2021 OWASP Top 10 Lightboardレッスンのビデオシリーズ

Johnはまず、OWASP Top 10の概要について説明しています。また、症状や根本原因に関するリスクの位置付けの変更、新しいリスク カテゴリ、最新のアプリケーション アーキテクチャなどのテーマを紹介しています。Top 10の各リスクに関するビデオについては、こちらをご覧ください。

テストしたアプリケーションの94%は、何らかの形でアクセス制御に問題があることが判明しました。不備があると、データの不正な開示、変更、破壊や、権限の昇格が発生し、アカウントの乗っ取り（ATO）、データ漏洩、罰金、ブランドへのダメージにつながる可能性があります。

これまで「機密データの露出」と呼ばれていた暗号化の失敗は、機密データの漏洩やユーザセッションの乗っ取りにつながります。TLS 1.3が広く採用されているにもかかわらず、古い脆弱なプロトコルは未だに有効になっています。

インジェクションとは、信頼されていない入力によってアプリケーションプログラムの実行を変更する、幅広い種類の攻撃ベクトルを指します。これは、データの盗難、データの完全性の損失、サービス拒否、およびシステムの完全な侵害につながる可能性があります。インジェクションはもはや最大のリスクではありませんが、依然として手ごわいものです。

セキュリティはアプリケーションに固有のものである必要があります。安全な設計でも、脆弱性につながる実装上の欠陥がある場合があります。安全でない設計が、完全な実装によって修正されることはありません。

セキュリティの設定ミスは、クラウドの情報漏洩の主な原因です。最新のアプリケーション開発、ソフトウェアの再利用、クラウド間でのアーキテクチャの乱立によってこのリスクが増大しているため、その対策と回避方法について説明しています。

大きなセキュリティ インシデントの多くの背景には、オープン ソースソフトウェアの悪用があります。最近のLog4j2の脆弱性は、おそらくこのカテゴリでこれまでで最も深刻なリスクと言えるでしょう。

ビジネス ロジックの悪用から保護するには、本人確認を行い、強力な認証とセッション管理を使用することが重要です。ほとんどの認証攻撃は、パスワードの継続的な使用に起因しています。侵害された認証情報、ボットネット、高度なツールは、クレデンシャル スタッフィングなどの自動化された攻撃にとって魅力的なROIを実現します。

この新しいリスク カテゴリでは、ソフトウェアの更新、重要なデータ、CI/CDパイプラインに関連して、整合性を検証することなく仮定することに焦点を当てています。SolarWindsのサプライチェーンへの攻撃は、私たちがこれまで目にした中で最も被害が大きいものの1つです。