Slide 1
Slide 1 text
ウェブアプリの10大脆弱性を学べるOWASPが誇る最高の資料
OWASP Top10 2013
# 脆弱性 脅威の例
A1 インジェクション 攻撃者の悪意のあるデータにより、意図しないコマンドの実行や適切な権限のないデータアクセスをされる
A2 認証とセッション管理の不備 パスワードまたは鍵、セッショントークンを漏洩させたり、他の実装の不備を悪用してなりすましをされる
A3 クロスサイトスクリプティング
被害者のブラウザでスクリプトを実行し、ユーザセッションのハイジャックやウェブサイトの改竄、また悪意の
あるサイトにリダイレクトされる
A4 安全でないオブジェクト直接参照 オブジェクトの直接参照により、アクセス権限のないデータアクセスをされる
A5 セキュリティ設定のミス パスワードまたは鍵、セッショントークンを漏洩させたり、他の実装の不備を悪用してなりすましをされる
A6 機密データの露出 脆弱に保護されている機密データが窃取・改変され、クレジットカード詐欺や個人情報盗難などをされる
A7 機能レベルアクセス制御の欠落 リクエストを偽造して本来はアクセスできない狙った機能にアクセスをされる
A8 クロスサイトリクエストフォージェリ
ユーザからの正当なリクエストとして認識されるリクエストを被害者のブラウザに生成させることで被害者の
ブラウザから偽造されたHTTPリクエストを送信される
A9 既知の脆弱性を持つコンポーネントの使用 脆弱なコンポーネントを悪用されることで、深刻なデータ損失やサーバ則りまでに至る攻撃を実行される
A10 未検証のリダイレクトとフォーワード
フィッシングサイトやマルウェアサイトへリダイレクトされたり、フォワードで閲覧権限のない画面へアクセス
をされる
出典:https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf