名科辞典―これは何?情報は?にこたえるコンテンツ

トップ OWASPとは

OWASPとは―セキュリティ関連のコミュニティ。ZAPやOWASP TOP 10が有名。

OWASPは、Webアプリのセキュリティ課題の解決を目的にした国際的なコミュニティです。脆弱性診断ツールのZAPやOWASP TOP 10のセキュリティ観点が有名です。

OWASPとは?

OWASP

国際的なセキュリティ関連のコミュニティです。

ウェブアプリケーションのセキュリティを対象としたコミュニティです。

正式名

正式名は、The Open Web Application Security Projectです。

OWASPはこの略です。

目的

信頼できるアプリケーションの開発・購入・運用の推進をOWASPは目的にしています。

これを目的とするオープンなコミュニティです。

活動内容

OWASPでは、ツール、文書、フォーラム、憲章などが定義されています。 いずれも無料で入手できます。

詳しくはOWASPのページ(https://www.owasp.org/index.php/Main_Page)参照。

OWASP TOP 10

OWASP TOP 10とは

OWASPは、ウェブアプリケーションに影響を与える10種類のよくある脆弱性をまとめ、OWASP TOP 10としてリストを公開しています。

2013版のTOP 10

OWASPがまとめたセキュリティ観点、2013版のTop 10です。

  1. インジェクション
  2. 認証とセッション管理の不備
  3. クロスサイトスクリプティング(XSS)
  4. 安全でないオブジェクト直接参照
  5. セキュリティ設定のミス
  6. 機密データの露出
  7. 機能レベルアクセス制御の欠落
  8. クロスサイトリクエストフォージェリ(CSRF)
  9. 既知の脆弱性を持つコンポーネントの使用
  10. 未検証のリダイレクトとフォワード

参考

以下は、2013版のOWASP TOP 10の参考資料です。

https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf

この資料の内容を踏まえて、以下で補足していきます。

OWASP TOP 10 2013版の補足

補足)インジェクション

ウェブアプリケーションが外部システムやOSにアクセスするときは何らかのパラメータを渡すのが普通です。 攻撃者に不正なコマンドなどをパラメータに埋め込んまれると不正なコマンドが実行されてしまいます。

補足)認証とセッション管理の不備

ログインの結果やセッション情報が適切に保護されていない状態です。 攻撃者はパスワード、鍵、Cookieやその他のトークンを盗みだすことができ、認証の仕組みを無効化して他のユーザーに成り済ませるようになります。

補足)クロスサイトスクリプティング(XSS)

ウェブアプリケーションが入力データを受け取るときに、改ざんに使用できる文字をチェックしなかったり、エスケープしないでユーザー側のブラウザに送信してしまう欠陥がXSSです。

補足)安全でないオブジェクト直接参照

もしファイルやディレクトリ、データベースのキーなどの内部の参照情報が流出してしまった場合、 攻撃者はこれらの参照情報を用い、アクセス権限のないデータへアクセスすることができます。

補足)セキュリティ設定のミス

製品の設定パラメータを把握しないでデフォルトの設定を使用してしまうとそれが脆弱性になりえます。 たとえば、検索エンジンにIndex ofページが登録されてしまったり、http://ドメイン名/error/noindex.htmlでApacheのページが見れてしまうウェブサイトを見かけることがあります。

補足)機密データの露出

個人情報や認証情報などを適切に保護せずに露出することです。 たとえば、https://~でブラウザに表示されないお問い合わせフォームやログイン画面など、バケツリレーとなる通信経路でSSL証明書で暗号化していないデータは盗聴されます。

補足)機能レベルアクセス制御の欠落

ブラウザ側の画面の画面で入力チェックを行っても入力チェック後のリクエストを直接偽造してサーバ側を攻撃されることがあります。 ブラウザ側でJavaScriptで入力チェックとサーバ側のプログラムで再度同じ入力チェック、データベースアクセス時の同等のチェックなど機能毎のチェックは必要不可欠です。

補足)クロスサイトリクエストフォージェリ(CSRF)

CSRFは、別のサイトに用意したコンテンツ上の罠のリンクを踏ませること等をきっかけとして、インターネットショッピングの最終決済や退会等Webアプリケーションの重要な処理を実行するようにユーザを誘導する攻撃です。 たとえば、決済画面を表示してyahooを閲覧した後にまた同じ決済画面が表示できるようなオンラインショップは対策されていないので被害に遭う可能性があります。

補足)既知の脆弱性を持つコンポーネントの使用

ソフトウェアやCMSやライブラリ、フレームワークを最新化しなかったり、できなくて脆弱性があるものを使用することです。 これらはサーバ―上の大きな権限を持って実行されることが多く、悪用されると影響も大きいです。

補足)未検証のリダイレクトとフォワード

ウェブアプリケーションは、頻繁にユーザを他の画面やウェブサイトへリダイレクト・フォーワードしますが、信頼されていないデータを用いて、転送先画面を決定しています。 適切な検証がないと、攻撃者は被害者をフィッシングサイトやマルウェアサイトへリダイレクトできたり、フォーワードで閲覧権限のない画面へアクセスできます。

その他のOWASP関連の情報

OWASP ZAP

OWASPが提供している、Webサイトの脆弱性を診断するためのぺネトレーションテストツールです。

オープンソースで、無料で使用できます。

参考)OWASP ZAP―Webアプリケーションの脆弱性診断ツール

OWASP Japan

OWASPの日本版のコミュニティーです。

戻る

索引

最新記事&お知らせ

名科辞典からのお知らせです。

2017.02.19 マイグレーション

マイグレーションとは何か英語など用語の意味をまとめています。特に、ホット、コールド、ライブマイグレーションなど、ITにおける仮想環境中心に情報をまとめています。

詳細

2017.02.11 vlookup

vlookupとは、読み方は「ブイルックアップ」。エクセルの関数です。範囲で選択した表から値を探して表示してくれる関数です。vlookupの使い方を解説しています。

詳細

2017.01.24 バイナリエディタ

バイナリエディタとはバイナリファイル編集ソフトです。バイナリファイルについての説明、無料のバイナリエディタのStirlingの使い方の例など、バイナリエディタについてまとめています。

バイナリエディタを使うための基数と基数変換の知識の補足しました。

詳細

それ以前