Jtest Security-Java対応ソースコードセキュリティ検証ツール-
OWASP TOP 10
Open Web Application Security Project (OWASP)は、アプリケーションのセキュリティの向上を目的とした啓蒙活動を行なうオープンなコミュニティであり、セキュリティに関するさまざまな文書やツールを無料で公開しています。 OWASP Top Ten Projectは、セキュリティの有識者からなるプロジェクト メンバーが選んだ、Webアプリケーションの最も危険な 10個の脆弱性を発表するものです。 現在公開されている2007年度版のトップ 10には、次の脆弱性が報告されています。
 |
||
| A1 - クロスサイト スクリプティング (XSS) A2 - インジェクションの欠陥 A3 - 悪意のあるファイルの実行 A4 - 危険なオブジェクトの直接参照 A5 - クロスサイト リクエスト フォージェリ (CSRF) A6 - 情報の漏えい、不適切なエラー処理 A7 - 認証とセッション管理が不完全 A8 - 安全ではない暗号の使い方 A9 - 安全ではない通信 A10 - URLへのアクセス制限の不備 |
||
 |
||
OWASP の公開する文書は、これらの脆弱性の内容、検証方法および防御策について説明しています。
広がるOWASP Top10の適用
PCI DSS標準は OWASP Top 10を採用しています。PCI DSS要件6.5は「すべてのWebアプリケーション(内部、外部、アプリケーションへのWeb管理アクセス)を、『Open Web Application Security Project Guide』などの安全なコーディングガイドラインに基づいて開発する。」と要件を定義し、要件 6.5.1の「クロスサイトスクリプティング(XSS)」をはじめ、OWASP TOP 10で挙げられている10個の脆弱性を検証するよう求めています。
また、British Telecom、Citibankなど多くの企業が OWASP Top 10を利用しています。
また、British Telecom、Citibankなど多くの企業が OWASP Top 10を利用しています。
Jtset SecurityのOWASP TOP 10サポート
Jtest Securityには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。
- OWASP Top 10 Security Vulnerabilitiesコンフィギュレーション
多くの脆弱性は、セキュリティ ポリシーに基づいて入力データの検証を徹底することで防止できます。Jtest Securityのルール カスタマイズ機能およびルール作成機能は、企業独自のセキュリティ ポリシーを自動的に検証するルールセットの作成を可能にします。
| |||||||||
