・OWASP News
- OWASP WG関連
セキュリティ要件定義WG
Penetration Test Guide (Skill Map)
どのような診断を受ければ、どの程度のレベルに達するのか、Guide を作るプロジェクト。
業界標準のセキュリティ基準を作る
甲・乙・塀の3段階で診断員のレベルを区分。
11月くらいをめどに。
ISOG-J(Information Security Operation providers Group Japan)
- Takaさんコーナー
OWASP プロジェクトに関して
何があるか、プロジェクトの作り方とか。
- ショーちゃんコーナー
APPSEC APAC 2014に関して
OWASP JAPAN プロモーションチーム始動
第一弾:PHP Conference 2014(10/11)
・Next Hardening Project
- kawaguchi(LAC)
Hardening Project:チーム対抗で、脆弱性のあるECサイトへのハードニング(堅牢化)力の
強さを総合的に競うコンペティションです。
沖縄でやったHardening Projectの報告
・Special Talk
- Yosuke Hasegawa
HTML5 Security(DOM Based XSS)
http://example/#<script>alert(1)</script>
でよく起こるよ、の話。今更ですが。。。
Mutation-based XSS:mXSS
バッククォート(`)がIEだと誤解釈を起こすー
対策はDOMParser,createHTMLDocumentでHTMLElementを生成する。
めんどうなので、HasegawaさんがRickDOMを作ったよ。(簡単かつ安全に使えるライブラリ)
https://github.com/hasegawayosuke/rickdom
sandoboxなiframeを使用してもいいのでは?
sandobox属性によりJavaScriptをiframe内で禁止にできる。
・まだまだ続くAndroidセキュアコーディング
- JSSEC 藤村さん
JSSECセキュアコーディングガイドの特徴に関して
第4版できました!(http://www.jssec.org/report/securecoding.html)
改訂内容:プライバシー情報の取り扱いに関して
暗号技術の利用に関して
・CISO Survey
企業の中でセキュリティをやっていく上で、どう利益に絡んでやっていくか?
https://www.owasp.org/index.php/OWASP_CISO_Survey
https://jp.surveymonkey.com/s/CISOSurvey2014jp
・CISO 10 Award
エンドユーザ同士がセキュリティ対策のナレッジを共有できる場所
イケてるCISOは誰?の企画。
0 件のコメント:
コメントを投稿