OWASPとは
OWASP(Open Web Application Security Project)は、ウェブアプリケーションのセキュリティ向上を目的とした非営利の国際的な組織です。主に、ウェブアプリケーションに関するセキュリティ上の脅威やリスク、ベストプラクティスを提供するためのリソースを開発し、公開しています。
OWASPは、セキュリティのガイドラインやツールを提供し、開発者やセキュリティ専門家が安全なソフトウェアを構築するためのサポートを行っています。その中でも特に有名なのが「OWASP Top 10」という、ウェブアプリケーションの最も重大なセキュリティリスクのリストです。これにより、開発者や企業はどのようなリスクに注意すべきかを理解しやすくなります。
OWASP Top 10(2021版)
もうすぐ2025年版が発表されるそうですが、いったん2021年のものを調べました。
A01:2021 - Broken Access Control
アクセス制御の不備。ユーザーが本来アクセスできない情報や機能にアクセスできる脆弱性。
A02:2021 - Cryptographic Failures
暗号化の失敗。機密データの不適切な保護や、暗号化プロトコルの誤用。
A03:2021 - Injection
SQLインジェクションやクロスサイトスクリプティング(XSS)など、悪意のあるコードやデータがシステムに入力される脆弱性。
A04:2021 - Insecure Design
セキュリティを考慮しない設計により、潜在的な脅威や攻撃に対して脆弱になるリスク。
A05:2021 - Security Misconfiguration
セキュリティ設定の不備や誤設定。デフォルト設定のまま使用されることなどが問題となる。
A06:2021 - Vulnerable and Outdated Components
既知の脆弱性がある古いライブラリやコンポーネントを使用することによるリスク。
→特に古い長いPJだとありがちですね。。。すでに非推奨となった昔のライブラリをずっと使ってたりとか
A07:2021 - Identification and Authentication Failures
不適切な認証やセッション管理により、ユーザーのなりすましやセッションハイジャックが発生する可能性。
A08:2021 - Software and Data Integrity Failures
信頼できないソフトウェア更新やライブラリが含まれることによる、データやシステムの整合性が破られるリスク。
A09:2021 - Security Logging and Monitoring Failures
セキュリティログや監視の欠如により、攻撃が検出されず、問題の早期対応ができないリスク。
A10:2021 - Server-Side Request Forgery (SSRF)
サーバーが外部リソースにリクエストを送る際に、不正なリクエストが送信され、攻撃者が内部システムにアクセスできるリスク。
参考サイト