🦔

OWASP(Open Web Application Security Project)について

2025/01/06に公開

OWASPとは

ウェブアプリケーションのセキュリティ分野において、自由に利用可能な記事、手法、ツールなどを提供するオンラインコミュニティです。

下記はOWASPのオフィシャルサイトです。
https://owasp.org/

OWASP Top 10 Security Risks

下記の10項目はあるあるなセキュリティリスクです。

アクセス制御の不備
適切な権限管理が行われておらず、ユーザーが許可されていない操作やデータにアクセスできてしまう状態です。

暗号化の失敗
データの機密性や完全性を保護するための暗号化が不適切で、情報漏洩や改ざんのリスクが高まることを指します。

インジェクション
SQLインジェクションなど、外部からの不正な入力がシステム内で実行され、データベースの操作や情報漏洩が発生する脆弱性です。

安全でない設計
セキュリティを考慮せずにシステムが設計されているため、潜在的な脆弱性が組み込まれてしまう状態です。

セキュリティ設定の不備
サーバーやアプリケーションの設定ミスにより、不要な機能が有効化されていたり、デフォルトのまま使用されていることで、攻撃者に狙われやすくなる状況です。

脆弱で古いコンポーネントの使用
既知の脆弱性がある、またはサポートが終了したソフトウェアやライブラリを使用していることにより、セキュリティリスクが高まります。

識別と認証の失敗
ユーザーの認証や識別に問題があり、不正アクセスやなりすましが可能となる状態です。

ソフトウェアとデータの整合性の失敗
信頼できないソースからのコードやデータの使用により、システムの整合性が損なわれ、マルウェアの挿入やデータ改ざんが発生するリスクです。

セキュリティログと監視の失敗
不正な活動や異常を検知するためのログ記録や監視が不十分で、攻撃の発見や対応が遅れる可能性があります。

サーバーサイドリクエストフォージェリ
攻撃者がサーバーに不正なリクエストを送信させ、内部ネットワークへのアクセスや情報取得を行う攻撃手法です。

https://cheatsheetseries.owasp.org/IndexTopTen.html

セキュリティに関するおすすめ本/動画について

下記の本は参考になりました。
具体的には、攻撃者がどのようにセキュリティ攻撃を仕掛けてくるかを解説し、その攻撃に対する影響範囲や対策について網羅的にまとめられていました。

https://www.sbcr.jp/product/4797393163/

また、知り合いのエンジニアさんが下記の動画をおすすめしていました。
ハンズオン形式でセキュリティについて学べる教材だと、実際に自分が攻撃者の立場になっているのでより理解が深まるなと感じます。
【サイバーセキュリティ 実践】ホームネットワークデバイスで学ぶファームウェア解析と組み込みLinuxのセキュリティ
https://www.udemy.com/course/bugbounty-firmware/?couponCode=NEWYEARCAREERJP

まとめ

OWASPやセキュリティリスクについて解説しました。
初学者はよくあるセキュリティリスクについて理解しておき、どのような対策を実行できるか理解しておいた方が良いと思いました。

Discussion