【OWASP 2021】警戒すべき「最新脆弱性ランキング」
セキュリティ向上を目的とする非営利財団、OWASP「Open Web Application Security Project(国際ウェブセキュリティ標準機構)」をご存知でしょうか。OWASPでは数年に一度、独自調査により「危険性が高いと判断された脆弱性」についてランキングが発表されます。先日2017年以来の発表がございましたのでチェックしてみましょう!
【2021 OWASP脆弱性ランキング】新たにランクインした脆弱性有!
OWASPの脆弱性ランキングは「危険性が高い脆弱性」であるのと同時に「最低限、対策が必要な脆弱性」でもあります。Webサイト・アプリのご担当者は要チェックの内容となります。
<2021 OWASP脆弱性ランキング>
#1「認証やセッション管理の不備」
「URL」「アプリの状態」「HTMLの変更」などによるアクセス制御の回避
#2「不適切な暗号化」
「平文での通信」「弱い暗号化アルゴリズム」「弱い暗号化キー」「証明書の有効確認の欠如」など
#3「インジェクション攻撃」
「SQLインジェクション」「OSコマンドインジェクション」「HTTPヘッダーインジェクション」「クロスサイトスクリプティング(XSS)」などの各種インジェクション攻撃
#4「安全でない設計」 ※NEW
セキュリティの向上ににつながらない、不十分な設計など
#5「不適切なセキュリティ設定」
「不要な機能の有効化」「デフォルトのままの設定」など
#6「脆弱性を含む古いコンポーネントの使用」
サポートが終了したコンポーネントや、バージョンが不明なコンポーネントの使用
#7「不適切な識別と認証」
「ブルートフォース攻撃への対策不足」「脆弱なパスワードの許可」「弱いパスワード復旧方法」など
#8「ソフトウェアとデータの整合の不備」 ※NEW
「安全でないでシリアライゼーション(データの変換処理)」「信頼性の低いソースからのデータ利用」など
#9「セキュリティのログ記録と監視の不備」
ログインなどに関するログが「ローカルにのみ保存されている」「監視が不十分」と言った状況など
#10「サーバー側のリクエスト偽造(SSRF)」※NEW
ユーザーが入力したURLを、検証なしにリクエストとして実行される
※NEWは前回2017年のレポートからの新出項目となります。
【OWASP対応】攻撃対策方法付き!脆弱性診断レポートをお届け
最新の脆弱性ランキングは如何でしたでしょうか。「自社のWebサーバー・アプリではどうだろうか?」と不安になられた方もいらっしゃると思います。弊社では、OWASPが指摘するサイバー攻撃に対する脆弱性を診断できる「Web脆弱性診断サービス」をご用意しております。
弊社「Web脆弱性診断サービス」では診断結果として「攻撃の再現手順」「原因と対策」が明記されたレポートをお届けします。下記お問合せフォームより「レポートのサンプル」をお申込みいただけます。
■お電話でのお問合せ
0120-061-044
■メールでのお問合せ
■その他セキュリティサービス
