「OWASP Top 10 for 2013」の日本語版を公開（OWASP）

OWASPは、「OWASP Top 10-2013：The Ten Most Critical Web Application Security Risks」の日本語版を公開した。

脆弱性と脅威脅威動向

2013.10.24 Thu 16:59

「OWASP Top 10-2013：The Ten Most Critical Web Application Security Risks」日本語版全 2 枚拡大写真

Open Web Application Security Project（OWASP）は10月18日、「OWASP Top 10-2013：The Ten Most Critical Web Application Security Risks」の日本語版を公開した。本プロジェクトは、組織が直面している最も重要なリスクのいくつかを説明することで、アプリケーションセキュリティの意識を高めることを目標としている。またTop 10は、MITRE、PCI DSS、DISA、FTCなど多くの規格、書籍、ツール、および組織によって参照されている。

2013版のTop 10は以下の通り。なお、前バージョン（2010版）から「URLアクセス制限の失敗（2010-A8）」を「機能レベルアクセス制御の欠落（2013-A7）」へ拡大したほか、「安全でない暗号化データ保管（2010-A7）」と「不十分なトランスポート層保護（2010-A9）」を「機密データの露出（2013-A6）」へ合併するなど、データセットをアップデートしている。

1：インジェクション（2013-A1）
2：認証とセッション管理の不備（2013-A2）
3：クロスサイトスクリプティング（XSS）（2013-A3）
4：安全でないオブジェクト直接参照（2013-A4）
5：セキュリティ設定のミス（2013-A5）
6：機密データの露出（2013-A6）
7：機能レベルアクセス制御の欠落（2013-A7）
8：クロスサイトリクエストフォージェリ（CSRF）（2013-A8）
9：既知の脆弱性を持つコンポーネントの使用（2013-A9）
10：未検証のリダイレクトとフォワード（2013-A10）

《吉澤亨史（ Kouji Yoshizawa ）》