OWASP Nagoya, profile picture
Uploaded byOWASP Nagoya
PDF, PPTX211 views

OWASP Top 10 - 2021 Overview

2022/04/15 OWASP Nagoya Chapter ミーティング 第25回 OWASP TOP 10概要

Embed presentation

Download as PDF, PPTX
OWASP Nagoya Chapter OWASP Nagoya Chapter meeting #25 April 15, 2022 OWASP Top 10 - 2021 Overview isanori.sakanashi@owasp.org shigeru.inoue@owasp.org
Welcome to the OWASP Top 10 - 2021 OWASP Top 10 の最新版へようこそ! グラフィックデザインもあたらしくなりました。
How to use the OWASP Top 10 as a standard • OWASP Top 10 は、主に「意識向上を目的」とした文書 • アプリケーションセキュリティの「リスク」 • 必ずしも簡単にテストできるものではない • このドキュメントは出発点であり、最低限コーディングまたはテスト標準と して使用するものである
OWASP Application Security Verification Standard アプリケーションセキュリティ標準を採用したい場合は、OWASPアプリケー ションセキュリティ検証標準(ASVS)を使用することをお勧めします。 検証およびテストできるように設計されており、安全な開発ライフサイクルの すべての部分で使用できます。 参考URL: https://owasp.org/www-project-application-security-verification-standard/ https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html How to use the OWASP Top 10 as a standard
2017 2013 2010 2007 2021 Top 10 History Released 2003, 2004, 2007, 2010, 2013, 2017, 2021
PDF・印刷物、各国語翻訳は現在進行中です September 24, 2021 release https://www.owasptopten.org/
What's changed in the Top 10 for 2021 3つの新しいカテゴリー、4つのカテゴリー名称とスコープの変更、統合されています。
List of Mapped CWEs • Top 10は アプリケーションセキュリティの「リスク」 • CWE(Common Weakness Enumeration)をマッピング CWE ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ https://www.ipa.go.jp/security/vuln/CWE.html
A01 アクセス制御の不備 A01:2021-Broken Access Control Rank Up 注目すべきCWE CWE-200:認証されていない動作主体への情報露出 CWE-201:送信データを通じた情報露出 CWE-352:クロスサイトリクエストフォージェリ 対応する CWE数:34 (CWEs Mapped) 許可されていない情報の公開、すべてのデータの変更または破壊、またはユーザ制 限から外れたビジネス機能の実行が引き起こされます。
A02:2021-Cryptographic Failures A02 暗号化の失敗 注目すべきCWE CWE-259:ハードコードされたパスワードの使用 CWE-327:不適切な暗号化アルゴリズム CWE-331:不十分なエントロピー 対応する CWE数:29 Rank Up 根本的な要因よりも、暗号化技術の不適切な使用、または暗号化の欠如に関連した 幅広い障害に焦点を当てています 平文通信をしない。HTTPやSMTP、FTPはインターネットでは危険 古いまたは危殆化した暗号アルゴリズムを初期設定で使っている デフォルトの暗号鍵の使用、弱い暗号化鍵を作成または再利用
A03:2021-Injection A03 インジェクション ユーザからの入力値に対してアプリケーションが検証、フィルタリングまたはサニタイ ズがされてない為に発生するデータの漏洩、攻撃がされます。 インジェクションの一般的なものとして以下のものがあります。 ● SQL, NoSQL ● OSコマンドインジェクション ● ORM、LDAP、式言語(EL:Expression Language)、OGNL クロスサイトスクリプティング(XSS)はインジェクション含めています。 注目すべきCWE CWE-79:クロスサイト・スクリプティング CWE-89:SQLインジェクション CWE-73:ファイル名やパス名の外部制御 対応する CWE数:33
A04:2021-Insecure Design A04 安全が確認されない不安な設計 NEW 安全でない設計は、さまざまな弱点を表す幅広いカテゴリであり、「制御設計の欠如 または効果がない」と表現されます。 安全な設計には、悪用される可能性のある脆 弱性につながる実装上の欠陥がまだ存在する可能性があります。 注目すべきCWE CWE-209: エラーメッセージからの情報漏洩 CWE-256: 保護されていない認証情報の保存 CWE-501: 信頼境界線の侵害および CWE-522: 適切に保護されていないクレデンシャル 対応する CWE数:40
A05:2021-Security Misconfiguration A05 セキュリティの設定ミス アプリケーションスタックの様々な箇所において適切な強化がされていない、もしくは クラウドサービス等のプラットフォームにおいて適切に構成されたアクセス設定がされ ないなどの設定ミスなどによりシステムのリスクがある。 注目すべきCWE CWE-16 設定の問題 CWE-611 外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題 対応する CWE数:20 Rank Up
A06:2021-Vulnerable and Outdated Components A06 脆弱で古くなったコンポーネント 使用されているコンポーネントバージョン不明、サポートされてないまたは古くなって いるため最新の脆弱性対策に対応していないなどの状態が発生した場合、攻撃対象 となるリスクが発生します。基盤となりプラットフォーム、フレームワークがパッチなど を適用しておらず最新の状態となってい場合も対象となります。 注目すべきCWE CWE-937 OWASP Top 10 2013 A9: 既知の脆弱性のあるコンポーネントの使用 CWE-1035 2017 Top 10 A9: 既知の脆弱性のあるコンポーネントの使用 CWE-1104 メンテナンスされていないサードパーティー製コンポーネントの使用 対応する CWE数:3 Rank Up
A07:2021-Identification and Authentication Failures A07 識別と認証の失敗 認証関連の攻撃から保護するには、ユーザーのID、認証、およびセッション管理の確 認が重要です。アプリケーションが次の場合、認証の弱点がある可能性があります。 パスワードリストによる攻撃、パスワードがデフォルトのまま、脆弱なパスワードなど があげられます。HTTPでのパスワード入力、弱いハッシュなども一例です。また、多 要素認証、URLでのセッション識別子が公開されている。 注目すべきCWE CWE-297:ホストの不一致による証明書の不適切な検証 CWE-287:不適切な認証 CWE-384:セッションの固定化 対応する CWE数:22
A08:2021-Software and Data Integrity Failures A08 ソフトウェアとデータの整合性の不具合 NEW ソフトウェアとデータの整合性の障害は、整合性違反から保護しないコードとインフラ ストラクチャに関連しています。安全でないCI/CDパイプラインは、不正アクセス、悪 意のあるコード、またはシステムの侵害の可能性をもたらす可能性があります。オブ ジェクトまたはデータがエンコードまたはシリアル化されて、攻撃者が確認および変更 できる構造になり、安全でない逆シリアル化に対して脆弱である場合です。 注目すべきCWE CWE-829: 信頼できない制御領域からの機能の組み込み CWE-494: ダウンロードしたコードの完全性検証不備 CWE-502: 信頼できないデータのデシリアライゼーション 対応する CWE数:10
A09:2021-Security Logging and Monitoring Failures A09 セキュリティログとモニタリングの失敗 このカテゴリは、アクティブな違反の検出、エスカレーション、および対応を支援するも のです。 ロギングとモニタリングがなければ、侵害を検知することはできません。 ロ ギングや検知、モニタリング、適時の対応が十分に行われないという状況は、いつで も発生します。 ユーザまたは攻撃者がログやアラートのイベントを閲覧できると、情報の漏えいが発 生する可能性があります 注目すべきCWE CWE-223 セキュリティに関連する情報の省略 CWE-532 ログファイルからの情報漏洩 CWE-778 ロギングの不足 対応する CWE数:4 Rank Up
A10:2021-Server-Side Request Forgery A10 サーバーサイド・リクエスト・フォージェリ NEW SSRFの欠陥は、Webアプリケーション上からリモートのリソースを取得する際に、 ユーザーから提供されたURLを検証せずに使用することで発生します。 ファイア ウォールやVPNあるいはその他の種類のネットワークACLによってアプリケーション が保護されている場合であっても、SSRFによりアプリケーションに対して意図しない 宛先へ細工されたリクエストを強制的に発行させることができます。 モダンなアプリケーションではエンドユーザーに便利な機能を提供するようになり、ア プリケーション側でURLを取得することは珍しい状況ではなくなりました。 そのため SSRFの発生が増加しています。 またSSRFの深刻度も、クラウドサービスやアーキ テクチャの複雑性を背景として、段々と大きくなりつつあります。 注目すべきCWE CWE-918 Server-Side Request Forgery (SSRF) 対応する CWE数:1
参考)過去の推移(2003-2010)
参考)過去の推移(2010-2021)
A11:2021 – Next Steps Top10に掲載されなかった「ぎりぎり境界線」のリスク • ソースコードの品質にかかわる問題 • サービス拒否攻撃(DoS) • Memory Management Errors
https://owasp.org/Top10/ Please bookmark

More Related Content

PDF
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
PPTX
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
PPTX
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
PPTX
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
PPTX
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
PPTX
OWASP Top 10 超初級編
byAkitadaOmagari
 
PDF
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
PDF
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
introduction to OWASP's documentation 20250607
byOWASP Nagoya
 
20180601 OWASP Top 10 2017の読み方
byOWASP Nagoya
 
SOSAISEC LT 201701 シフトレフトでセキュリティイニシアチブを取り返そう
byRiotaro OKADA
 
今だからこそ振り返ろう!OWASP Top 10
byDaiki Ichinose
 
OWASP Top 10 - 2013 を起点にして
byChia-Lung Hsieh
 
OWASP Top 10 超初級編
byAkitadaOmagari
 
OWASP_Top_10_2017_A3機微な情報の露出
byoshiro_seiya
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 

Similar to OWASP Top 10 - 2021 Overview

PDF
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
PPTX
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
PPTX
Owasp top10 HandsOn
bymasafumi masutani
 
PDF
The Shift Left Path and OWASP
byRiotaro OKADA
 
PDF
20170909 第13回名古屋情報セキュリティ勉強会 LT
byOWASP Nagoya
 
PDF
Security issue201312
byRiotaro OKADA
 
PPTX
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
PDF
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
PDF
Privacy by Design with OWASP
byRiotaro OKADA
 
PDF
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
PDF
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
PDF
OWASP Projects
byTakanori Nakanowatari
 
PDF
OWASP Top 10 超初級編 (2021 Ver.)
byAkitadaOmagari
 
PDF
OWASPTop10_Introduction
byRakuten Group, Inc.
 
PDF
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
PPTX
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
PPTX
20190124 waf
byServerworks Co.,Ltd.
 
PDF
Owasp Project を使ってみた
byAkitsugu Ito
 
PDF
OWASP TOP10 A01:2021 – アクセス制御の不備
byOWASP Nagoya
 
PPTX
Reinforce2021 recap session2
byShogo Matsumoto
 
OWASP ASVS Project review 2.0 and 3.0
byRiotaro OKADA
 
OWASP Top 10 2017 RC1について
byDaiki Ichinose
 
Owasp top10 HandsOn
bymasafumi masutani
 
The Shift Left Path and OWASP
byRiotaro OKADA
 
20170909 第13回名古屋情報セキュリティ勉強会 LT
byOWASP Nagoya
 
Security issue201312
byRiotaro OKADA
 
OWASPのドキュメントやツールを知ろう
byYuichi Hattori
 
ビルトイン・セキュリティのススメ Dev Days 2015 Tokyo - Riotaro OKADA
byRiotaro OKADA
 
Privacy by Design with OWASP
byRiotaro OKADA
 
アプリ開発者に大きな影響 2017年版OWASP TOP 10
byYasuo Ohgaki
 
OWASP ASVS と Cheat Sheet シリーズ (日本語版) のご紹介 (OSC2016Hokkaido)
byJPCERT Coordination Center
 
OWASP Projects
byTakanori Nakanowatari
 
OWASP Top 10 超初級編 (2021 Ver.)
byAkitadaOmagari
 
OWASPTop10_Introduction
byRakuten Group, Inc.
 
IoT Security を実現する3つの視点とShift Left
byRiotaro OKADA
 
オワスプナイト20150115 dependency check
byHiroaki Kuramochi
 
20190124 waf
byServerworks Co.,Ltd.
 
Owasp Project を使ってみた
byAkitsugu Ito
 
OWASP TOP10 A01:2021 – アクセス制御の不備
byOWASP Nagoya
 
Reinforce2021 recap session2
byShogo Matsumoto
 

More from OWASP Nagoya

PDF
20251122_OWASPNagoya_takei_ITU-T,X.1060,security
byOWASP Nagoya
 
PDF
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
PDF
(A7)cross site scripting
byOWASP Nagoya
 
PDF
#24 prepare for_hands-on
byOWASP Nagoya
 
PDF
(A2)broken authentication
byOWASP Nagoya
 
PDF
Developer tools
byOWASP Nagoya
 
PDF
#23 prepare for_hands-on
byOWASP Nagoya
 
PDF
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
byOWASP Nagoya
 
PDF
Rethinking car security based on autonomous driving and advanced driving support
byOWASP Nagoya
 
PDF
Owasp top10 2017 a4 xxe
byOWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_3
byOWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_2
byOWASP Nagoya
 
PDF
OWASP Nagoya_WordPress_Handson_1
byOWASP Nagoya
 
PDF
20190208 脆弱性と共生するには
byOWASP Nagoya
 
PPTX
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
byOWASP Nagoya
 
PDF
WPSCanによるWordPressの脆弱性スキャン
byOWASP Nagoya
 
PDF
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
byOWASP Nagoya
 
PDF
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
byOWASP Nagoya
 
20251122_OWASPNagoya_takei_ITU-T,X.1060,security
byOWASP Nagoya
 
OWASP ASVS5.0 overview 20240607_owaspnagoya
byOWASP Nagoya
 
(A7)cross site scripting
byOWASP Nagoya
 
#24 prepare for_hands-on
byOWASP Nagoya
 
(A2)broken authentication
byOWASP Nagoya
 
Developer tools
byOWASP Nagoya
 
#23 prepare for_hands-on
byOWASP Nagoya
 
OWASP ISVS を使って IoT エコシステムのセキュリティについて考えてみよう
byOWASP Nagoya
 
Rethinking car security based on autonomous driving and advanced driving support
byOWASP Nagoya
 
Owasp top10 2017 a4 xxe
byOWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_3
byOWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_2
byOWASP Nagoya
 
OWASP Nagoya_WordPress_Handson_1
byOWASP Nagoya
 
20190208 脆弱性と共生するには
byOWASP Nagoya
 
20181117-一般的な脆弱性の概要・対策を知り、ZAPで見つけてみよう!
byOWASP Nagoya
 
WPSCanによるWordPressの脆弱性スキャン
byOWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築ハンズオン手順書)
byOWASP Nagoya
 
OWASP WordPressセキュリティ実装ガイドライン (セキュアなWordPressの構築)
byOWASP Nagoya
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 

OWASP Top 10 - 2021 Overview

  • 1.
    OWASP Nagoya Chapter OWASPNagoya Chapter meeting #25 April 15, 2022 OWASP Top 10 - 2021 Overview isanori.sakanashi@owasp.org shigeru.inoue@owasp.org
  • 2.
    Welcome to theOWASP Top 10 - 2021 OWASP Top 10 の最新版へようこそ! グラフィックデザインもあたらしくなりました。
  • 3.
    How to usethe OWASP Top 10 as a standard • OWASP Top 10 は、主に「意識向上を目的」とした文書 • アプリケーションセキュリティの「リスク」 • 必ずしも簡単にテストできるものではない • このドキュメントは出発点であり、最低限コーディングまたはテスト標準と して使用するものである
  • 4.
    OWASP Application SecurityVerification Standard アプリケーションセキュリティ標準を採用したい場合は、OWASPアプリケー ションセキュリティ検証標準(ASVS)を使用することをお勧めします。 検証およびテストできるように設計されており、安全な開発ライフサイクルの すべての部分で使用できます。 参考URL: https://owasp.org/www-project-application-security-verification-standard/ https://www.jpcert.or.jp/securecoding/materials-owaspasvs.html How to use the OWASP Top 10 as a standard
  • 5.
  • 6.
  • 7.
    What's changed inthe Top 10 for 2021 3つの新しいカテゴリー、4つのカテゴリー名称とスコープの変更、統合されています。
  • 8.
    List of MappedCWEs • Top 10は アプリケーションセキュリティの「リスク」 • CWE(Common Weakness Enumeration)をマッピング CWE ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ https://www.ipa.go.jp/security/vuln/CWE.html
  • 9.
    A01 アクセス制御の不備 A01:2021-Broken AccessControl Rank Up 注目すべきCWE CWE-200:認証されていない動作主体への情報露出 CWE-201:送信データを通じた情報露出 CWE-352:クロスサイトリクエストフォージェリ 対応する CWE数:34 (CWEs Mapped) 許可されていない情報の公開、すべてのデータの変更または破壊、またはユーザ制 限から外れたビジネス機能の実行が引き起こされます。
  • 10.
    A02:2021-Cryptographic Failures A02 暗号化の失敗 注目すべきCWE CWE-259:ハードコードされたパスワードの使用 CWE-327:不適切な暗号化アルゴリズム CWE-331:不十分なエントロピー 対応するCWE数:29 Rank Up 根本的な要因よりも、暗号化技術の不適切な使用、または暗号化の欠如に関連した 幅広い障害に焦点を当てています 平文通信をしない。HTTPやSMTP、FTPはインターネットでは危険 古いまたは危殆化した暗号アルゴリズムを初期設定で使っている デフォルトの暗号鍵の使用、弱い暗号化鍵を作成または再利用
  • 11.
    A03:2021-Injection A03 インジェクション ユーザからの入力値に対してアプリケーションが検証、フィルタリングまたはサニタイ ズがされてない為に発生するデータの漏洩、攻撃がされます。 インジェクションの一般的なものとして以下のものがあります。 ● SQL,NoSQL ● OSコマンドインジェクション ● ORM、LDAP、式言語(EL:Expression Language)、OGNL クロスサイトスクリプティング(XSS)はインジェクション含めています。 注目すべきCWE CWE-79:クロスサイト・スクリプティング CWE-89:SQLインジェクション CWE-73:ファイル名やパス名の外部制御 対応する CWE数:33
  • 12.
    A04:2021-Insecure Design A04 安全が確認されない不安な設計 NEW 安全でない設計は、さまざまな弱点を表す幅広いカテゴリであり、「制御設計の欠如 または効果がない」と表現されます。安全な設計には、悪用される可能性のある脆 弱性につながる実装上の欠陥がまだ存在する可能性があります。 注目すべきCWE CWE-209: エラーメッセージからの情報漏洩 CWE-256: 保護されていない認証情報の保存 CWE-501: 信頼境界線の侵害および CWE-522: 適切に保護されていないクレデンシャル 対応する CWE数:40
  • 13.
  • 14.
    A06:2021-Vulnerable and OutdatedComponents A06 脆弱で古くなったコンポーネント 使用されているコンポーネントバージョン不明、サポートされてないまたは古くなって いるため最新の脆弱性対策に対応していないなどの状態が発生した場合、攻撃対象 となるリスクが発生します。基盤となりプラットフォーム、フレームワークがパッチなど を適用しておらず最新の状態となってい場合も対象となります。 注目すべきCWE CWE-937 OWASP Top 10 2013 A9: 既知の脆弱性のあるコンポーネントの使用 CWE-1035 2017 Top 10 A9: 既知の脆弱性のあるコンポーネントの使用 CWE-1104 メンテナンスされていないサードパーティー製コンポーネントの使用 対応する CWE数:3 Rank Up
  • 15.
    A07:2021-Identification and AuthenticationFailures A07 識別と認証の失敗 認証関連の攻撃から保護するには、ユーザーのID、認証、およびセッション管理の確 認が重要です。アプリケーションが次の場合、認証の弱点がある可能性があります。 パスワードリストによる攻撃、パスワードがデフォルトのまま、脆弱なパスワードなど があげられます。HTTPでのパスワード入力、弱いハッシュなども一例です。また、多 要素認証、URLでのセッション識別子が公開されている。 注目すべきCWE CWE-297:ホストの不一致による証明書の不適切な検証 CWE-287:不適切な認証 CWE-384:セッションの固定化 対応する CWE数:22
  • 16.
    A08:2021-Software and DataIntegrity Failures A08 ソフトウェアとデータの整合性の不具合 NEW ソフトウェアとデータの整合性の障害は、整合性違反から保護しないコードとインフラ ストラクチャに関連しています。安全でないCI/CDパイプラインは、不正アクセス、悪 意のあるコード、またはシステムの侵害の可能性をもたらす可能性があります。オブ ジェクトまたはデータがエンコードまたはシリアル化されて、攻撃者が確認および変更 できる構造になり、安全でない逆シリアル化に対して脆弱である場合です。 注目すべきCWE CWE-829: 信頼できない制御領域からの機能の組み込み CWE-494: ダウンロードしたコードの完全性検証不備 CWE-502: 信頼できないデータのデシリアライゼーション 対応する CWE数:10
  • 17.
    A09:2021-Security Logging andMonitoring Failures A09 セキュリティログとモニタリングの失敗 このカテゴリは、アクティブな違反の検出、エスカレーション、および対応を支援するも のです。 ロギングとモニタリングがなければ、侵害を検知することはできません。 ロ ギングや検知、モニタリング、適時の対応が十分に行われないという状況は、いつで も発生します。 ユーザまたは攻撃者がログやアラートのイベントを閲覧できると、情報の漏えいが発 生する可能性があります 注目すべきCWE CWE-223 セキュリティに関連する情報の省略 CWE-532 ログファイルからの情報漏洩 CWE-778 ロギングの不足 対応する CWE数:4 Rank Up
  • 18.
    A10:2021-Server-Side Request Forgery A10サーバーサイド・リクエスト・フォージェリ NEW SSRFの欠陥は、Webアプリケーション上からリモートのリソースを取得する際に、 ユーザーから提供されたURLを検証せずに使用することで発生します。 ファイア ウォールやVPNあるいはその他の種類のネットワークACLによってアプリケーション が保護されている場合であっても、SSRFによりアプリケーションに対して意図しない 宛先へ細工されたリクエストを強制的に発行させることができます。 モダンなアプリケーションではエンドユーザーに便利な機能を提供するようになり、ア プリケーション側でURLを取得することは珍しい状況ではなくなりました。 そのため SSRFの発生が増加しています。 またSSRFの深刻度も、クラウドサービスやアーキ テクチャの複雑性を背景として、段々と大きくなりつつあります。 注目すべきCWE CWE-918 Server-Side Request Forgery (SSRF) 対応する CWE数:1
  • 19.
  • 20.
  • 21.
    A11:2021 – NextSteps Top10に掲載されなかった「ぎりぎり境界線」のリスク • ソースコードの品質にかかわる問題 • サービス拒否攻撃(DoS) • Memory Management Errors
  • 22.