ISOG-J「細かすぎる」脆弱性診断手法公開 | ScanNetSecurity
2024.06.15(土)

ISOG-J「細かすぎる」脆弱性診断手法公開

ISOG-Jは、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本セキュリティオペレーション事業者協議会(ISOG-J)は4月12日、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開したと発表した。同分科会は、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループ。

 同ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性にターゲットを絞り、メンバーが思い思いの脆弱性について記載したもの。

 それぞれの脆弱性について、概要と原因、誤った利用の例、影響、根本的な対策と一時的な対策、参考文献なども記載されているので理解、対応がしやすい。また、クラウドサービスでは意図せず脆弱な設定をしてしまうこともあるため、活用度の高いドキュメントといえるだろう。

 現時点で掲載されている脆弱性

・NoSQL Injection
・OAuth/OpenID Connect
・Prototype Pollution
・TOCTOU/レースコンディション
・クラウドサービスにおけるWebサービスにまつわる脆弱性
 IDaaSの活用に起因する脆弱性とその悪用
 EDoS(Economic Denial of Sustainability) - IDaaS
 アプリケーションの権限に関するカスタム属性の変更 - IDaaS
 デフォルトエラーに起因するユーザーの開示 - IDaaS
 意図しないサインアップ経路の存在 - IDaaS
 FaaSにおける設定不備と脆弱性の悪用
 Webアプリケーションの脆弱性を利用した認証情報の窃取
 クラウドストレージサービスにおける設定不備
・Web Cache Poisoning

執筆者一覧(順不同)

三井物産セキュアディレクション株式会社
 廣田一貴氏、山本健太氏、洲崎俊氏

株式会社セキュアスカイ・テクノロジー
 岩間湧氏、秋本悠一朗氏、中野智夫氏

LINE株式会社
 林義徳氏

サイボウズ株式会社
 大塚純平氏

富士通株式会社
 下川善久氏

株式会社Flatt Security
 齋藤徳秀氏

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  2. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  3. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  4. 海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

    海外サイトに顧客情報が掲載 ~「転職支援サイト」 に不正アクセス

  5. 「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

    「ネクストレベル」に不正アクセス、496,119 件のワーカーの個人情報流出

  6. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  7. IPA、中小企業向けの内部不正防止対策の報告書公開

    IPA、中小企業向けの内部不正防止対策の報告書公開

  8. 九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

    九州電力グループのキューヘンにランサムウェア攻撃、社内情報の一部が暗号化被害

  9. 最高裁判所 メール誤送信

    最高裁判所 メール誤送信

  10. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

ランキングをもっと見る