OWASP Kansai

OWASP Kansai

OWASP Kansai

OWASP Kansai ローカルチャプターのホームページへようこそ。 OWASP Kansaiのメーリングリストは こちら

オワスプカンサイ とは

OWASP Kansaiチャプターは日本で2番目に発足したローカルチャプターです。
OWASP Kansaiでは定期的にChapter Meeting / OWASP Nightと称した勉強会を開催しています。

  • ミッションステートメント
      つなぐ・まなぶ・そだてる
      ~ ひと と ひと、地域と地域をつなぐハブになる ~
    
    • スキル、役職、業種、国籍、性別、年齢に関係なく、だれでも参加できる間口の広いコミュニティ
    • カジュアルなスタイルで楽しくセキュリティについて情報交換や悩みを共有できる場
    • 発表者、参加者が双方向に学びあえる場
    • 関西(あるいは他のローカルチャプター)の人と人をつなぐ
    • OWASP: Code of Conduct

オワスプ とは

OWASP/オワスプとは、「The Open Web Application Security Project」の略語であり、関西弁に翻訳するならば、 「O:みんなの力で W:ウェブで A:できたもんの S:セキュリティを P:なんとかする活動」 と表現できます。
Webアプリケーションなどのソフトウェアのセキュリティと、セキュアなソフトウェア開発のための技術・プロセスについての情報提供/普及啓発を目的としたオープンコミュニティです。

次回イベント

  • 【学生優先・ハンズオン】体系的に学ぶモダン Web セキュリティ@京都
    • 昨今の Web セキュリティにまつわる動向はどうにも複雑で、学びにくいものとなってきています。そこでWeb ブラウザの持つセキュリティ機構の発展の歴史と攻撃手法の発展の歴史の両方を整理しながら体系的に学びましょう。
    • 参加登録はこちら
    • 日時:2020-03-07(土)10:00-18:00
    • 場所:サポーターズ 京都オフィス
    • ※本イベントは学生優先です

会員制度 / チャプタースポンサーシップ

OWASPの各Projectやチャプターの活動はリーダーを含めすべて無報酬のボランティアにより成り立っています。これらはメンバーシップ会費やチャプターサポーターによるスポンサーなどのコントリビューションによって賄われています。

Local Chapter Supporter

パナソニック株式会社

各種会員制度、寄付、支援の種類について

さまざまな会員の種類支援の種類があります。

  • Individual Membership(個人会員): 50ドル(年間)、500ドル(ライフタイム)
    • 会費の40%は、個人が指定したプロジェクトやコミュニティの支援に充てられます。
    • owasp.org メールアドレス付与
    • 会員限定のニュース配信
    • OWASPの組織の投票への参加
    • ローカルミーティングへの優先入場を提供することもあります。
    • 個人会員へのサインアップはこちらから。
    • (世界の一部の地域では、20ドルの割引会員資格があります)
  • Corporate Membership(企業・団体) : 5000ドル~(年間)、金額に応じてDiamond、Platinum、Gold、Silverのランク
    • 会費の40%は、指定されたプロジェクトやコミュニティの支援に充てられます。(ぜひ、OWASP Kansai Chapterをご指定ください。)
    • OWASPグローバルイベントにおける特典
    • Corporate Members & Sponsors ページへのブランドロゴの掲載、リンクの設置
    • Kansaiサイトへのブランドロゴの掲載、リンクの設置。(KansaiをAllocationいただいた場合)
  • Local Chapter Supporter(企業・団体) : 500ドル~(年間)、金額に応じてPlatinum、Gold、Silverのランク
    • ローカルチャプターを限定した支援。会費の90%は、ローカルチャプターの支援に充てられます。
    • Kansaiサイトへのブランドロゴの掲載、リンクの設置。
  • その他の支援
    • OWASPへの寄付
    • 有償の貢献だけでなく、あなたのプロジェクト参画やイベント参加もOWASPへの貢献になり、歓迎しています。
    • Chapter Meetingの会場をお貸しいただける企業様、スピーカーを務めて頂ける方、その他ご協力頂ける方はぜひ私たちまでご連絡ください。
    • スピーカー希望の方はSpeaker Agreement 日本語訳をご一読下さい。

OWASP Kansaiオリジナル会員特典について

OWASP Foudation公式からの特典は前項に挙げた通りですが、さらにOWASP Kansaiではオリジナル特典をご用意しております。
ぜひ支援先としてOWASP Kansaiを指定してください。不明な点があれば、フォローさせていただきますのでお気軽にボードメンバーにご相談ください。

  • オリジナルウェア(初回のみ)
  • OWASP Kansaiイベントへの優先入場枠(限定イベントを除き、毎回)
    • 個人会員:1枠/イベント
    • 企業会員:金額に応じて1-3枠/イベント

こちらのタブではOWASPのさまざまなプロジェクトを関西弁に翻訳しながら紹介します。

OWASP API Security Top 10(ja-kansai)

原文(en)はこちら

API1:2019 –潰れたオブジェクトレベルの認可

APIはオブジェクト識別子を処理するエンドポイントを開けっ広げにするクセがあってな、広範囲な攻撃対象レベルのアクセス制御の問題を引き起こしよんねん。
オブジェクトレベルの認可チェックは、ユーザーからの入力を使ってデータソースにアクセスするすべての機能で考えとかなあきません。

API2:2019 –潰れた認証

たいがいの認証メカニズムは正しく実装されてへんので、こすい奴は認証トークンをパクったり、実装の欠陥を悪用して他のユーザーIDを一時的または恒久的に推測したりしよんねん。
クライアント/ユーザーを識別するシステムの能力を損なうと、APIのセキュリティ全体がわやになりまっせ。

API3:2019 –ハデなデータの露出

はやいこと実装しとーて、いらちな実装者は個々の機密性を考慮せんとすべてのオブジェクトプロパティを公開するクセがあってな、ユーザーに表示する前のデータフィルタリングをクライアントに丸投げすんねん。
クライアントの状態を制御せーへんかったら、サーバーはますます多くのフィルターを受け取ってだな、これらのフィルターを悪用されて機密データにアクセスされんで。

API4:2019 -リソースの不足とレート制限

たいがいのAPIは、クライアント/ユーザーが要求できるリソースのサイズや数を制限しよらへん。
これはAPIサーバーのパフォーマンスに影響を与えるだけでのーて、サービス拒否(DoS)攻撃につながり、ほんでもって、ブルートフォース攻撃などの認証の欠陥のドアを開いたままにしとるっちゅうこっちゃで。

API5:2019 –潰れた機能レベルの認可

異なる階層、グループ、および役割を備えた複雑なアクセス制御ポリシー、および管理機能と通常の機能の不明瞭な分離は、認可の欠陥につながる傾向があんねん。
これらの問題を悪用することにより、こすい奴は他のユーザーのリソースや管理機能にアクセスしよんで。

API6:2019 -Mass Assignment脆弱性

クライアントが提供するデータ(JSONなど)をデータモデルにバインドすると、ホワイトリストに基づいた適切なプロパティフィルタリングが行われへんから、通常はMass Assignment脆弱性につながんねん。
オブジェクトのプロパティを推測する、他のAPIエンドポイントを調べる、ドキュメントを読む、またはリクエストペイロードで追加のオブジェクトプロパティを提供することにより、こすい奴は想定していないオブジェクトプロパティを変更しはんで。

API7:2019 -セキュリティの設定ミス

セキュリティの設定ミスは、たいがい、安全でないデフォルト設定、不完全またはその場しのぎの設定、オープンクラウドストレージ、アホなHTTPヘッダー、不要なHTTPメソッド、オリジン間リソース共有(CORS)、および機密情報を含む詳細なエラーメッセージの結果やで。

API8:2019 –インジェクション

SQL、NoSQL、コマンドインジェクションやらのインジェクションの欠陥は、信頼できひんデータがコマンドまたはクエリの一部としてインタープリターに送信されるときに発生すんねん。
こすい奴の悪意のあるデータは、インタープリターをだまくらかして意図しないコマンドを実行したり、ちゃんとした許可なしにデータにアクセスする可能性があるらしいで。知らんけど。

API9:2019 –えー加減な資産管理

APIは従来のWebアプリケーションよりもぎょうさんエンドポイントを公開するクセがあってな、更新されたドキュメントはごっつ重要やで。
ちゃんとしたホストやデプロイされたAPIバージョンの資産台帳は、ほかしたAPIバージョンや公開されたデバッグエンドポイントなどの問題を軽減する重要な役割も果たしまっせ。

API10:2019 –しょぼいロギングとモニタリング

しょぼいロギングとモニタリングは、インシデント対応との不十分もしくは非効率な統合と相まって、こすい奴が調子のってシステムをさらに攻撃し、長い間居座って、より多くのシステムに転移してデータを改ざん、抽出、破壊することを可能にすんねん。
ほとんどの侵害調査では、侵害を見つけるのに200日以上かかることが示されてて、たいがいは内部プロセスや監視ではなくよそもんの関係者によって見っけられるらしいで。知らんけど。


2020

【学生優先・ハンズオン】体系的に学ぶモダン Web セキュリティ@京都

昨今の Web セキュリティにまつわる動向はどうにも複雑で、学びにくいものとなってきています。そこでWeb ブラウザの持つセキュリティ機構の発展の歴史と攻撃手法の発展の歴史の両方を整理しながら体系的に学びましょう。 * 参加登録はこちら
* 日時:2020-03-07(土)10:00-18:00
* 場所:サポーターズ 京都オフィス
* ※本イベントは学生優先です

2019

【競技】MINI Hardening Project#[email protected] Kansai

今回はなんと”MINI Hardening”とのコラボレーションです!!
あの手この手で攻撃してくるハッカーからサーバーを守りながらいかに安定運用できるかをチームごとに競いつつ、カジュアルにセキュリティについて学ぶことができるイベントです
* 日時: 2019年12月14日(土) 11時00分入場開始
* 競技者申込ページ
* 見学者申込ページ
* MINIHardeningProjectとは

【ハンズオン】OWASP Nagoyaコラボ企画『セキュアなWordPressを構築しよう!』

今回のテーマは”WordPressのセキュアな運用”
なんとOWASP Nagoyaから講師をお呼びしてハンズオンを企画しています
* 日時: 2019年 9月29日(日) 12時00分入場開始
* 事前登録サイト
* OWASPガイドライン

【ハンズオン】OWASP Kansai スクールキャラバン2019 〜NAIST編~

2019年は、関西圏の大学にイベントを出前出展にチャレンジします
記念すべき第一回は”奈良先端科学技術大学院大学(NAIST)”です
* 日時: 2019年1月19日(土) 12時30分入場開始
* 事前登録サイト

2018

OWASP Kansai DAY 2018.12 ~セキュリティで経営をたしかなもんに~

今年の年末も100人以上の会場で、興味深い発表を聞けるようなイベントを開催します
今回のテーマは、経営とセキュリティです
* 日時: 2018年12月1日(土) 13時30分入場開始
* 事前登録サイト

オワスプナイトカンサイ 2018.10

みなさまお待たせしました!ひさしぶりのオワスプナイト開催です!
卓球とお酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルで開催します。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。(未成年の方の飲酒は厳にお断りします。)
* 日時: 2018年10月17日 18時30分入場開始
* 事前登録サイト

2017

【オワスプナイトカンサイ】セキュリティ!ゲームで学習やってみナイト

今回のオワスプナイトのテーマはゲーム学習!!
* 日時: 2017年6月12日(火) 19:00-21:00
* 場所: [ファーストサーバ株式会社] (https://www.firstserver.co.jp/corporate/accessmap.html)
* 事前登録サイト

【ハンズオン】OWASP TOP 10のリスクを体感してみよう

やられWebアプリケーションをつかってOWASP TOP 10に掲載されている脆弱性を自分の手で実感してみよう
* 日時: 2017年4月27日(金) 19:00-21:00
* 場所: サイボウズ株式会社 大阪オフィス
* 事前登録サイト

OWASP Kansai DAY 2017 〜今こそ語り合おうIoTセキュリティ〜

IoTセキュリティに関する啓発や診断技術を意見交換するコミュニティIoTSecJPとコラボレーションし、盛りだくさんな内容をお届けしますのでお楽しみに! * 日時: 2018年2月18日 14:00-17:00
* 場所: Wonder LAB Osaka
* 事前登録サイト

OWASP Kansai DAY 2017 in Osaka 〜初心者でもわかるサイバーセキュリティ〜

「セキュリティって何だか難しそうだな」 「勉強したいけどこういうイベントに自分がいっても大丈夫かな?」 大丈夫です!特に今回はセキュリティ初心者にもわかりやすいトピックスをご用意しております! * 日時: 2017年12月2日(土) 13:30 - 17:00
* 場所: 朝日新聞アサコムホール (中之島フェスティバルタワー12階)
* 事前登録サイト 

OWASP World Tour 2017 / Kansai サテライト

OWASP World Tourにあわせて、サテライト会場として、東京メイン会場からのWeb中継をおこないます * 日時: 2017年9月30日(土) 10:30 - 18:30
* 関西サテライト1:神戸  事前登録はこちら
* 株式会社神戸デジタル・ラボ 10階セミナールーム 神戸市中央区京町72番地 新クレセントビル
* 関西サテライト2:大阪本町 事前登録はこちら
* ファーストサーバ株式会社 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル 3F

OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in OSAKA

OWASP Corporate Supporterであるパナソニックの、Wonder LAB Osakaをお借りすることができました!
* 日時: 2017年9月2日 14:00-17:00
* 場所: Wonder LAB Osaka
* 事前登録サイト

オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 10th~

大阪開催ではもはやおなじみ(!?)となりました卓球バーを貸し切り、お酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルにしたいと思います。
* 日時: 2017年6月16日 18:30-20:30
* 事前登録サイト

OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2017 in KYOTO

今回は、趣向を変えて京都の町屋を貸し切って勉強会開催です! * 日時: 2017年3月11日 13:30-16:30
* 場所: 京都リサーチパーク町屋スタジオ
* 事前登録サイト

2016

オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 8th~

今回は卓球バーを貸し切り、お酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルにしたいと思います。 * 開催日: 2016年11月30日
* 事前登録サイト

OWASP Kansai ローカルチャプターミーティング / OWASP DAY 2016 Spring

OWASP Kansaiでは、OWASP Japan / OWASP Kyushu とともに、2/27(土)に3チャプター同時開催のイベント OWASP DAY 2016 Springを開催します。
* 開催日: 2016年2月27日
* 事前登録サイト

2015

OWASP Kansaiローカルチャプターミーティング 6th

今回は勉強会形式でWebセキュリティについてみんなで学んでいきましょう! * 開催日: 2015年10月2日
* 事前登録サイト

オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in 関西 5th~

関西のみなさまお待たせしました!OWASP Kansai 第5回目のオワスプナイトを行います!
今回は神戸三宮で、たこ焼きとお酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルで開催します。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。(未成年の方の飲酒は厳にお断りします。)
* 日時: 2015年6月24日 18:30-
* 会費: 3500円 現地払い(たこやきと沖縄料理、2時間半の飲み放題込み、学生割引あり)
* 事前登録サイト

「コミュニティ活動からみる PHP セキュリティ」 at PHPカンファレンス

5月30日に開催されるPHPカンファレンス関西2015にて、OWASP Kansaiより松本悦宜さんが「コミュニティ活動からみる PHP セキュリティ」というテーマで講演します。みなさんのご参加をお待ちしています!

【サイト開発者必見】無償で使える!脆弱性検査ツール『OWASP ZAP』ハンズオン in 大阪

OWASP ZAPとは、オープンソースで公開されているWebアプリケーションの脆弱性を発見するためのツールです。
ZAPエバンジェリストの亀田氏をお招きし、ハンズオンにて実際にWebアプリケーションへ検査を行い脆弱性を見つける方法を紹介します。
* 日時: 2015年2月10日 15時-18時
* 会費: 2000円 現地払い
* 事前登録サイト
* 当日のハンズオンの資料はこちら!

オワスプナイトカンサイ ~OWASPローカルチャプターミーティング in関西 4th~

関西のみなさまお待たせしました!2015年はじめてのオワスプナイトカンサイを行います!
今回も卓球バーを貸し切り、お酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルにしたいと思います。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。(未成年の方の飲酒は厳にお断りします。)
* 日時: 2015年2月10日 18:00-
* 会費: 2500円 現地払い(2時間の飲み放題 軽食付き、学生割引あり)
* 事前登録サイト

2014

神戸ITフェスティバル

2014年11月28日、29日に神戸で開催される神戸ITフェスティバル2014にて、ブース出展および講演(28日)を行います。みなさんのお越しをお待ちしています。

オワスプナイトカンサイ~OWASPローカルチャプターミーティング in関西 3rd~ / OWASP Kansai Night - OWASP Kansai Local Chapter Meeting 3rd

関西のみなさまお待たせしました!OWASP Kansai 第3回目の Local Chapter Meetingは、OWASP Japanに習いオワスプナイト形式でカジュアルに行いたいと思います。
ということで今回は本町の素敵なバーを貸し切り、お酒を交えながら楽しくWebセキュリティについて情報交換を行うカジュアルなスタイルにしたいと思います。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。(未成年の方の飲酒は厳にお断りします。)
* 日時: 2014年10月2日(木) 19:00-
* 会費: 2500円 現地払い(2時間の飲み放題 軽食付き)
* 事前登録サイト

OWASP Kansai Local Chapter Meeting 2nd

OWASP Kansai 第2回目の Local Chapter Meetingを開催します!今回のテーマはずばり「HTML5」です。 Web制作者のみなさん!
これまでデザインやHTMLコーディングなどを中心にサイトを構築されて来られた方は、Webセキュリティなんて自分に「関係ない」と思っている方は多くありませんか?
でもちょっと待ってください!、最近HTML5を使ったコーディングを行われている方が多いと思いますが、実はHTML5の拡張機能の利用には、セキュリティリスクがあることをご存じですか?
今回のChapter Meetingでは、HTML5のセキュリティ対策スペシャリストをゲストとして迎え、これからWeb制作者が知っておくべきセキュリティ対策についてお話いただきます。
* 日時: 2014年6月6日(月) 19:00-
* 事前登録サイト
* 「HTML5が最近どうなっていて何があぶなっかしいのか?」 HTML5-WEST.jp 村岡さん
* 「負ける気せえへん HTML5セキュリティやし」 神戸デジタル・ラボ 松本さん
* 「HTML5のセキュリティ、もうちょい詳しく!」 OWASP Kansai はせがわようすけ

OWASP Kansai Local Chapter Meeting 1st

OWASP Kansai設立記念、第1回の Local Chapter Meetingを開催します! OWASP Kansai Local Chapter Meeting は、セミナーや持ち込みのライトニングトークの形で行われる、Webセキュリティに関心のある方が集う、楽しくカジュアルな勉強会です。スキル、役職、業種、国籍、性別、年齢関係なく、遠慮なくお越しください。
* 日時: 2014年3月3日(月) 19:30-
* 事前登録サイト
* OWASP Kansaiについて
* 「エンタープライズ向けクラウドサービスにおける ID 連携の有用性」サイボウズ株式会社 浅賀さん
* 「ログイン時の第2認証の選定について」(OWASP Kansai Chapter Leader 斉藤)


OWASP Kansai Stickers

OWASP Kansai

OWASP Kansai

OWASP Kansai

MINI Hardenning

OWASP Kansaiフライヤー: PDF をダウンロード.