2021 OWASP トップ 10 ライトボード レッスン ビデオ シリーズ

John はまず、OWASP Top 10 とは何かを説明します。 彼は、症状と根本原因を中心としたリスクの再方向付け、新しいリスク カテゴリ、最新のアプリケーション アーキテクチャなどのテーマを強調しています。 上位 10 のリスクそれぞれに関するビデオをご覧ください。

テストされたアプリの 94% で、何らかの形でアクセス制御が壊れていることが示されました。 失敗すると、データの不正な開示、変更、破壊、権限の昇格が発生する可能性があり、アカウント乗っ取り (ATO)、データ侵害、罰金、ブランドの損害につながる可能性があります。

以前は「機密データの漏洩」と呼ばれていた暗号化の失敗は、機密データの漏洩やユーザー セッションの乗っ取りにつながります。 TLS 1.3 が広く採用されているにもかかわらず、古くて脆弱なプロトコルが依然として有効になっています。

インジェクションは、信頼できない入力によってアプリ プログラムの実行が変更される、広範な種類の攻撃ベクトルです。 これにより、データの盗難、データ整合性の喪失、サービス拒否、システム全体の侵害が発生する可能性があります。 注射はもはや最大のリスクではありませんが、依然として大きなリスクです。

セキュリティはアプリケーションに本来備わっている必要があります。 安全な設計であっても、実装上の欠陥により脆弱性が生じる可能性があります。 安全でない設計は完璧な実装では修正できません。

セキュリティの誤った構成はクラウド侵害の主な原因です。 最新のアプリ開発、ソフトウェアの再利用、クラウド全体にわたるアーキテクチャの無秩序な拡大により、このリスクが増大しています。何をすべきか、何を避けるべきかを学びましょう。

大規模なセキュリティ インシデントの多くは、オープン ソース ソフトウェアの脆弱性が原因です。 最近の Log4j2 の脆弱性は、おそらくこのカテゴリにおけるこれまでの最も深刻なリスクです。

ビジネス ロジックの悪用を防ぐために、ID を確認し、強力な認証とセッション管理を使用することが重要です。 ほとんどの認証攻撃は、パスワードの継続的な使用に起因します。 侵害された資格情報、ボットネット、高度なツールは、資格情報の詰め込みなどの自動化された攻撃に対して魅力的な ROI をもたらします。

この新しいリスク カテゴリは、整合性を検証せずにソフトウェアの更新、重要なデータ、および CI/CD パイプラインに関連する仮定を行うことに重点を置いています。 SolarWinds サプライチェーン攻撃は、私たちがこれまでに見た中で最も被害が大きい攻撃の 1 つです。