【Web脆弱性 最新ランキング】OWASP発表「危険性の高い脆弱性とは」

【OWASP 2021】警戒すべき「最新脆弱性ランキング」

SECURITY_main.png

セキュリティ向上を目的とする非営利財団、OWASP「Open Web Application Security Project(国際ウェブセキュリティ標準機構)」をご存知でしょうか。OWASPでは数年に一度、独自調査により「危険性が高いと判断された脆弱性」についてランキングが発表されます。先日2017年以来の発表がございましたのでチェックしてみましょう!

 

【2021 OWASP脆弱性ランキング】新たにランクインした脆弱性有!


OWASPの脆弱性ランキングは「危険性が高い脆弱性」であるのと同時に「最低限、対策が必要な脆弱性」でもあります。Webサイト・アプリのご担当者は要チェックの内容となります。

 

<2021 OWASP脆弱性ランキング>

 

#1「認証やセッション管理の不備」
「URL」「アプリの状態」「HTMLの変更」などによるアクセス制御の回避

#2「不適切な暗号化」
「平文での通信」「弱い暗号化アルゴリズム」「弱い暗号化キー」「証明書の有効確認の欠如」など

#3「インジェクション攻撃」
「SQLインジェクション」「OSコマンドインジェクション」「HTTPヘッダーインジェクション」「クロスサイトスクリプティング(XSS)」などの各種インジェクション攻撃

#4「安全でない設計」 ※NEW
セキュリティの向上ににつながらない、不十分な設計など

#5「不適切なセキュリティ設定」
「不要な機能の有効化」「デフォルトのままの設定」など

#6「脆弱性を含む古いコンポーネントの使用」
サポートが終了したコンポーネントや、バージョンが不明なコンポーネントの使用

#7「不適切な識別と認証」
「ブルートフォース攻撃への対策不足」「脆弱なパスワードの許可」「弱いパスワード復旧方法」など

#8「ソフトウェアとデータの整合の不備」 ※NEW
「安全でないでシリアライゼーション(データの変換処理)」「信頼性の低いソースからのデータ利用」など

#9「セキュリティのログ記録と監視の不備」
ログインなどに関するログが「ローカルにのみ保存されている」「監視が不十分」と言った状況など

#10「サーバー側のリクエスト偽造(SSRF)」※NEW
ユーザーが入力したURLを、検証なしにリクエストとして実行される
 
※NEWは前回2017年のレポートからの新出項目となります。

 

【OWASP対応】攻撃対策方法付き!脆弱性診断レポートをお届け


最新の脆弱性ランキングは如何でしたでしょうか。「自社のWebサーバー・アプリではどうだろうか?」と不安になられた方もいらっしゃると思います。弊社では、OWASPが指摘するサイバー攻撃に対する脆弱性を診断できる「Web脆弱性診断サービス」をご用意しております。

弊社「Web脆弱性診断サービス」では診断結果として「攻撃の再現手順」「原因と対策」が明記されたレポートをお届けします。下記お問合せフォームより「レポートのサンプル」をお申込みいただけます。

サンプルを見る.png

 

 

 

security_service.png

 

■お電話でのお問合せ

0120-061-044

■メールでのお問合せ

insidesales@psc-inc.co.jp

■その他セキュリティサービス

https://www.psc-securities.com/

関連トピックス

【WAF選定基準】IPA発表「2022セキュリティ10大脅威」

【WAF選定基準】IPA発表「2022セキュリティ10大脅威」

2022.08.04

中小企業向け【Windowsを守る】Microsoft「Defender for Business」

中小企業向け【Windowsを守る】Microsoft「Defend...

2022.06.30

【新手フィッシング詐欺】思い込みを逆手に取った手口

【新手フィッシング詐欺】思い込みを逆手に取った手口

2022.06.02