OWASP Top 10Open Web Application Security Project Top 10
OWASP Top 10 は、Webアプリケーションの最重要セキュリティリスクを4年ごとに集計するOWASPの代表的ドキュメントで、業界標準のチェックリストとして利用されます。
詳細解説
OWASP Top 10 は、非営利団体 OWASP (Open Web Application Security Project) が世界中の脆弱性データを集計して4年ごとに発表する、Webアプリで最も重大な10カテゴリのリスクリストです。最新の2021年版では A01:Broken Access Control / A02:Cryptographic Failures / A03:Injection / A04:Insecure Design / A05:Security Misconfiguration / A06:Vulnerable Components / A07:Authentication Failures / A08:Software and Data Integrity Failures / A09:Logging Failures / A10:SSRF が並び、PCI DSS 等の各種コンプライアンスでも引用される事実上の業界標準です。OWASP API Security Top 10 や OWASP Mobile Top 10 等の派生もあります。各項目には豊富な対策チートシートが付属し、開発者教育の教材としても定番です。
実装例 / 使い方
- 01A01: Broken Access Control が4回連続で1位
- 02A03: Injection に SQLi/XSS/コマンドインジェクションを統合
- 03PCI DSS の必須要件として OWASP Top 10 をカバー
参考・出典
関連する用語
XSS
Cross-Site ScriptingXSS (Cross-Site Scripting) は、悪意あるスクリプトをWebページに埋め込み他ユーザーのブラウザで実行させる攻撃で、Reflected・...
SQL インジェクション
SQL Injection / SQLiSQL インジェクションは、ユーザー入力をSQL文字列に連結することでデータベースに不正なクエリを実行させる攻撃で、対策はプリペアドステートメント (パラメータ...
CSRF
Cross-Site Request ForgeryCSRF (Cross-Site Request Forgery) は、ログイン中のユーザーのCookieを悪用し意図しない操作を実行させる攻撃で、対策にはCS...
WAF
Web Application FirewallWAF (Web Application Firewall) は、Webアプリ層の脅威 (SQLi・XSS・LFI 等) をシグネチャや機械学習で検知・遮断する...
OWASP Top 10を、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信