米OWASP、Webアプリケーションのセキュリティー脆弱性上位10種類のリストを公表
米Open
Web Application Security Project(OWASP)は13日、Webアプリケーションに多く見られるセキュリティーの脆弱性10種類のリストを公表した。OWASPはWebアプリケーションやWebサービスのセキュリティーを向上させるための啓蒙活動を行なっている非営利組織である。
公表された脆弱性上位10種類は以下のとおり。
1.パラメーターの未確認
2.徹底されないアクセスコントロール
3.アカウントとセッション管理のミス
4.クロスサイトスクリプティング
5.バッファオーバーフロー
6.コマンド埋め込み可能バグ
7.エラーハンドリングミス
8.暗号の誤用
9.リモート管理のバグ
10.ウェブサーバーとアプリケーションサーバーの設定ミス
このリストの詳細は、OWASPのサイトでPDFファイルとして配布されている。こうした問題をリストの形でまとめた理由についてOWASPのMitre CVE Editor、Stephen Christey氏は「これはさまざまなWebアプリケーションで数え切れないほど繰り返されてきた同じ間違いをベンダーが冒さないように教育するものとなるだろう。それだけでなく、コンシューマーがベンダーにWebアプリケーションのセキュリティーに期待する最低基準として頼むことができるほか、同じくらい重要なこととして、どのベンダーがこれらの基準に達していないかを見分けるのに役立つだろう」と説明している。
(2003/1/14)
[Reported by 青木 大我 (taiga@scientist.com)]