2007年版 Webアプリケーション脆弱性TOP10
- Top 10 2007 - OWASPより(bunさんとこ経由)
1.Cross Site Scripting (XSS) クロスサイトスクリプティング 2.Injection Flaws 主にSQLインジェクション 3.Malicious File Execution Remote File Inclusion (RFI) 4.Insecure Direct Object Reference ファイルやディレクトリの直接参照ができてしまう 5.Cross Site Request Forgery (CSRF) 6.Information Leakage and Improper Error Handling (設定情報やプライバシーの)情報漏えい、不適切なエラーハンドリング 7.Broken Authentication and Session Management 不適切な認証やセッション管理 8.Insecure Cryptographic Storage 重要なデータを暗号化して保存していない プログラマーお手製の(不完全な)暗号アルゴリズム 9.Insecure Communications SSLを適切に使っていないなど 10.Failure to Restrict URL Access あるURLのアクセス制御が、隠すことだけで成り立っていて誰でもアクセスできるなど
今夜わかるHTTPでOWASP Top10 2004を取り上げているので、最新の2007年版のこちらも参考にしてください。ちなみに2004年のはこのような感じでした。(今夜わかるHTTP (Network)参照)2007年でXSSやインジェクション系が増えたのは自動で攻撃するワームなどが増えたからでしょうかね?
Webアプリケーションの脆弱性 TOP10 - 2004 Update 1.許可されていない入力 (Unvalidated Input) 2.不完全なアクセス制御 (Broken Access Control) 3.認証とセッション管理が不完全 (Broken Authentication and Session Management) 4.クロスサイトスクリプティングの欠陥 (Cross Site Scripting (XSS) Flaws) 5.バッファオーバーフロー (Buffer Overflows) 6.挿入の欠陥 (Injection Flaws) 7.不適切なエラー処理 (Improper Error Handling) 8.安全ではない保存 (Insecure Storage) 9.サービス妨害 (Denial of Service (DoS)) 10.設定管理が安全ではない (Insecure Configuration Management)
そういえば、OWASP東京支部は自然消滅なのかしら…。