Webセキュリティのチートシート/ ToDoリスト

常に存在します OWASPトップ10 Web脆弱性リスト

OWASPのレポートからのそれぞれの簡単な要約：

1. Injection-SQL、OS、LDAPインジェクションなどのインジェクションの欠陥は、信頼できないデータがコマンドまたはクエリの一部としてインタープリターに送信されるときに発生します。攻撃者の敵対的なデータは、インタプリタを騙して意図しないコマンドを実行させたり、不正なデータにアクセスさせたりする可能性があります。

2. クロスサイトスクリプティング-アプリケーションが信頼できないデータを取得し、適切な検証とエスケープなしにWebブラウザーに送信すると、XSSの欠陥が発生します。 XSSを使用すると、攻撃者は被害者のブラウザでスクリプトを実行し、ユーザーセッションを乗っ取りたり、Webサイトを改ざんしたり、ユーザーを悪意のあるサイトにリダイレクトしたりできます。

3. 壊れた認証とセッション管理-多くの場合、認証とセッション管理に関連するアプリケーション機能が正しく実装されておらず、攻撃者がパスワード、キー、セッショントークン、または他の実装の欠陥を悪用して、他のユーザーのIDを引き継ぐ。

4. 安全でない直接オブジェクト参照-直接オブジェクト参照は、開発者がファイル、ディレクトリ、データベースキーなどの内部実装オブジェクトへの参照を公開するときに発生します。アクセス制御チェックやその他の保護がなければ、攻撃者はこれらの参照を操作して不正なデータにアクセスできます。

5. Cross-Site Request Forgery（CSRF）-CSRF攻撃は、ログオンしている被害者のブラウザに、被害者のセッションCookieおよびその他の自動的に含まれる認証情報は、脆弱なWebアプリケーションに送信されます。これにより、攻撃者は被害者のブラウザに、脆弱なアプリケーションが被害者からの正当なリクエストであると考えるリクエストを生成させることができます。

6. セキュリティの誤った構成-優れたセキュリティには、アプリケーション、フレームワーク、アプリケーションサーバー、Webサーバー、データベースサーバー、およびプラットフォーム用に安全な構成を定義して展開する必要があります。これらの設定の多くは、安全なデフォルトで出荷されていないため、定義、実装、および保守する必要があります。これには、アプリケーションで使用されるすべてのコードライブラリを含め、すべてのソフトウェアを最新の状態に保つことが含まれます。

7. 安全でない暗号化ストレージ-多くのWebアプリケーションは、適切な暗号化またはハッシュを使用して、クレジットカード、SSN、認証資格情報などの機密データを適切に保護しません。攻撃者は、そのような弱く保護されたデータを盗んだり変更したりして、個人情報の盗難、クレジットカード詐欺、またはその他の犯罪を行う可能性があります。

8. URLアクセスの制限に失敗しました-多くのWebアプリケーションは、保護されたリンクとボタンをレンダリングする前にURLアクセス権をチェックします。ただし、アプリケーションはこれらのページにアクセスするたびに同様のアクセス制御チェックを実行する必要があります。そうしないと、攻撃者はURLを偽造してこれらの隠しページにアクセスできます。

9. 不十分なトランスポート層保護-アプリケーションは、認証、暗号化、および機密ネットワークトラフィックの機密性と整合性の保護に失敗することがよくあります。その場合、弱いアルゴリズムをサポートしたり、期限切れまたは無効な証明書を使用したり、正しく使用しないことがあります。

10. 未検証のリダイレクトと転送-Webアプリケーションは頻繁にユーザーを他のページやWebサイトにリダイレクトおよび転送し、信頼できないデータを使用して宛先ページを決定します。適切な検証を行わないと、攻撃者は被害者をフィッシングサイトやマルウェアサイトにリダイレクトしたり、転送を使用して不正なページにアクセスしたりできます。