OWASP Top10 を用いた脆弱性診断のメモ

OWASP Top10とは

主要な脆弱性10種類を説明 * 影響 * 確認 * 攻撃 * シナリオの例 * 防止方法 * 参考資料

OWASP Top10を準用

  • PCI DSS
  • MITRE
    • CWE
    • CVE
  • DISA
  • FTC

OWASP Top10 2013

  1. インジェクション
  2. 認証とセッション管理の不備
  3. クロスサイトスクリプティング
  4. 安全でないオブジェクト参照
  5. セキュリティ設定のミス
  6. 機密データの露出
  7. 機能レベルアクセス制御の欠落
  8. クロスサイトリクエストフォージェリ
  9. 認知の脆弱性を持つコンポーネントの仕様
  10. . 未検証のリダイレクトとフォワード

Owasp Top10 Proactive Controls

上ので列挙した脆弱性を作り込まないようにする対策
1. 早期に、繰り返しセキュリティを検証する 2. クエリーをパラメータ化 3. データのエンコーディング 4. すべての入力値を検証する 5. アイデンティティと認証管理の実装 6. 適切なアクセス制御の実装 7. データの保護 8. ロギングと侵入検知の実装 9. セキュリティフレームワークとライブラリの活用 10. エラー処理ーと例外処理

OWASP Top10 × Proactive Controls

Top10とProactive Controlsの組み合わせ

脆弱性とリスク

脆弱性とは

  • プログラムや設定上の問題に行きするセキュリティ上の(弱点) by IPA
  • リスクを把握して、危険なものは直す。

アプリケーションのセキュリティリスク

  1. 脅威
  2. 攻撃
  3. 弱点
  4. セキュリティ制御の突破
  5. 技術的影響
  6. ビジネスへの影響

脆弱性への対応