OWASP Top Ten 2013年版
»
Webアプリやサービスのセキュリティに関する様々な情報・ツールを提供する非営利団体であるOWASPが、2013年6月に、重大な10個の脅威のリスト (Top Ten Project)を更新しました。3年ごとにリストが更新されており、前回公開された2010年から、最近の動向を踏まえてリストの順番や項目が変更されています。公開から少し時間が経ってしまいましたが、2013年の脅威リストをご紹介します。
- A1: 挿入による攻撃
- A2: 認証とセッション管理の不備
- A3: クロスサイト・スクリプティング (XSS)
- A4: 安全でないオブジェクトの直接参照
- A5: 不適切なセキュリティ設定
- A6: 機密情報の露出
- A7: 機能レベルのアクセス制御の不備
- A8: クロスサイトリクエストフォージェリ (CSRF)
- A9: 既知の脆弱性を持つコンポーネントの使用
- A10: 検証されていないリダイレクトと転送
2010年のリストからの変更点は以下の通りです。
- 2010年にはA3だった「認証とセッション管理の不備」ですが、解決の難しさを踏まえ「クロスサイト・スクリプティング (XSS)」の順番を入れ替え。
- 2010年にはA5だったクロスサイトリクエストフォージェリ (CSRF)の順位を引き下げ。この脅威を減らすための開発者の取り組みが強化されたため。
- 2010年のリストに含まれていた、「URLに対するアクセス制限の失敗」を一般化し、「A7: 機能レベルのアクセス制御の不備」に更新。
- 2010年の2つの項目をマージし、「A6:機密情報の露出」に更新。
- 「A9: 既知の脆弱性を持つコンポーネントの使用」を新設。
近年の攻撃のトレンドや対策の普及度合いなどを踏まえ、細かな修正が入る一方で、本質的な脅威の項目はそれほど大きくは変わらないともいえます。例えば、リストのトップにある挿入による攻撃は、有名なSQL InjectionやOS, LDAPへの挿入攻撃など、昔から指摘され、様々な対策も講じられている脅威です。2004年のリストでは6番目、2007年で2番目, 2010年および2013年ではトップにリストされており、10年近く主要な脅威でありつつづけています。巧妙で高度な攻撃が増えている反面、設定の確認、最新パッチの適用、適切なツールの使用など、開発者側にできる基本的な対策を講じることが有効な既存の脅威もあるわけで、普段の地道な努力と情報収集が引き続き重要です。各項目に対する詳細は考えられる対策も含めて、ここに文書としてまとめられています。