OWASP Top 10

セキュリティ事業部

OWASP Top 10

 

OWASP(国際ウェブセキュリティ標準機構、The Open Web Application Security Project)は、2003年以降、約3年周期で様々なセキュリティ専門家たちが作成した、Webアプリケーションセキュリティ脅威動向に関する文書です。この文書を読むと現在、最も注意すべき攻撃形式を把握できます。

2017年に公開されたものが最新版であり、日本語に翻訳されています。また、企業のウェブアプリケーションにおいて、「OWASP Top 10に掲載されている脆弱性に対応できていること」をセキュリティ要件として定めていることもあります。さらに、セキュリティベンダにおけるウェブアプリケーション脆弱性診断サービスがOWASP Top 10に対応していることを示して、その品質を訴求するなど、個人のみならず法人においても活用されています。

 

2017年に公開されたOWASP Top 10

A1: インジェクション
A2: 認証の不備
A3: 機微な情報の露出
A4: XML 外部エン ティティ参照 (XXE)
A5: アクセ ス制御の不備
A6: 不適切 なセキュリティ設定
A7: クロスサイトスク リプティング (XSS)
A8: 安全で ないデシリアライ ゼーション
A9: 既知の 脆弱性のあるコン ポーネントの使用
A10: 不十分なロギング とモニタリング

 

OWASP Top 10 – 2017 詳細

A1: インジェクション
SQLインジェクション、NoSQLインジェクション、OSコマンドインジェクション、LDAPイン ジェクションといったインジェクションに関する脆弱性は、コマンドやクエリの一部として信頼 されないデータが送信される場合に発生します。攻撃コードはインタープリタを騙し、意図しな いコマンドの実行や、権限を有していないデータへのアクセスを引き起こします。

A2: 認証の不備
認証やセッション管理に関連するアプリケーションの機能は、不適切に実装されていることがあ ります。不適切な実装により攻撃者は、パスワード、鍵、セッショントークンを侵害したり、他 の実装上の欠陥により、一時的または永続的に他のユーザーの認証情報を取得します。

A3: 機微な情報の露出
多くのウェブアプリケーションやAPIでは、財務情報、健康情報や個人情報といった機微な情報 を適切に保護していません。攻撃者は、このように適切に保護されていないデータを窃取または 改ざんして、クレジットカード詐欺、個人情報の窃取やその他の犯罪を行う可能性があります。 機微な情報は特別な措置を講じないでいると損なわれることでしょう。保存や送信する時に暗号 化を施すことや、ブラウザ経由でやり取りを行う際には安全対策を講じることなどが必要です。

A4: XML 外部エン ティティ参照 (XXE)
多くの古くて構成の悪いXMLプロセッサーにおいては、XML文書内の外部エンティティ参照を指 定することができます。 外部エンティティは、ファイルURIハンドラ、内部ファイル共有、内部 ポートスキャン、リモートコード実行、DoS(サービス拒否)攻撃により、内部ファイルを漏え いさせます。

A5: アクセ ス制御の不備
権限があるもののみが許可されていることに関する制御が適切に実装されていないことがありま す。攻撃者は、このタイプの脆弱性を悪用して、他のユーザのアカウントへのアクセス、機密 ファイルの表示、他のユーザのデータの変更、アクセス権の変更など、権限のない機能やデータ にアクセスします。

A6: 不適切 なセキュリティ設定
不適切なセキュリティの設定は、最も一般的に見られる問題です。これは通常、安全でないデ フォルト設定、不完全またはアドホックな設定、公開されたクラウドストレージ、不適切な設定 のHTTPヘッダ、機微な情報を含む冗長なエラーメッセージによりもたらされます。 すべてのオ ペレーティングシステム、フレームワーク、ライブラリ、アプリケーションを安全に設定するだ けでなく、それらに適切なタイミングでパッチを当てることやアップグレードをすることが求め られます。

A7: クロスサイトスク リプティング (XSS)
XSSの脆弱性は、適切なバリデーションやエスケープ処理を行っていない場合や、HTMLや JavaScriptを生成できるブラウザAPIを用いているユーザ入力データで既存のWebページを更新 する場合に発生します。 XSSにより攻撃者は、被害者のブラウザでスクリプトを実行してユー ザーセッションを乗っ取ったり、Webサイトを改ざんしたり、悪意のあるサイトにユーザーをリ ダイレクトします。

A8: 安全で ないデシリアライ ゼーション
安全でないデシリアライゼーションは、リモートからのコード実行を誘発します。デシリアライ ゼーションの欠陥によるリモートからのコード実行に至らない場合でさえ、リプレイ攻撃やイン ジェクション攻撃、権限昇格といった攻撃にこの脆弱性を用います。

A9: 既知の 脆弱性のあるコン ポーネントの使用
ライブラリ、フレームワークやその他ソフトウェアモジュールといったコンポーネントは、アプ リケーションと同等の権限で動いています。脆弱性のあるコンポーネントが悪用されると、深刻 な情報損失やサーバの乗っ取りにつながります。既知の脆弱性があるコンポーネントを利用して いるアプリケーションやAPIは、アプリケーションの防御を損ない、様々な攻撃や悪影響を受け ることになります。

A10: 不十分なロギング とモニタリング
不十分なロギングとモニタリングは、インシデントレスポンスに組み込まれていないか、非効率 なインテグレーションになっていると、攻撃者がシステムをさらに攻撃したり、攻撃を継続でき るようにし、ほかのシステムにも攻撃範囲を拡げ、データを改竄、破棄、破壊することを可能に します。ほとんどのデータ侵害事件の調査によると、侵害を検知するのに200日以上も要してお り、また内部機関のプロセスやモニタリングからではなく、外部機関によって検知されています。

 

参照HP:OWASP Japan
参照HPウィキペディア