OWASP Top Ten

Globally recognized by developers as the first step towards more secure coding.

  • EN:https://owasp.org/Top10/
  • JP:https://owasp.org/Top10/ja/
  • CN:https://owasp.org/Top10/zh_CN/

file

引用)http://www.bilibili.com/video/av809069915

Latest Top10(2021)

Risk Description
A01-Broken Access Control</br></br>权限控制失效</br></br>アクセス制御の不備 94%のアプリで何らかのアクセス制御の不備が確認され、平均発生率3.81%で31.8万を超えるデータセットの中で最も多く発生した。 CWE-200:認証されていない動作主体への情報露出、 CWE-201:送信データを通じた情報露出、そしてCWE-352:クロスサイトリクエストフォージェリなどの共通脆弱性列挙を注目すべき。
A02-Cryptographic Failures</br></br>加密机制失效</br></br>暗号化の失敗 暗号化技術の不適切な使用、または暗号化の欠如に関連した幅広い障害に焦点を当てている。こうした障害は、時に機微な情報の露出を結果としてもたらす。 CWE-259:ハードコードされたパスワードの使用、CWE-327:不適切な暗号化アルゴリズム、CWE-331:不十分なエントロピーなどを注目すべき。
A03-Injection</br></br>注入式攻击</br></br>インジェクション 94%のアプリで、何らかのインジェクションに関する問題が確認されており、最大発生率は19%、平均発生率は3%、そして発生件数は27万4千件だった。CWE-79:クロスサイト・スクリプティング、 CWE-89:SQLインジェクション、そしてCWE-73:ファイル名やパス名の外部制御などを注目すべき。
A04-Insecure Design</br></br>不安全设计</br></br>安全が確認されない不安な設計 2021年の新カテゴリーでは、設計やアーキテクチャの欠陥に関するリスクに焦点を当てている。 脅威のモデル化、セキュアなデザインパターンおよび、リファレンスアーキテクチャなどをもっと利用していくことが必要。 コーディングスペースでの「shift-left」を超え、Secure by Designの原則に不可欠なプレコーディング活動に移行する必要がある。CWE-209: エラーメッセージからの情報漏洩、CWE-256: 保護されていない認証情報の保存、CWE-501: 信頼境界線の侵害および、CWE-522: 適切に保護されていないクレデンシャルなどを注目すべき。
A05-Security Misconfiguration</br></br>安全设定缺陷</br></br>セキュリティの設定ミス アプリの 90 %には何らかの設定ミスが確認され、平均発生率は 4 %であり、20 万 8 千以上のCWEが発生していた。 高度な設定が可能なSWへの移行が進む中で、順位が上がったことは当然。CWE-16 設定の問題 と CWE-611 外部に置かれたファイルを呼び出す XXE (Xml eXternal Entity) 問題などを注目すべき。
A06-Vulnerable and Outdated Components</br></br>危险或过旧的组件</br></br>脆弱で古くなったコンポーネント 脆弱なコンポーネントは、テストやリスク評価に苦労する問題として知られており、含まれるCWEにマッピングされたCWEがない唯一のカテゴリー。 このため標準の攻撃の難易度および、攻撃による影響のウェイトは5.0を使用している 。CWE-1104 メンテナンスされていないサードパーティー製コンポーネントの使用などを注目すべき。
A07-Identification and Authentication Failures </br></br>认证及验证机制失效</br></br>識別と認証の失敗 これまでの版では認証の不備として知られていたもので、識別の失敗に関するいくつかのCWEを含めている。CWE-297:ホストの不一致による証明書の不適切な検証、CWE-287:不適切な認証、CWE-384:セッションの固定化などを考慮すべき。
A08-Software and Data Integrity Failures</br></br>软件及资料完整性失效</br></br>ソフトウェアとデータの整合性の不具合 2021年に新設されたカテゴリーで、SWの更新、重要なデータを、CI/CDにおいて整合性を検証せずに見込みで進めることによる問題にフォーカスしている。 CVE/CVSS)のデータから最も重大な影響を受けたものの1つ。 CWE-829: 信頼できない制御領域からの機能の組み込み、CWE-494: ダウンロードしたコードの完全性検証不備、そしてCWE-502: 信頼できないデータのデシリアライゼーションなとに注目すべき。
A9-Security Logging and Monitoring Failures</br></br>安全记录及监控失效</br></br>セキュリティログとモニタリングの失敗 ロギングとモニタリングはテストが難しく、インタビューやペンテストで攻撃が検出されたかどうかを確認することがよくある。 このカテゴリの CVE/CVSS データはあまりないが、侵害を検知して対応することは重要。CWE-778 ロギングの不足だけでなく、CWE-117 ログファイルへの不適切な出力、CWE-223 セキュリティに関連する情報の省略、CWE-532 ログファイルからの情報漏洩などがある
A10-Server-Side Request Forgery</br></br>服务器端请求伪造 </br></br>サーバーサイドリクエストフォージェリ 問題の発生率は比較的低いものの、問題が起きた場合のエクスプロイトとインパクトは平均以上のものとなり得る。注意と認識を上げるために単一または小さなCWEの集合であることが多く、注目を集めることで将来のバージョンにてより大きなカテゴリに集約されるよう期待されている。