OWASP Top 10 for 2010

• A1: Injection
• A2: Cross-Site Scripting (XSS)
• A3: Broken Authentication and Session Management
• A4: Insecure Direct Object References
• A5: Cross-Site Request Forgery (CSRF)
• A6: Security Misconfiguration
• A7: Insecure Cryptographic Storage
• A8: Failure to Restrict URL Access
• A9: Insufficient Transport Layer Protection
• A10: Unvalidated Redirects and Forwards

昨年末辺りに2010rc1版が公開されていましたが、そこから若干内容が変わっています。（参考：脆弱性TOP10の『OWASP Top 10 - 2010 rc1』公開 - うさぎ文学日記）
ちなみに2007はこちらを参照して下さい。

• Webアプリケーションを作る前に知るべき10の脆弱性 − ＠IT

OWASP Top 10 for 2010 日本語

少しだけ日本語に訳して、補足説明を付けてみました

• A1: インジェクション
  • SQLインジェクションやOS、LDAPインジェクションなど
• A2: クロスサイトスクリプティング (XSS)
• A3: 不完全な認証とセッション管理
  • 認証とセッション管理に関連した機能が適切に実装されていない。
• A4: セキュアではないオブジェクトの直接参照
  • アクセス制御などがないため、本来見えないはずのファイルやデータベースなどに直接アクセス可能な状態
• A5: クロスサイトリクエストフォージェリ (CSRF)
• A6: セキュリティ設定の間違い
  • アプリケーションやフレームワーク、各種サーバーに適切なセキュリティの設定が施されていない。また最新版が維持されていない。
• A7: セキュアではない暗号ストレージ
  • 適切な暗号化やハッシュを使っていないためクレジットカード番号などの機密情報が守られていない。
• A8: URLアクセス制限の不備
  • 本来アクセス制限されていて見えないはずのページがURLを指定することで見えてしまう。またURLを隠すこと（攻撃者に知られないこと）を前提としたセキュリティに頼っている。
• A9: 不十分なトランスポート層の保護
  • 適切にSSL/TLSを使って保護していない。弱いアルゴリズムを使っていたり、期限切れなどの無効な証明書を使っている。
• A10: セキュアではないリダイレクトとフォワード
  • 攻撃者が指定したURLにリダイレクトできるオープンリダイレクターの状態になっているなど。

詳細は下記の原本に当たって下さい。

• http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010.pdf
• https://docs.google.com/uc?export=download&id=0B3B7xlV22G8TNGUyOTFjMjAtZDJjMi00MjM4LTlmNGUtMzFiODdjMTA2OTZm