2010年04月21日

OWASP top 10 for 2010リリース版

OWASP top 10 for 2010が正式公開されました。
http://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project

1位: Injection
2位: Cross-Site Scripting (XSS)
3位: Broken Authentication and Session Management
4位: Insecure Direct Object References
5位: Cross-Site Request Forgery (CSRF)
6位: Security Misconfiguration (NEW)
7位: Insecure Cryptographic Storage
8位: Failure to Restrict URL Access
9位: Insufficient Transport Layer Protection
10位: Unvalidated Redirects and Forwards (NEW)


順位の変動はありましたが、大きな入れ替えはなく6位と10位がランク外からの登場ですね。
「Security Misconfiguration」は、セキュリティの初期設定と最新版への更新維持の不備。
「Unvalidated Redirects and Forwards」は、リダイレクトやフォワードによってユーザを未許可のページへアクセス。最近、リダイレクトするサイトが多いですね。

2007年度版で3位だった「Malicious File Execution」と6位だった「Information Leakage and Improper Error Handling」はランク落ちです。
「Malicious File Execution」はPHPでの脆弱性対応が進んだ事でランク落ちしたのでしょう。
「Information Leakage and Improper Error Handling」は設定情報漏洩と不適切なエラーハンドリングですが、まだまだありそうな気がします。。。


あとで英語と格闘して熟読したいと思います。
この記事へのコメント
コメントを書く
お名前: [必須入力]

メールアドレス:

ホームページアドレス:

コメント: [必須入力]

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/37282394
※言及リンクのないトラックバックは受信されません。

この記事へのトラックバック