2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10 - うさぎ文学日記(情報元のブックマーク数)
あとで読む。OWASPの2010年のTOP 10が出ています。
OWASP Top 10 for 2010 日本語
少しだけ日本語に訳して、補足説明を付けてみました2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10 - うさぎ文学日記
- A1: インジェクション
- SQLインジェクションやOS、LDAPインジェクションなど
- A2: クロスサイトスクリプティング (XSS)
- A3: 不完全な認証とセッション管理
- 認証とセッション管理に関連した機能が適切に実装されていない。
- A4: セキュアではないオブジェクトの直接参照
- アクセス制御などがないため、本来見えないはずのファイルやデータベースなどに直接アクセス可能な状態
- A5: クロスサイトリクエストフォージェリ (CSRF)
- A6: セキュリティ設定の間違い
- アプリケーションやフレームワーク、各種サーバーに適切なセキュリティの設定が施されていない。また最新版が維持されていない。
- A7: セキュアではない暗号ストレージ
- 適切な暗号化やハッシュを使っていないためクレジットカード番号などの機密情報が守られていない。
- A8: URLアクセス制限の不備
- 本来アクセス制限されていて見えないはずのページがURLを指定することで見えてしまう。またURLを隠すこと(攻撃者に知られないこと)を前提としたセキュリティに頼っている。
- A9: 不十分なトランスポート層の保護
- A10: セキュアではないリダイレクトとフォワード
- 攻撃者が指定したURLにリダイレクトできるオープンリダイレクターの状態になっているなど。