OWASP TOP 10

Open Web Application Security Project (OWASP)は、アプリケーションのセキュリティの向上を目的とした啓蒙活動を行なうオープンなコミュニティであり、セキュリティに関するさまざまな文書やツールを無料で公開しています。 OWASP Top Ten Projectは、セキュリティの有識者からなるプロジェクト メンバーが選んだ、Webアプリケーションの最も危険な 10個の脆弱性を発表するものです。 現在公開されている2017年度版のトップ 10には、次の脆弱性が報告されています。

OWASP TOP 10 2017

A1 - インジェクション
A2 - 認証の不備
A3 - 機微な情報の露出
A4 - XML  外部エンティティ参照(XXE)
A5 - アクセス制御の不備
A6 - 不適切なセキュリティ設定
A7 - クロスサイトスクリプティング(XSS)
A8 - 安全でないデシリアライゼーション
A9 - 既知の脆弱性のあるコンポーネントの使用
A10 - 不十分なロギングとモニタリング
 
OWASP の公開する文書は、これらの脆弱性の内容、検証方法および防御策について説明しています。

広がるOWASP Top10の適用

PCI DSS標準は OWASP Top 10を採用しています。PCI DSS要件6.5は「すべてのWebアプリケーション(内部、外部、アプリケーションへのWeb管理アクセス)を、『Open Web Application Security Project Guide』などの安全なコーディングガイドラインに基づいて開発する。」と要件を定義し、要件 6.5.1の「クロスサイトスクリプティング(XSS)」をはじめ、OWASP TOP 10で挙げられている10個の脆弱性を検証するよう求めています。
また、British Telecom、Citibankなど多くの企業が OWASP Top 10を利用しています。

JtestのOWASP TOP 10サポート

Jtestには、これらの脆弱性を検証するためのルールとコンフィギュレーションがあらかじめ用意されています。

  • OWASP Top 10 Security Vulnerabilitiesコンフィギュレーション
多くの脆弱性は、セキュリティ ポリシーに基づいて入力データの検証を徹底することで防止できます。Jtestのルール カスタマイズ機能およびルール作成機能は、企業独自のセキュリティ ポリシーを自動的に検証するルールセットの作成を可能にします。

Jtestで行うセキュアコーディングに関する資料

以下の資料をご用意しております。ご希望の方は、資料請求フォームからお問合せください。

【資料】

Java対応静的解析・単体テストツール Jtestに
関するお問い合わせ

  • テクマトリックス株式会社
    東京本社

    システムエンジニアリング事業部
    ソフトウェアエンジニアリング営業部

    03-4405-7853

メールでのお問い合わせ
parasoft-info@techmatrix.co.jp

CONTACT

製品についてやテクマトリックスについてなど、
こちらよりお気軽にお問い合わせいただけます。