2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10
PCI DSSなどでもよく参照されているOWASPが発表している、Webアプリケーションの脅威のランキング2010年版の『OWASP Top 10 for 2010 』が公開されました。
OWASP Top 10 for 2010
- A1: Injection
- A2: Cross-Site Scripting (XSS)
- A3: Broken Authentication and Session Management
- A4: Insecure Direct Object References
- A5: Cross-Site Request Forgery (CSRF)
- A6: Security Misconfiguration
- A7: Insecure Cryptographic Storage
- A8: Failure to Restrict URL Access
- A9: Insufficient Transport Layer Protection
- A10: Unvalidated Redirects and Forwards
昨年末辺りに2010rc1版が公開されていましたが、そこから若干内容が変わっています。(参考:脆弱性TOP10の『OWASP Top 10 - 2010 rc1』公開 - うさぎ文学日記)
ちなみに2007はこちらを参照して下さい。
OWASP Top 10 for 2010 日本語
少しだけ日本語に訳して、補足説明を付けてみました
- A1: インジェクション
- SQLインジェクションやOS、LDAPインジェクションなど
- A2: クロスサイトスクリプティング (XSS)
- A3: 不完全な認証とセッション管理
- 認証とセッション管理に関連した機能が適切に実装されていない。
- A4: セキュアではないオブジェクトの直接参照
- アクセス制御などがないため、本来見えないはずのファイルやデータベースなどに直接アクセス可能な状態
- A5: クロスサイトリクエストフォージェリ (CSRF)
- A6: セキュリティ設定の間違い
- アプリケーションやフレームワーク、各種サーバーに適切なセキュリティの設定が施されていない。また最新版が維持されていない。
- A7: セキュアではない暗号ストレージ
- 適切な暗号化やハッシュを使っていないためクレジットカード番号などの機密情報が守られていない。
- A8: URLアクセス制限の不備
- 本来アクセス制限されていて見えないはずのページがURLを指定することで見えてしまう。またURLを隠すこと(攻撃者に知られないこと)を前提としたセキュリティに頼っている。
- A9: 不十分なトランスポート層の保護
- A10: セキュアではないリダイレクトとフォワード
- 攻撃者が指定したURLにリダイレクトできるオープンリダイレクターの状態になっているなど。
詳細は下記の原本に当たって下さい。