などに対する脅威の軽減手法に関するチートシートSNSやコミュニケーションプラットフォームが保持するプライバシー情報や匿名情報などの機微情報に対する脅威を軽減するためのデータの暗号化やhttpsを用いたセキュアな通信の確立、認証方式などの基本的な手法について紹介している。2015/07/18
28
27Webサービスにおけるセキュリティ対策に関するチートシートWebサービスを構築する上で考慮すべきポイント(TLSを使うなどの認証時の注意点、DDoSやブルートフォース攻撃を緩和するための施策、実施するべきバリデーション、ウィルス対策や可用性など)について紹介している。2015/08/04
29
28XSS対策に関するチートシート反射型及び持続型のXSSに対する根本的な対策7点と保険的な対策4点を紹介している。DOMベースのXSSは、DOMベースのXSS対策に関するチートシート(https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet)を参照とのこと。2015/09/23
30
29Breaker向けのチートシートWebアプリへの攻撃に対する表層分析に関するチートシート外部からのWebアプリへの攻撃に対して、シンプルな表層分析(サーフェイス分析)を行うことにより、リスクを評価したうえで、Webアプリのどの部分を見直すべきか、又は脆弱性診断を行うべきかを最小限の方法で判断する手法について紹介している。2015/07/18
31
30XSSの脆弱性を検知するのに有用な文字列に関するチートシートXSSの脆弱性を検知するのに有用な具体的な文字列について具体的に紹介している。2015/08/01
32
31WebサービスにおけるREST対応の評価に関するチートシートWebサービスにおいてREST(REpresentational State Transfer)対応ができているかを評価する観点について紹介している。2015/07/18
33
32Webサービスに対するセキュリティテストにおけるチェック観点に関するチートシートWebサービスに対するセキュリティテストにおけるチェック観点について概念レベルで紹介している。2015/08/24
34
33Defender向けのチートシート仮想パッチに関するチートシートソースコードを修正できない場合の副次的な対策としての仮想パッチ(WAF・IDSといったセキュリティ対策デバイス、Webサーバプラグイン、アプリケーションレイヤーフィルタ)の適応に関する継続的な運用方法について紹介している。2014/11/04
35
34モバイルに関するチートシートiOSアプリにおけるリスクとその対策に関するチートシートiOSアプリを開発する際に留意すべきOWASP Mobile Top 10 Risk 2012(最新版は2014)に対応するリスク及びその対策について紹介している。2015/07/18
36
35Jailbreakingなどに関するチートシートiOSにおけるJailbreaking、AndroidにおけるRoot化、WindowsOSにおけるunlockingに関する基礎的な事項及び各処理を実行するツールを紹介している。また、各処理を実行することによるリスクや、実行を検知する方法について技術的、非技術的な双方の側面から紹介している。2015/07/18
37
36ドラフト版のチートシート【ドラフト】アクセス制御に関するチートシートアクセス制御の基礎について説明するとともに、アクセス制御のアンチパターン及びベストプラクティス、各言語における具体的な実装手法について紹介している。2015/09/08
38
37【ドラフト】アプリケーションセキュリティ設計及びレビューに関するチートシートWebアプリのセキュリティアーキテクチャの初期設計やレビューにおける要求事項(ビジネス要求、インフラ要求、アプリ要求、セキュリティプログラム要求)に関する豆知識を紹介している。2015/09/12
39
38【ドラフト】ビジネスロジックの脆弱性対策に関するチートシート認証、認可、アクセス制御などの不備を突く攻撃ではなく、正常な手順を踏みつつも利益を得る(例えば注文処理実行直後に注文をキャンセルした場合に、システム上で注文は不成立となるもののなぜか商品は届いてしまうなど。)といったビジネスロジックに起因する脆弱性について紹介している。合わせて、それらの脆弱性を作り込まない方法や、脆弱性がないことを確認するテスト手法についても紹介している。2014/06/05
40
39【ドラフト】PHPにおけるセキュリティ対策に関するチートシートPHP開発者が考慮すべきセキュリティ向上のための秘訣としてSQLインジェクション、XSSなどの個々の脆弱性に対する対策、言語独自及びフレームワークにおける脆弱性に対する対策、認証・認可の実装やPHPの設定を行う上で留意する事項などについて紹介している。2015/06/19
41
40【ドラフト】セキュアコーディングに関するチートシート認証、セッション管理、アクセス制御など、セキュアなシステムを開発する際に留意すべき事項について紹介している。2015/06/22
42
41【ドラフト】セキュアSDLCの実現に関するチートシート組織におけるソフトウェア開発プロセスにセキュリティの観点を組み込み、OpenSAMM(http://www.opensamm.org/downloads/SAMM-1.0.pdf)における成熟度Level1を実現する方法について紹介している。2012/12/31
43
42【ドラフト】Webアプリに対する脅威モデルに関するチートシートWebアプリに対するセキュリティ上の脅威への対策方法(守るべきものの特定、攻撃者の定義、リスクの洗い出し・評価、リスクへの対応)について紹介している。2015/08/31
44
43【ドラフト】Webアプリに対してブラックボックステストを実施する際に確認すべき観点に関するチートシートWebアプリに対してブラックボックステストを実施する際に確認すべき観点についてチェックリスト形式で紹介している。2015/09/17
45
44【ドラフト】Grailsにおけるコードレビューに関するチートシートGroovy言語を使用するオープンソースのフレームワークであるGrailsにおけるコードレビューの際に確認すべき事項について紹介している。2013/01/02
46
45【ドラフト】iOSアプリに対してテストを実施する際に確認すべき観点に関するチートシートiOSアプリに対してテストを実施する際に確認すべき観点についてチェックリスト形式で紹介するとともに、テストに利用可能なツールについて紹介している。2015/08/24
47
46【ドラフト】暗号化に利用する鍵の管理に関するチートシート暗号化に利用する鍵を管理する際に考慮すべき事項について紹介するとともに、鍵管理におけるベストプラクティスについて紹介している。2015/07/21
48
47【ドラフト】オブジェクト直接参照の危険な実装の防止に関するチートシートオブジェクト直接参照の危険な実装の防止するための方法について紹介している。(※概要記載時点でほとんど中身が書いていないため、タイトルと同様の状態にしています。)2014/01/21
49
48【ドラフト】CSPに関するチートシートCSP(コンテントセキュリティポリシー)の概要を紹介し、CSPを用いてXSSなどの脆弱性による攻撃の被害を軽減する方法を紹介している。2015/06/09
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100