Webアプリケーションの最も重要なセキュリティリスクであるOWASP(リリースCandidat 2)の脆弱性トップ10のリストが更新されました。
OWASP Top 10プロジェクトは、MITRE、PCI DSS、DISA、FTCなど、多くの標準、ツール、および組織によって参照されています。 OWASP Top 10は、世界中で認められているWebアプリケーションの脆弱性評価手法です。 OWASP Top 10プロジェクトは、Webアプリケーションに対する最も重大な脅威を反映しています。
標準バージョンは約3年ごとに更新され、Webアプリケーションのセキュリティの最新の傾向を反映しています。 今年は暫定的なリリース候補があり、この同じドキュメントが最終リリースです。
OWASPトップ10 2013
2013年以降のWebアプリケーションの最も危険なリスク(脆弱性)のリスト:
- A1コードインジェクション
- A2不正な認証とセッション管理
- A3 Crossiteスクリプト
- A4安全でない直接オブジェクト参照
- A5安全でない構成
- A6機密データの漏洩
- A7機能レベルへのアクセス制御の欠如
- A8クロスサイトリクエストフォージェリ
- A9既知の脆弱性を持つコンポーネントの使用
- A10資格のないリダイレクト
OWASPトップ10 2017 RC 2ファイナル
2017年からのWebアプリケーションの最も危険なリスク(脆弱性)のリスト:
- A1コードインジェクション
- A2不正な認証とセッション管理
- A3機密データの漏洩
- A4外部XMLエンティティの埋め込み(XXE)
- A5アクセス制御違反
- A6安全でない構成
- A7 Crossiteスクリプト
- A8安全でない逆シリアル化
- A9既知の脆弱性を持つコンポーネントの使用
- A10ロギングとモニタリングの欠如
参照資料
→ OWASPプロジェクト
→ githubのOWASP Top 10 2017 RC 2のPDFバージョン