【2016年版】OWASP Cheat Sheet Seriesの概要〜日本語版〜
 Share
The version of the browser you are using is no longer supported. Please upgrade to a supported browser.Dismiss

 
View only
 
 
ABCDEFGHIJKLMNOPQRSTUVWXYZ
1
項番分類英語タイトル日本語タイトルJPCERTリンク概要概要を記載した参照元チートシートの更新日2015年版からの更新内容
2
1Developer / Builder向けのチートシート3rd Party Javascript Management Cheat SheetサードパーティーJavascriptの利用におけるセキュリティ対策に関するチートシートサードパーティーJavascriptを読み込む際の主要なリスクを3点挙げている。また、サードパーティーJavascriptをデプロイする際のアーキテクチャ及びセキュリティ対策として考慮すべき事項について紹介している。2016/08/30新規追加
3
2Access Control Cheat Sheetアクセス制御に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/AccessControl.htmlWebアプリケーションのアクセス制御について、種類ごとにベストプラクティス、注意点、各言語における具体的な実装手法等を紹介している。2016/5/6分類変更(ドラフト⇒デベロッパー/ビルダー)
4
3AJAX Security Cheat SheetAJAXの実装に関するチートシートAJAXを扱う際にクライアントサイド及びサーバサイドにおいて考慮すべき事項について紹介している。2016/02/21新規追加
5
4Authentication Cheat SheetWebアプリの認証に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/Authentication.htmlWebアプリにおける認証機能の設計時に留意すべき事項(例:パスワードの複雑性、パスワードのセキュアな送信方法、多要素認証の適用など)について紹介している。2015/08/11
6
5Bean Validation Introductionビーンバリデーションに関するチートシートJavaのバリデーションチェック手法の中から、ドメインモデルを採用していることから、重複作業を減らし、一貫性を保証できるビーンバリデーションについて紹介している。2016/07/11新規追加
7
6Choosing and Using Security Questions Cheat Sheetユーザがパスワードを忘れた場合の措置としての秘密の質問の実装に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/ChoosingAndUsingSecurityQuestions.htmlパスワードを忘れた際に利用する「秘密の質問」をWebアプリケーションに実装する際のベストプラクティスについて紹介している。2015/07/18
8
7Clickjacking Defense Cheat Sheetクリックジャッキング対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/ClickjackingDefense.htmlクリックジャッキングの脆弱性への対策として、①X-Frame-Optionsヘッダーの利用②フレームブレーキングスクリプトの実装について紹介している。2015/02/11
9
8C-Based Toolchain Hardening Cheat SheetC、C++、Objective-C言語における開発環境に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/C-BasedToolchainHardening.htmlC、C++、Objective-C言語における開発環境において、信頼性の高い安全なコードを提供するために考慮しなければならないことを紹介している。より踏み込んだ内容については、C-Based Toolchain Hardening(https://www.owasp.org/index.php/C-Based_Toolchain_Hardening)を参照とのこと。2015/07/18
10
9Cross-Site Request Forgery (CSRF) Prevention Cheat SheetCSRF対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/Cross-SiteRequestForgeryPrevention.htmlCSRFの脆弱性への対策として、トークンを利用する対策について紹介するとともに、リファラーヘッダまたはオリジンヘッダを確認するといった補足的な対策を紹介している。また、ウェブアプリ利用後にはログオフするなどユーザができる対策についても紹介している。2015/07/18
11
10Cryptographic Storage Cheat Sheet保存データの暗号化に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/CryptographicStorage.htmlクレジットカード情報などの機密性の高いデータを保存する際に考慮すべきルールについて概念レベルで簡単に紹介している。2015/09/04
12
11Deserialization Cheat Sheetデシリアライゼーションに関するチートシートデシリアライズする際にDoS攻撃や悪意のある攻撃コードが実行されることを防ぐ方法について、特にJavaに焦点を当てて紹介している。2016/06/29新規追加
13
12DOM based XSS Prevention Cheat SheetDOMベースのXSS対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/DOMbasedXSSPrevention.htmlXSSの脆弱性は①反射型②持続型③DOMベースの3パターンに大別されるが、本チートシートにおいては、XSS対策に関するチートシート(https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet)では言及されていない③DOMベースのXSSの脆弱性への対策手法について紹介している。2015/07/27
14
13Forgot Password Cheat Sheetユーザーがパスワードを忘れた場合の措置に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/ForgotPassword.htmlユーザーがパスワードをわすれた場合の措置として、Webアプリケーションにはパスワードリセットの機能を実装する必要がある。本チートシートでは、セキュアな方法でパスワードリセット機能を実装する方法について紹介している。2015/09/15
15
14HTML5 Security Cheat SheetHTML5におけるセキュリティ対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/HTML5Security.htmlHTML5で新たに追加された機能に対してセキュリティ面で注意しなければならないポイントや新たに追加されたセキュリティを高める機能などを紹介している。2015/09/09
16
15HTTP Strict Transport Security Cheat SheetHTTP Strict Transport Security(HSTS)に関するチートシートHTTP Strict Transport Security(HSTS)について説明するとともに、HSTSによって防げる脅威やブラウザの対応状況等について紹介している。2016/08/10新規追加
17
16Input Validation Cheat Sheetホワイトリストによる入力値バリデーションチェックに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/InputValidation.htmlWebアプリのセキュリティ機能として、入力値に対するバリデーションチェックがある。本チートシートでは、ホワイトリストによるバリデーションチェックを用いて郵便番号を検証する事例を紹介している。2015/07/18
18
17JAAS Cheat SheetJAAS認証に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/JAAS.htmlJAAS(Java Authentication and Authorization Services)認証の概要とLoginModule及びCallbackHandlerについて紹介している。2015/07/18
19
18LDAP Injection Prevention Cheat SheetLDAPインジェクション対策に関するチートシートLDAPインジェクションの概要とエンコード関数やホワイトリストによるバリデーションチェック等による対策方法について紹介している。2015/10/29新規追加
20
19Logging Cheat SheetWebアプリにおけるログの取得などに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/Logging.htmlWebアプリにおける特にセキュリティに関するアプリケーションログについて、具体的にどういったイベントのログを取得すべきか、取得すべき内容は何かなどを紹介している。合わせて、ログの取得に関して設計から運用時まで各工程において考慮すべき点について紹介している。2015/07/18
21
20Mass Assignment Cheat SheetMass Assignment脆弱性対策に関するチートシートMass Assignmentの脆弱性が発生してしまう原因について例を用いて説明することに加え、Data Transfer Objects(DTOs)による対策、各言語におけるホワイトリスト及びブラックリストによる対策方法について紹介している。2016/03/10新規追加
22
21.NET Security Cheat Sheet.NETフレームワークにおけるセキュリティ対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/DotNETSecurity.html.NETフレームワークを用いて開発を行う際に考慮したいセキュリティの観点について紹介している。2015/03/29
23
22OWASP Top Ten Cheat SheetOWASP Top Ten 2013における10の脅威への対策及びテスト手法に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/OWASPTopTen.htmlOWASP Top Ten 2013における10の脅威への対策方法及び当該対策が適切に講じられているかを確認するためのテスト手法(詳細はリンク先のOWASP Testing guideを参照。)について紹介している。2015/08/24
24
23Password Storage Cheat Sheetパスワードなどの保持に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/PasswordStorage.htmlパスワード、秘密の質問やこれらに類する重要情報はSQLインジェクション攻撃やログ、ダンプ、バックアップデータの盗難などより、漏洩してしまう可能性がある。そこで、本チートシートでは、これら重要情報を適切に保持し、漏洩リスクを低減する方法について紹介している。2015/07/18
25
24Pinning Cheat Sheet公開鍵ピンニングに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/Pinning.html証明書や公開鍵のピンニングについて説明するとともに、Android、iOS、.Net、OpenSSLにおけるピンニングの実現手法についてサンプルコード(ダウンロード可能)を用いて紹介している。詳細はCertificate and Public Key Pinnningプロジェクトhttps://www.owasp.org/index.php/Certificate_and_Public_Key_Pinningを参照とのこと。2015/07/18
26
25Query Parameterization Cheat Sheetクエリパラメータに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/QueryParameterization.htmlSQLインジェクション対策としてのプリペアードステートメントを利用する手法及びストアドプロシージャにおけるバインド変数を利用する手法に関するコード例を言語ごとに紹介している。2014/11/21
27
26Ruby on Rails CheatsheetRuby on Railsにおけるセキュリティ対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/RubyOnRails.htmlRailsセキュリティガイドを補完しており、Ruby on Railsの開発者のためにコマンドインジェクション、SQLインジェクション、XSSなどの脆弱性に対する基本的なセキュリティ対策を紹介している。2015/03/09
28
27REST Security Cheat SheetRESTfulなサービスの実現に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/RESTSecurity.htmlRESTfulなサービスを実現する際に留意すべき作法(認証及びセッション管理、認可、入力値検証、エンコーディング、暗号化)について紹介している。2015/07/24
29
28Session Management Cheat Sheetセッション管理などに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/SessionManagement.htmlWebアプリに接続するユーザを識別するためのセッションを用いてユーザ認証、セッション管理、アクセス制御を行う際に、セキュリティを高める方法について紹介している。合わせて、セッションに対する攻撃を検知する方法やWAFを用いて攻撃を防ぐといった概念についても紹介している。2015/07/18
30
29SAML Security Cheat SheetSAMLを用いたSSOの実装に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/SAMLSecurity.htmlリダイレクト / POSTバインディングを利用したWebブラウザにおけるSAML / SSO(Security Assertion Markup Language / Single Sign On)プロファイルについて紹介している。2015/09/04
31
30SQL Injection Prevention Cheat SheetSQLインジェクション対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/SQLInjectionPrevention.htmlSQLインジェクションの対策手法として、プリペアドステートメントの利用、ストアドプロシジャの利用、入力値のエスケープについて具体的なコードを交えつつ紹介するとともに、保険的な対策である権限の最小化、ホワイトリストによる入力値の検証についても紹介している。2015/07/28
32
31Transaction Authorization Cheat Sheetトランザクション認証に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/TransactionAuthorization.htmlワンタイムパスワードやスマートカードによるデジタル署名などを用いたトランザクション認証の適切な実装手法について紹介している。2015/07/18
33
32Transport Layer Protection Cheat Sheetトランスポート層におけるセキュリティ対策に関するチートシートSSL/TLS技術の基礎を紹介している。合わせて、SSL/TLS技術を用いてサーバ設計、サーバ認証、プロトコル/暗号構成を適切に実装するためのルールを紹介している。2015/07/28
34
33Unvalidated Redirects and Forwards Cheat Sheetリダイレクト及び転送機能の実装手法に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/UnvalidatedRedirectsAndForwards.htmlJavaやPHPなどの各言語におけるリダイレクト及び転送機能の安全な実装手法について、危険な実装手法も交えつつ紹介している。2015/08/21
35
34User Privacy Protection Cheat Sheetプライバシー情報などに対する脅威の軽減手法に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/UserPrivacyProtection.htmlSNSやコミュニケーションプラットフォームが保持するプライバシー情報や匿名情報などの機微情報に対する脅威を軽減するためのデータの暗号化やhttpsを用いたセキュアな通信の確立、認証方式などの基本的な手法について紹介している。2015/07/18
36
35Web Service Security Cheat SheetWebサービスにおけるセキュリティ対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/WebServiceSecurity.htmlWebサービスを構築する上で考慮すべきポイント(TLSを使うなどの認証時の注意点、DDoSやブルートフォース攻撃を緩和するための施策、実施するべきバリデーション、ウィルス対策や可用性など)について紹介している。2015/08/04
37
36XSS (Cross Site Scripting) Prevention Cheat SheetXSS対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/XSSPrevention.html反射型及び持続型のXSSに対する根本的な対策7点と保険的な対策4点を紹介している。DOMベースのXSSは、DOMベースのXSS対策に関するチートシート(https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet)を参照とのこと。2015/09/23
38
37XML External Entity (XXE) Prevention Cheat SheetXML External Entity (XXE) 攻撃対策に関するチートシートXMLパースを利用し、機密情報の搾取、ポートスキャン及びDoS攻撃を引き起こすXML External Entity (XXE)の概要について説明することに加え、C/C++、Java、.NET等の各言語における対策方法について紹介している。合わせてXML External Entity (XXE) Processing(https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing)を参照とのこと。2016/05/31新規追加
39
38Assessment / Breaker向けのチートシートAttack Surface Analysis Cheat SheetWebアプリへの攻撃に対する表層分析に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/AttackSurfaceAnalysis.html外部からのWebアプリへの攻撃に対して、シンプルな表層分析(サーフェイス分析)を行うことにより、リスクを評価したうえで、Webアプリのどの部分を見直すべきか、又は脆弱性診断を行うべきかを最小限の方法で判断する手法について紹介している。2015/07/18
40
39XSS Filter Evasion Cheat SheetXSSの脆弱性を検知するのに有用な文字列に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/XSSFilterEvasion.htmlXSSの脆弱性を検知するのに有用な具体的な文字列について具体的に紹介している。2015/08/01
41
40REST Assessment Cheat SheetWebサービスにおけるREST対応の評価に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/RESTAssessment.htmlWebサービスにおいてREST(REpresentational State Transfer)対応ができているかを評価する観点について紹介している。2015/07/18
42
41Web Service Security Testing Cheat SheetWebサービスに対するセキュリティテストにおけるチェック観点に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/WebApplicationSecurityTesting.htmlWebサービスに対するセキュリティテストにおけるチェック観点について概念レベルで紹介している。2015/08/24
43
42モバイルに関するチートシートAndroid Testing Cheat SheetAndroidアプリに対するテストに関するチートシートAndroidアプリに対するテストで確認すべき項目について、OWASP Mobile Top10(https://www.owasp.org/index.php/OWASP_Mobile_Security_Project)に掲載されているリスクと対応づけて紹介している。2016/08/08新規追加
44
43IOS Developer Cheat SheetiOSアプリにおけるリスクとその対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/IOSDeveloper.htmliOSアプリを開発する際に留意すべきOWASP Mobile Top 10 Risk 2012(最新版は2014)に対応するリスク及びその対策について紹介している。2015/07/18
45
44Mobile Jailbreaking Cheat SheetJailbreakingなどに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/MobileJailbreaking.htmliOSにおけるJailbreaking、AndroidにおけるRoot化、WindowsOSにおけるunlockingに関する基礎的な事項及び各処理を実行するツールを紹介している。また、各処理を実行することによるリスクや、実行を検知する方法について技術的、非技術的な双方の側面から紹介している。2015/07/18
46
45OpSec / Defender向けのチートシートVirtual Patching Cheat Sheet仮想パッチに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/VirtualPatching.htmlソースコードを修正できない場合の副次的な対策としての仮想パッチ(WAF・IDSといったセキュリティ対策デバイス、Webサーバプラグイン、アプリケーションレイヤーフィルタ)の適応に関する継続的な運用方法について紹介している。2014/11/04
47
46ドラフト版のチートシートApplication Security Architecture Cheat Sheet【ドラフト】アプリケーションセキュリティ設計及びレビューに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/ApplicationSecurityArchitecture.htmlWebアプリのセキュリティアーキテクチャの初期設計やレビューにおける要求事項(ビジネス要求、インフラ要求、アプリ要求、セキュリティプログラム要求)に関する豆知識を紹介している。2015/09/12
48
47Business Logic Security Cheat Sheet【ドラフト】ビジネスロジックの脆弱性対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/BusinessLogicSecurity.html認証、認可、アクセス制御などの不備を突く攻撃ではなく、正常な手順を踏みつつも利益を得る(例えば注文処理実行直後に注文をキャンセルした場合に、システム上で注文は不成立となるもののなぜか商品は届いてしまうなど。)といったビジネスロジックに起因する脆弱性について紹介している。合わせて、それらの脆弱性を作り込まない方法や、脆弱性がないことを確認するテスト手法についても紹介している。2014/06/05
49
48Command Injection Defense Cheat Sheet【ドラフト】コマンドインジェクション対策に関するチートシートコマンドインジェクションの脆弱性の概要及びその対策について紹介している。
(※概要記載時点でほとんど中身が書いていないため、タイトルから推測した簡易な記載としている。)
2016/08/09新規追加
50
49Credential Stuffing Prevention Cheat Sheet【ドラフト】パスワードリスト攻撃等のブルートフォース攻撃対策に関するチートシートパスワードリスト攻撃等のブルートフォース攻撃対策として、多要素認証の実装、多段認証の実装、IPブラックリストの活用等の対策手法を紹介している。2016/09/20新規追加
51
50PHP Security Cheat Sheet【ドラフト】PHPにおけるセキュリティ対策に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/PHPSecurity.htmlPHP開発者が考慮すべきセキュリティ向上のための秘訣としてSQLインジェクション、XSSなどの個々の脆弱性に対する対策、言語独自及びフレームワークにおける脆弱性に対する対策、認証・認可の実装やPHPの設定を行う上で留意する事項などについて紹介している。2015/06/19
52
51Regular Expression Security Cheatsheet【ドラフト】正規表現に関するチートシート正規表現の実装例を紹介しているGithubページ(https://github.com/attackercan/regexp-security-cheatsheet/tree/master/RegexpSecurityParser)や不適切な正規表現の実装例を紹介しているGithubページ(https://github.com/attackercan/regexp-security-cheatsheet)を紹介している。2016/10/09新規追加
53
52Secure Coding Cheat Sheet【ドラフト】セキュアコーディングに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/SecureCoding.html認証、セッション管理、アクセス制御など、セキュアなシステムを開発する際に留意すべき事項について紹介している。2015/06/22
54
53Secure SDLC Cheat Sheet【ドラフト】セキュアSDLCの実現に関するチートシート組織におけるソフトウェア開発プロセスにセキュリティの観点を組み込み、OpenSAMM(http://www.opensamm.org/downloads/SAMM-1.0.pdf)における成熟度Level1を実現する方法について紹介している。2012/12/31
55
54Threat Modeling Cheat Sheet【ドラフト】Webアプリに対する脅威モデルに関するチートシートWebアプリに対するセキュリティ上の脅威への対策方法(守るべきものの特定、攻撃者の定義、リスクの洗い出し・評価、リスクへの対応)について紹介している。2015/08/31
56
55Web Application Security Testing Cheat Sheet【ドラフト】Webアプリに対してブラックボックステストを実施する際に確認すべき観点に関するチートシートWebアプリに対してブラックボックステストを実施する際に確認すべき観点についてチェックリスト形式で紹介している。2015/09/17
57
56Grails Secure Code Review Cheat Sheet【ドラフト】Grailsにおけるコードレビューに関するチートシートGroovy言語を使用するオープンソースのフレームワークであるGrailsにおけるコードレビューの際に確認すべき事項について紹介している。2013/01/02
58
57IOS Application Security Testing Cheat Sheet【ドラフト】iOSアプリに対してテストを実施する際に確認すべき観点に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/IOSApplicationSecurity.htmliOSアプリに対してテストを実施する際に確認すべき観点についてチェックリスト形式で紹介するとともに、テストに利用可能なツールについて紹介している。2015/08/24
59
58Key Management Cheat Sheet【ドラフト】暗号化に利用する鍵の管理に関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/KeyManagement.html暗号化に利用する鍵を管理する際に考慮すべき事項について紹介するとともに、鍵管理におけるベストプラクティスについて紹介している。2015/07/21
60
59Insecure Direct Object Reference Prevention Cheat Sheet【ドラフト】オブジェクト直接参照の危険な実装の防止に関するチートシートオブジェクト直接参照の危険な実装の防止するための方法について紹介している。
(※概要記載時点でほとんど中身が書いていないため、タイトルから推測した簡易な記載としている。)
2014/01/21
61
60Content Security Policy Cheat Sheet【ドラフト】CSPに関するチートシートhttps://jpcertcc.github.io/OWASPdocuments/CheatSheets/ContentSecurityPolicy.htmlCSP(コンテントセキュリティポリシー)の概要を紹介し、CSPを用いてXSSなどの脆弱性による攻撃の被害を軽減する方法を紹介している。2015/06/09
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
Loading...
 
 
 
シート1