[セミナーログ]OWASP Night 9th 2013 Year End Special 大阪サテライト

OWASP Nightの大阪サテライト、というものに参加させてもらいました。
参加、というか、端っこで聞かせてもらっただけ、ですが。

東京で開催されているOWASP nightを大阪から中継で見よう、という、
パブリックビューイング的なイベント。

東京・六本木で開催されるOWASP Night 9th 2013 Year End Special (a.k.a. 忘ナイト)の中継を大阪で楽しむためのサテライト会場です。

OWASP Meeting/Night – OWASP Japanローカルチャプターミーティングは、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会です。

OWASP Japan

以下、全然内容わかってないですが、
かるーく、メモです。

OWASP Top 10 2013版を日本語訳してみた

「OWASP Top 10 for 2013」の日本語版を公開

1：インジェクション（2013-A1）
2：認証とセッション管理の不備（2013-A2）
3：クロスサイトスクリプティング（XSS）（2013-A3）
4：安全でないオブジェクト直接参照（2013-A4）
5：セキュリティ設定のミス（2013-A5）
6：機密データの露出（2013-A6）
7：機能レベルアクセス制御の欠落（2013-A7）
8：クロスサイトリクエストフォージェリ（CSRF）（2013-A8）
9：既知の脆弱性を持つコンポーネントの使用（2013-A9）
10：未検証のリダイレクトとフォワード（2013-A10）

今夜わかるCVE

CVEとは、共通脆弱性識別子
CVEとは？

ぜい弱性やセキュリティにかかわる事象を説明するための名前や用語を標準化し，辞書を作成するプロジェクト。

MITREというところが採番をしている。
米国政府機関の下請け企業
NISTの下請けで取りまとめしてる。

来年から番号が変わる。
今まで4桁だったのが、足らなくなりそう？なので、5桁になる。

CVE番号だけではない！
MITER社がフォーマットに沿って、清書している。

CVEは、SCAPの一つ。
NISTが定めた標準規格。
セキュリティ情報をプログラムから自動で扱える侵入検知システムで活躍。

JVN iPedia
JVNブランドの脆弱性対策情報データベース。

MyJVN API利用例
リクルート社 SEfeed

他にもライトニングトークなど、がありました。