ISOG-J「細かすぎる」脆弱性診断手法公開 | ScanNetSecurity
2024.06.13(木)

ISOG-J「細かすぎる」脆弱性診断手法公開

ISOG-Jは、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 日本セキュリティオペレーション事業者協議会(ISOG-J)は4月12日、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開したと発表した。同分科会は、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループ。

 同ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性にターゲットを絞り、メンバーが思い思いの脆弱性について記載したもの。

 それぞれの脆弱性について、概要と原因、誤った利用の例、影響、根本的な対策と一時的な対策、参考文献なども記載されているので理解、対応がしやすい。また、クラウドサービスでは意図せず脆弱な設定をしてしまうこともあるため、活用度の高いドキュメントといえるだろう。

 現時点で掲載されている脆弱性

・NoSQL Injection
・OAuth/OpenID Connect
・Prototype Pollution
・TOCTOU/レースコンディション
・クラウドサービスにおけるWebサービスにまつわる脆弱性
 IDaaSの活用に起因する脆弱性とその悪用
 EDoS(Economic Denial of Sustainability) - IDaaS
 アプリケーションの権限に関するカスタム属性の変更 - IDaaS
 デフォルトエラーに起因するユーザーの開示 - IDaaS
 意図しないサインアップ経路の存在 - IDaaS
 FaaSにおける設定不備と脆弱性の悪用
 Webアプリケーションの脆弱性を利用した認証情報の窃取
 クラウドストレージサービスにおける設定不備
・Web Cache Poisoning

執筆者一覧(順不同)

三井物産セキュアディレクション株式会社
 廣田一貴氏、山本健太氏、洲崎俊氏

株式会社セキュアスカイ・テクノロジー
 岩間湧氏、秋本悠一朗氏、中野智夫氏

LINE株式会社
 林義徳氏

サイボウズ株式会社
 大塚純平氏

富士通株式会社
 下川善久氏

株式会社Flatt Security
 齋藤徳秀氏

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

特集

PageTop

アクセスランキング

  1. イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

    イセトーにランサムウェア攻撃、複数のサーバと PC が暗号化被害

  2. 失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

    失業後データ盗み大手 IT 企業を恐喝、セキュリティコンサルタント 57 歳起訴

  3. 6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

    6日後 警察署から「見つかった」~ 日刊工業新聞社のノートパソコンとスマートフォンが盗難被害

  4. 不正アクセス 盗まれたのは公式サイトのドメイン

    不正アクセス 盗まれたのは公式サイトのドメイン

  5. デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

    デジタル庁「テキスト生成 AI 利活用におけるリスクへの対策ガイドブック(α版)」公開

  6. 「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

    「タリーズ オンラインストア」への不正アクセス、イオン銀行ではカードの不正利用早期に発見体制を整備

  7. 公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

    公開範囲「パブリック」で生徒の個人情報アップロード、都立高校教諭が Microsoft Teams に

  8. 山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

    山口県信用保証協会のメールアカウントを不正利用、迷惑メール大量送信確認

  9. PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

    PR会社が利用するクラウドストレージに不正アクセス、PDFや画像など静的データ削除

  10. CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASM

    CTFの覇者 市川遼が目指す「GMOイエラエの技術者が攻撃しようとするときに最初にやること全部の完全自動化」~ ネットde診断 for ASMPR

ランキングをもっと見る