OWASP Top 10 2013 RC1リリース&日本語訳(ちょっとだけ)
OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。
OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメントを募集しています。こちらまでお願いします。 OWASP-TopTen@lists.owasp.org
新規追加のものも名称を日本語に訳しましたが、もっと適切な言葉があれば教えて下さい。
OWASP Top 10 - 2013 RC1
- A1 インジェクション攻撃(Injection)
- A2 不完全な認証とセッション管理(Broken Authentication and Session Management)
- A3 クロスサイト・スクリプティング(Cross-Site Scripting (XSS) )
- A4 安全でないオブジェクトの直接参照(Insecure Direct Object References)
- A5 セキュリティの不適切な設定(Security Misconfiguration)
- A6 機密データの露出(Sensitive Data Exposure)
- A7 機能レベルのアクセス制御の欠落(Missing Function Level Access Control )
- A8 クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))
- A9 既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)
- A10 検証されていないリダイレクトとフォーワード(Unvalidated Redirects and Forwards)
詳細はRC1版を参照して下さい。
OWASP Top 10 - 2010 から何が変わったか
2013年版では主に下記の変更が加えられる予定です。
- 「不完全な認証とセッション管理(Broken Authentication and Session Management )」が拡がってきたので、A3からA2に上がりました。XSSがA3に。
- 「クロスサイト・リクエスト・フォージェリ(Cross-Site Request Forgery (CSRF))」がA5からA8に下がりました。開発者はCSRF脆弱性の数を減らすために努力しているようです。
- 「URLアクセス制限の不備(Failure to Restrict URL Access)」はもっと広い意味にして、A7の「機能レベルのアクセス制御の欠落(Missing Function Level Access Control )」としました。
- 2010のA7 安全でない暗号化によるデータ保存(Insecure Cryptographic Storage)とA9 不十分なトランスポート層の保護(Insufficient Transport Layer Protection)から新しいカテゴリ A6の「機密データの露出(Sensitive Data Exposure)」を作りました。
- 新しく A9の「既知の脆弱なコンポーネントの使用(Using Known Vulnerable Components)」を作りました。
OWASPは皆様に支えられています。参加をお待ちしています。