OWASP Top 10 2013 レポート

このレポートには、ユーザーのサイトで検出された OWASP Top 10 2013 の問題が示されます。

「OWASP Top 10 2010」のぜい弱性には以下のものがあります。

  1. Injection (注入)
  2. Broken Authentication and Session Management (認証およびセッション管理の不徹底)
  3. Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
  4. Insecure Direct Object References (安全でない直接オブジェクト参照)
  5. Security Misconfiguration (セキュリティーの構成ミス)
  6. Sensitive Data Exposure (機密データの露出)
  7. Missing Function Level Access Control (機能レベルのアクセス制御の欠落)
  8. クロスサイト・リクエスト・フォージェリー (CSRF)
  9. Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用)
  10. Unvalidated Redirects and Forwards (検証されていないリダイレクトおよび転送)

問題点

OWASP Top Ten 2013 は、2010 バージョンを大幅に更新したものです。このレポートには、上位 10 件の最も重大な Web アプリケーション・セキュリティー・リスクおよびその評価方法について、より簡潔で、リスクに焦点を当てたリストが表示されます。上位 10 件の各項目には、リスクの一般的な重大度を分類するために使用される、一般的な可能性および影響の要因が示されます。プロジェクト・マネージャーは、リスクに対処するための全体的な作業の一部として、開発者の訓練、アプリケーション・セキュリティー・ポリシー開発、セキュリティー・メカニズムの設計と開発、浸透試験、およびセキュリティー・コードの確認などの、アプリケーション・セキュリティー・アクティビティーのための時間と予算を確保する必要があります。

ASE 9.0.3.9 以降では、OWASP 2013 レポートが OWASP 2017 レポートに置き換わっています。

OWASP 2017 の脆弱性には以下のものがあります。

  1. Injection (注入)
  2. Broken authentication (不完全な認証)
  3. Sensitive Data Exposure (機密データの露出)
  4. XML External Entities (XXE) (XML 外部エンティティー)
  5. Broken Access Control (不完全なアクセス制御)
  6. セキュリティーの構成ミス
  7. Cross-Site Scripting (XSS) (クロスサイト・スクリプティング)
  8. Insecure Deserialization (安全でない非直列化)
  9. Using Components with Known Vulnerabilities (既知の脆弱性を持つコンポーネントの使用)
  10. Insufficient Logging and Monitoring (不完全なロギングとモニター)

2013 から 2017 への変更点

アプリケーションと API に対する脅威のランドスケープは常に変化しています。このような進化の主要な要因としては、新しいテクノロジー (クラウド、コンテナー、API など) の急速な採用、アジャイル方式や DevOps などのソフトウェア開発プロセスの加速化と自動化、サード・パーティー製ライブラリーおよびフレームの急増、そして攻撃者による攻撃の高度化が挙げられます。これらの要因は、アプリケーションや API の分析を困難にするだけでなく、脅威のランドスケープを大幅に変化させる原因となり得ます。変化に後れをとらないよう、OWASP 組織では定期的に OWASP Top 10 を更新しています。この 2017 リリースでは、以下の点が変更されました。
  • 2013-A4: 「Insecure Direct Object References (安全でない直接オブジェクト参照)」と 2013-A7: 「Missing Function Level Access Control (機能レベルのアクセス制御の欠落)」を 2017-A5: 「Broken Access Control (不完全なアクセス制御)」にマージ。
  • 2013-A8: 「Cross-Site Request Forgery (CSRF) (クロスサイト要求偽造)」を破棄。多くのフレームワークでは CSRF 防御を組み込んでいることから、この脅威が検出されたのはアプリケーションの 5% でしかなかったためです。
  • 2013-A10: 「Unvalidated Redirects and Forwards (検証されていないリダイレクトおよび転送)」を破棄。アプリケーションの 8% で検出されているものの、XXE によって完全に押しのけられているためです。
  • 2017-A4: 「XML External Entities (XXE) (XML 外部エンティティー)」を追加。
  • 2017-A8: 「Insecure Deserialization (安全でない非直列化)」を追加。
  • 2017-A10: 「Insufficient Logging and Monitoring (不完全なロギングとモニター)」を追加。
    注: 9.0.3.9 より前に作成されたレポート・パック・テンプレートには、いずれも OWASP 2013 レポートが使用されています。必要に応じ、そのレポートを手動で削除して、OWASP 2017 レポートを追加できます。