【Web脆弱性最新ランキング】OWASP発表「危険性の高い脆弱性とは」

【OWASP 2021】警戒すべき「最新脆弱性ランキング」

セキュリティ向上を目的とする非営利財団、OWASP「Open Web Application Security Project（国際ウェブセキュリティ標準機構）」をご存知でしょうか。OWASPでは数年に一度、独自調査により「危険性が高いと判断された脆弱性」についてランキングが発表されます。先日2017年以来の発表がございましたのでチェックしてみましょう！

【2021 OWASP脆弱性ランキング】新たにランクインした脆弱性有！

OWASPの脆弱性ランキングは「危険性が高い脆弱性」であるのと同時に「最低限、対策が必要な脆弱性」でもあります。Webサイト・アプリのご担当者は要チェックの内容となります。

　

＜2021 OWASP脆弱性ランキング＞

#1「認証やセッション管理の不備」
「URL」「アプリの状態」「HTMLの変更」などによるアクセス制御の回避

#2「不適切な暗号化」
「平文での通信」「弱い暗号化アルゴリズム」「弱い暗号化キー」「証明書の有効確認の欠如」など

#3「インジェクション攻撃」
「SQLインジェクション」「OSコマンドインジェクション」「HTTPヘッダーインジェクション」「クロスサイトスクリプティング（XSS）」などの各種インジェクション攻撃

#4「安全でない設計」 ※NEW
セキュリティの向上ににつながらない、不十分な設計など

#5「不適切なセキュリティ設定」
「不要な機能の有効化」「デフォルトのままの設定」など

#6「脆弱性を含む古いコンポーネントの使用」
サポートが終了したコンポーネントや、バージョンが不明なコンポーネントの使用

#7「不適切な識別と認証」
「ブルートフォース攻撃への対策不足」「脆弱なパスワードの許可」「弱いパスワード復旧方法」など

#8「ソフトウェアとデータの整合の不備」 ※NEW
「安全でないでシリアライゼーション（データの変換処理）」「信頼性の低いソースからのデータ利用」など

#9「セキュリティのログ記録と監視の不備」
ログインなどに関するログが「ローカルにのみ保存されている」「監視が不十分」と言った状況など

#10「サーバー側のリクエスト偽造（SSRF）」※NEW
ユーザーが入力したURLを、検証なしにリクエストとして実行される
　
※NEWは前回2017年のレポートからの新出項目となります。

【OWASP対応】攻撃対策方法付き！脆弱性診断レポートをお届け

最新の脆弱性ランキングは如何でしたでしょうか。「自社のWebサーバー・アプリではどうだろうか？」と不安になられた方もいらっしゃると思います。弊社では、OWASPが指摘するサイバー攻撃に対する脆弱性を診断できる「Web脆弱性診断サービス」をご用意しております。

弊社「Web脆弱性診断サービス」では診断結果として「攻撃の再現手順」「原因と対策」が明記されたレポートをお届けします。下記お問合せフォームより「レポートのサンプル」をお申込みいただけます。