日本セキュリティオペレーション事業者協議会(ISOG-J)は4月12日、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開したと発表した。同分科会は、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループ。
同ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性にターゲットを絞り、メンバーが思い思いの脆弱性について記載したもの。
それぞれの脆弱性について、概要と原因、誤った利用の例、影響、根本的な対策と一時的な対策、参考文献なども記載されているので理解、対応がしやすい。また、クラウドサービスでは意図せず脆弱な設定をしてしまうこともあるため、活用度の高いドキュメントといえるだろう。
現時点で掲載されている脆弱性
・NoSQL Injection
・OAuth/OpenID Connect
・Prototype Pollution
・TOCTOU/レースコンディション
・クラウドサービスにおけるWebサービスにまつわる脆弱性
IDaaSの活用に起因する脆弱性とその悪用
EDoS(Economic Denial of Sustainability) - IDaaS
アプリケーションの権限に関するカスタム属性の変更 - IDaaS
デフォルトエラーに起因するユーザーの開示 - IDaaS
意図しないサインアップ経路の存在 - IDaaS
FaaSにおける設定不備と脆弱性の悪用
Webアプリケーションの脆弱性を利用した認証情報の窃取
クラウドストレージサービスにおける設定不備
・Web Cache Poisoning
執筆者一覧(順不同)
三井物産セキュアディレクション株式会社
廣田一貴氏、山本健太氏、洲崎俊氏
株式会社セキュアスカイ・テクノロジー
岩間湧氏、秋本悠一朗氏、中野智夫氏
LINE株式会社
林義徳氏
サイボウズ株式会社
大塚純平氏
富士通株式会社
下川善久氏
株式会社Flatt Security
齋藤徳秀氏
