Webシステム／Webアプリケーションセキュリティ要件書 2.0

OWASP Web Application Security Requirements 2.0

by OWASP Japan セキュリティ要件定義書ワーキンググループ

本ドキュメントについて

Webシステム／Webアプリケーションセキュリティ要件書は、安全なWebアプリケーションの開発に必要なセキュリティ要件書です。発注者、開発者、テスト実施者、セキュリティ専門家、消費者が活用することで、以下のことを達成することを目的としています。

• 開発会社・開発者に安全なWebシステム／Webアプリケーションを開発してもらうこと
• 開発会社と発注者の瑕疵担保契約の責任分解点を明確にすること
• 要求仕様やRFP（提案依頼書）として利用し、要件定義書に組み込むことができるセキュリティ要件として活用していただくこと

Ver.1.0 からの主な変更点

• 「1.3 パスワードについて」のパスワード文字列の長さを最低8文字以上に変更
• 「1.3 パスワードについて」の登録可能なパスワード文字列の長さ127文字以上と追加
• 「1.3 パスワードについて」の登録可能なパスワード文字列の文字を大小英字、数字、記号が利用可能であることと追加
• 「1.5 パスワードリセット機能について」を追加
• 「3.3 CSRF対策の実施について」の対策を再認証を主な対策としないような記載に変更
• 「5.3 CSSを動的に生成しないこと」を追加
• 「6.3 安全な暗号化通信を使用すること」でSSL2.0/3.0を無効に変更
• 「7.1 cookieの属性を適切に設定すること」で HttpOnly属性を必須に変更、Domain属性を指定しないことを追加
• 「8.3 レスポンスヘッダーにX-Frame-Optionsを指定すること」を追加
• 「9.6 管理者がアカウントの有効・無効を設定できること」を追加
• 「9.7 重要な処理が行われたらログを記録すること」を追加
• これら以外にも文言の変更や順番の入れ替えなどがあります。