こちらより
OWASP Top Ten
Broken Access Control
保護しているはずのリソースにアクセスできてしまうこと。
認証済みユーザしかアクセスできないページに未認証ユーザでもアクセスできてしまう。
Cryptographic Failures
幅広い症状として、暗号技術に関する障害
ハードコードされたパスワードを使った通信
古い暗号アルゴリズムや弱い暗号プロトコルがデフォルトで使用されているかなど
Injection
XSS, SQL Injection など SQL 組み立てにユーザのリクエストデータがそのまま使われてしまう、エスケープができていない
Insecure Design
機密情報を含むエラーメッセージの生成など、設計や実装上の不備からなる脅威
新しいカテゴリなので結構重要そう、ほかのより範囲が広い。
セキュリティ活動にも触れている。
OWASP Software Assurance Maturity Model (SAMM) の活用を検討するといいらしい。
時間あれば来年見てみる
Security Misconfiguration
クラウドやアプリケーションの構成ミス 不要なものがインストールされている、サーバがセキュリティヘッダを送っていない、アカウントのパスワードがデフォのままなど
Vulnerable and Outdated Components
メンテナンスされていないコンポーネントに依存している、コンポーネントのスキャンを怠っていることが原因で発生する
Identification and Authentication Failures
セッション管理の不備(セッション識別子を再利用)、ブルートフォースアタックへの対策、脆弱なパスワードの使用許可など
Software and Data Integrity Failures
新しいカテゴリ
CI/CD パイプラインなどでビルドを行う際に信頼できないソースからモノを持ってくることで不整合が起こることを指している
完全性チェックを確認せずに利用してしまうこと
デジタル署名されたものなど、提供元の安全性をチェックする
Security Logging and Monitoring Failures
不十分なロギング、検知、監視、能動的な対応 ログイン、ログイン失敗、高価値のトランザクションなどの監査可能なイベントが記録できていない そもそもログが永続化されていない ユーザには見えるようになっていないこと
Server-Side Request Forgery
public server に対して攻撃コマンドなどを送り、そのサーバが利用する private server へアクセスしたり情報を抜く。
WAF やアプリケーションの対策が漏れていると危険