Web アプリケーションのセキュリティテストに関するチートシート

OWASP 作成
ジャンプ先: 移動検索

はじめに

このチートシートでは、Web アプリケーションのブラックボックスセキュリティテスト時に実行する必要があるタスクのチェックリストを提供します。

目的

このチェックリストは、熟練した侵入テスト担当者が覚書として使用できるように作成したものであり、「OWASP Testing Guide」との併用を想定しています。このチェックリストは、「Testing Guide v4」の内容の進行状況に合わせて更新されます。

このガイドは、XML ドキュメントとして提供し、さらにPDF、MediaWiki マークアップ、HTML などの形式に変換するスクリプトも提供する予定です。

そのため、セキュリティツール内でこのガイドを使用できるだけでなく、印刷に適した形式でも利用可能になります。

フィードバックや提案はどのようなものでも歓迎します。変更すべきと思われる具体的な箇所があったら、ログインして提案してください。

チェックリスト

情報収集

表示されたサイトのレビュー

開発のレビュー

ホスティングとプラットフォームのレビュー

  • Web サービスを特定する
  • 一緒にホスティングされている関連アプリケーションを特定する
  • すべてのホスト名とポートを特定する
  • 自前でホスティングしているものでないコンテンツを特定する

構成管理

セキュアな送信

プロトコルと暗号化

Web サービスと REST

認証

アプリケーションのパスワード機能

  • パスワード品質規則をテストする
  • 自動ログイン (Remember Me) 機能をテストする
  • パスワードのリセット、回復、またはこの両方をテストする
  • パスワード変更プロセスをテストする
  • CAPTCHA 機能をテストする
  • 多要素認証をテストする
  • ログアウト機能が存在するかどうかテストする
  • 既定のログインについてテストする
  • アカウントのロックアウトやパスワード変更が正常に処理された際に行われるチャネル外通知についてテストする
  • 複数のアプリケーション間で共有する認証方式 / SSO や代替チャネルでの認証における一貫性についてテストする
  • 脆弱なセキュリティの質問 / 回答についてテストする

その他の認証機能

セッション管理

認可

暗号化

データの検証

インジェクション

その他

DoS (サービス妨害)

危険性の高い個別機能

ファイルのアップロード

支払い

エラー処理


付録

その他の形式

  • github 上の DradisPro テンプレート形式
  • Templana 上の Asana テンプレート (Bastien Siebman に感謝)

Authors and contributors

Simon Bennetts
Rory McCune
Colin Watson
Simone Onofri
Amro AlOlaqi

All above are authors of the Testing Guide v3

Ryan Dewhurst
Frank Catucci
Vin Miller

関連資料

Other Cheatsheets

OWASP Cheat Sheets Project Homepage

Developer Cheat Sheets (Builder)

Assessment Cheat Sheets (Breaker)

Mobile Cheat Sheets

OpSec Cheat Sheets (Defender)

Draft Cheat Sheets