2007年版 Webアプリケーション脆弱性TOP10

1.Cross Site Scripting (XSS)
  クロスサイトスクリプティング
2.Injection Flaws
  主にSQLインジェクション
3.Malicious File Execution
  Remote File Inclusion (RFI)
4.Insecure Direct Object Reference
  ファイルやディレクトリの直接参照ができてしまう
5.Cross Site Request Forgery (CSRF)
6.Information Leakage and Improper Error Handling
  (設定情報やプライバシーの)情報漏えい、不適切なエラーハンドリング
7.Broken Authentication and Session Management
  不適切な認証やセッション管理
8.Insecure Cryptographic Storage
  重要なデータを暗号化して保存していない
  プログラマーお手製の(不完全な)暗号アルゴリズム
9.Insecure Communications
  SSLを適切に使っていないなど
10.Failure to Restrict URL Access 
  あるURLのアクセス制御が、隠すことだけで成り立っていて誰でもアクセスできるなど

今夜わかるHTTPでOWASP Top10 2004を取り上げているので、最新の2007年版のこちらも参考にしてください。ちなみに2004年のはこのような感じでした。(今夜わかるHTTP (Network)参照)2007年でXSSやインジェクション系が増えたのは自動で攻撃するワームなどが増えたからでしょうかね?

Webアプリケーションの脆弱性 TOP10 - 2004 Update
1.許可されていない入力 (Unvalidated Input)
2.不完全なアクセス制御 (Broken Access Control)
3.認証とセッション管理が不完全 (Broken Authentication and Session Management)
4.クロスサイトスクリプティングの欠陥 (Cross Site Scripting (XSS) Flaws)
5.バッファオーバーフロー (Buffer Overflows)
6.挿入の欠陥 (Injection Flaws)
7.不適切なエラー処理 (Improper Error Handling)
8.安全ではない保存 (Insecure Storage)
9.サービス妨害 (Denial of Service (DoS))
10.設定管理が安全ではない (Insecure Configuration Management)

そういえば、OWASP東京支部は自然消滅なのかしら…。