OWASP Top 10 2013 RC1リリース&日本語訳(ちょっとだけ)

security

OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。

OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメントを募集しています。こちらまでお願いします。 OWASP-TopTen@lists.owasp.org
新規追加のものも名称を日本語に訳しましたが、もっと適切な言葉があれば教えて下さい。

OWASP Top 10 - 2013 RC1

  • A1 インジェクション攻撃(Injection)
  • A2 不完全な認証とセッション管理(Broken Authentication and Session Management)
  • A3 クロスサイト・スクリプティング(Cross-Site Scripting (XSS) )
  • A4 安全でないオブジェクトの直接参照(Insecure Direct Object References)
  • A5 セキュリティの不適切な設定(Security Misconfiguration)
  • A6 機密データの露出(Sensitive Data Exposure)
  • A7 機能レベルのアクセス制御の欠落(Missing Function Level Access Control )
  • A8 クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))
  • A9 既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)
  • A10 検証されていないリダイレクトとフォーワード(Unvalidated Redirects and Forwards)

詳細はRC1版を参照して下さい。

OWASP Top 10 - 2010 から何が変わったか

2013年版では主に下記の変更が加えられる予定です。

  1. 「不完全な認証とセッション管理(Broken Authentication and Session Management )」が拡がってきたので、A3からA2に上がりました。XSSがA3に。
  2. 「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))」がA5からA8に下がりました。開発者はCSRF脆弱性の数を減らすために努力しているようです。
  3. 「URLアクセス制限の不備(Failure to Restrict URL Access)」はもっと広い意味にして、A7の「機能レベルのアクセス制御の欠落(Missing Function Level Access Control )」としました。
  4. 2010のA7 安全でない暗号化によるデータ保存(Insecure Cryptographic Storage)とA9 不十分なトランスポート層の保護(Insufficient Transport Layer Protection)から新しいカテゴリ A6の「機密データの露出(Sensitive Data Exposure)」を作りました。
  5. 新しく A9の「既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)」を作りました。


OWASPは皆様に支えられています。参加をお待ちしています。