Webアプリケーションの最も重大なセキュリティリスクであるOWASPの脆弱性トップ10の最終リリースが行われました。 更新は約3〜4年ごとに行われ、このリリースでは現在および将来のWebアプリケーションのセキュリティ問題に対応しています。
OWASP Top 10プロジェクトは、MITRE、PCI DSS、DISA、FTCなど、多くの標準、ツール、および組織によって参照されています。 OWASP Top 10は、世界中で認められているWebアプリケーションの脆弱性評価手法です。 OWASP Top 10プロジェクトは、Webアプリケーションに対する最も重大な脅威を反映しています。
OWASPトップ10 2013
2013年以降のWebアプリケーションの最も危険なリスク(脆弱性)のリスト:
- A1コードインジェクション
- A2不正な認証とセッション管理
- A3 Crossiteスクリプト
- A4安全でない直接オブジェクト参照
- A5安全でない構成
- A6機密データの漏洩
- A7機能レベルへのアクセス制御の欠如
- A8クロスサイトリクエストフォージェリ
- A9既知の脆弱性を持つコンポーネントの使用
- A10資格のないリダイレクト
OWASP 2017年トップ10
2017年からのWebアプリケーションの最も危険なリスク(脆弱性)のリスト:
- A1コードインジェクション
- A2不正な認証とセッション管理
- A3機密データの漏洩
- A4外部XMLエンティティの埋め込み(XXE)
- A5アクセス制御違反
- A6安全でない構成
- A7 Crossiteスクリプト
- A8安全でない逆シリアル化
- A9既知の脆弱性を持つコンポーネントの使用
- A10ロギングとモニタリングの欠如
変更点
新しいエディションは2013エディションとは異なります。
XSSの脆弱性は上位3つを残しましたが、重要な(機密データ)のリークは6位から転送されました-明らかに最新のリークおよびハッキング攻撃は無駄ではなかったため、OWASPコンソーシアムはこの問題に焦点を合わせることにしました。
新しいタイプの脆弱性-eXternal Entity XML(XXE)が追加されました。 XXEインジェクションは、XML入力を解析するアプリケーションまたはプリプロセッサに対する攻撃の一種です。
また、安全でない逆シリアル化句が追加されています。このような脆弱性により、リモートでコードが実行されたり、特権が昇格されたりする可能性があります。
監視の欠如についてポイントが追加されました-OWASPによると、平均インシデント検出時間は200(!)日です。
オープンリダイレクトとCSRFは、最も重要な10個の脆弱性を残しました。 OWASPリストが変化する一般的な傾向は、脆弱性/攻撃ベクトルの優先度がクライアント側からサーバー側にシフトしていることを示しています。
→ OWASPプロジェクト
→ OWASP Top 10 2017のPDFバージョン