OWASP Top 10 2013 レポート
このレポートには、ユーザーのサイトで検出された OWASP Top 10 2013 の問題が示されます。
「OWASP Top 10 2010」のぜい弱性には以下のものがあります。
- Injection (注入)
- Broken Authentication and Session Management (認証およびセッション管理の不徹底)
- Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
- Insecure Direct Object References (安全でない直接オブジェクト参照)
- Security Misconfiguration (セキュリティーの構成ミス)
- Sensitive Data Exposure (機密データの露出)
- Missing Function Level Access Control (機能レベルのアクセス制御の欠落)
- クロスサイト・リクエスト・フォージェリー (CSRF)
- Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用)
- Unvalidated Redirects and Forwards (検証されていないリダイレクトおよび転送)
問題点
OWASP Top Ten 2013 は、2010 バージョンを大幅に更新したものです。このレポートには、上位 10 件の最も重大な Web アプリケーション・セキュリティー・リスクおよびその評価方法について、より簡潔で、リスクに焦点を当てたリストが表示されます。上位 10 件の各項目には、リスクの一般的な重大度を分類するために使用される、一般的な可能性および影響の要因が示されます。プロジェクト・マネージャーは、リスクに対処するための全体的な作業の一部として、開発者の訓練、アプリケーション・セキュリティー・ポリシー開発、セキュリティー・メカニズムの設計と開発、浸透試験、およびセキュリティー・コードの確認などの、アプリケーション・セキュリティー・アクティビティーのための時間と予算を確保する必要があります。ASE 9.0.3.9 以降では、OWASP 2013 レポートが OWASP 2017 レポートに置き換わっています。
OWASP 2017 の脆弱性には以下のものがあります。
- Injection (注入)
- Broken authentication (不完全な認証)
- Sensitive Data Exposure (機密データの露出)
- XML External Entities (XXE) (XML 外部エンティティー)
- Broken Access Control (不完全なアクセス制御)
- セキュリティーの構成ミス
- Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
- Insecure Deserialization (安全でない非直列化)
- Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用)
- Insufficient Logging and Monitoring (不完全なロギングとモニター)
2013 から 2017 への変更点
アプリケーションと API に対する脅威のランドスケープは常に変化しています。このような進化の主要な要因としては、新しいテクノロジー (クラウド、コンテナー、API など) の急速な採用、アジャイル方式や DevOps などのソフトウェア開発プロセスの加速化と自動化、サード・パーティー製ライブラリーおよびフレームの急増、そして攻撃者による攻撃の高度化が挙げられます。これらの要因は、アプリケーションや API の分析を困難にするだけでなく、脅威のランドスケープを大幅に変化させる原因となり得ます。変化に後れをとらないよう、OWASP 組織では定期的に OWASP Top 10 を更新しています。この 2017 リリースでは、以下の点が変更されました。- 2013-A4: 「Insecure Direct Object References (安全でない直接オブジェクト参照)」と 2013-A7: 「Missing Function Level Access Control (機能レベルのアクセス制御の欠落)」を 2017-A5: 「Broken Access Control (不完全なアクセス制御)」にマージ。
- 2013-A8: 「Cross-Site Request Forgery (CSRF) (クロスサイト要求偽造)」を破棄。多くのフレームワークでは CSRF 防御を組み込んでいることから、この脅威が検出されたのはアプリケーションの 5% でしかなかったためです。
- 2013-A10: 「Unvalidated Redirects and Forwards (検証されていないリダイレクトおよび転送)」を破棄。アプリケーションの 8% で検出されているものの、XXE によって完全に押しのけられているためです。
- 2017-A4: 「XML External Entities (XXE) (XML 外部エンティティー)」を追加。
- 2017-A8: 「Insecure Deserialization (安全でない非直列化)」を追加。
- 2017-A10: 「Insufficient Logging and Monitoring (不完全なロギングとモニター)」を追加。注: 9.0.3.9 より前に作成されたレポート・パック・テンプレートには、いずれも OWASP 2013 レポートが使用されています。必要に応じ、そのレポートを手動で削除して、OWASP 2017 レポートを追加できます。