• インジェクション​
• メモリ破壊​
• 未検証のリダイレクトと転送​
• クロスサイト スクリプティング(XSS)​
• ファイルアップロードの脆弱性​
• サービス拒否(DoS)​
• XML外部実体参照(XXE)​
• リソースの不足とレートの制限​

• 認証​
• セッション ハンドリング​
• クロスサイト リクエスト フォージェリ(CSRF)​
• アクセス制御​
• サーバーサイド リクエスト フォージェリ(SSRF)​
• マス・アサインメント​
• 安全でない暗号化​
• 機密データストレージ​

• 不十分なトランスポート層の保護​
• 情報漏洩​
• 脆弱なコンポーネント​
• ビジネス ロジック​
• サイドチャネルの脆弱性​
• 不十分なセキュリティロギングとモニタリング​
• 不適切な資産管理​
• セキュリティの設定ミス​

• インジェクション​
• 識別と認証の失敗​
• 重要な情報の漏洩​
• XML外部実体参照(XXE)​
• アクセス制御の不備​
• セキュリティの設定ミス​
• クロスサイトスクリプティング(XSS)​

• 安全でないデシリアライゼーション​
• 既知の脆弱性があるコンポーネントの使用​
• セキュリティログとモニタリングの失敗​
• 暗号化の失敗​
• 安全が確認されない不安な設計​

• 脆弱で古くなったコンポーネント​
• 識別と認証の失敗​
• ソフトウェアとデータの不整合の不具合​
• 不十分なセキュリティロギングとモニタリング​
• サーバーサイド リクエスト フォージェリ(SSRF)​

• 安全でないデータストレージ
• 不十分なトランスポート層の保護
• 暗号化の失敗​
• クライアントサイド インジェクション
• バイナリー保護の不足

• プラットフォームの不適切な利用
• クライアント コードの品質
• コード改ざん​
• リバース エンジニアリング
• ​余計な機能​

• 意図しないデータ漏洩​
• 安全でない認証​
• 安全でない認可制御​
• 不適切なセッション ハンドリング​

• メモリ破壊​
• 情報漏洩​
• 暗号に関する問題​
• 重要な情報の漏洩​
• XML外部実体参照(XXE)​
• ビジネスロジックの問題​
• サービス拒否(DoS)攻撃​

• バッファー/スタック オーバーフローの保護​
• インジェクションの防止​
• ファームウェア更新と暗号化署名​
• 機密情報の保護​
• ID管理​
• 組み込みフレームワークとCベースのツールチェインの強化​

• デバッグコードとインターフェイスの使用​
• 不十分なトランスポート層の保護​
• データコレクションとストレージの使用​
• 既知の脆弱性があるコンポーネントの使用​
• アクセス制御の不備​
• 不十分なセキュリティロギングとモニタリング​

• アクセス制御​
• 認証​
• クロスサイト リクエスト フォージェリ(CSRF)​

• 不適切なセッション ハンドリング​
• 安全でない認証​
• 安全でない認可制御​

• マス・アサインメント​
• サーバーサイド リクエスト フォージェリ(SSRF)​
• セッション ハンドリング​

• クロスサイト リクエスト フォージェリ(CSRF)​
• クロスサイト スクリプティング(XSS)​
• サービス拒否(DoS)​
• ファイルアップロードの脆弱性​

• インジェクション
• リソースの不足とレートの制限​
• メモリ破壊​

• 意図しないデータ漏洩​
• 未検証のリダイレクトと転送​
• XML外部実体参照(XXE)​

• 暗号化の失敗​
• ビジネスロジックの問題​
• クライアント コードの品質
• クライアントサイド インジェクション
• コード改ざん​

• ​余計な機能​
• 不適切な資産管理​
• プラットフォームの不適切な利用
• 情報漏洩​
• 不十分なセキュリティロギングとモニタリング​

• 不十分なトランスポート層の保護
• バイナリ保護の不足
• リバース エンジニアリング
• サイドチャネルの脆弱性​
• 脆弱なコンポーネント​

• 安全でない暗号化​
• 安全でないデータストレージ

• 不十分なトランスポート層の保護​
• 機密データストレージ​

• セキュリティの設定ミス​

LLM

• 直接プロンプトインジェクション
• サプライチェーンの脆弱性
• 間接的なプロントインジェクション
• Insecure Output Handling　など

• オープンソースソフトウェアの紹介
• オープンソースソフトウェアリスクの管理
• OWASP TOP 10リスクのオープンソースソフトウェアに関する概要　など

セキュリティ要件

• セキュリティ要件の書き方
• ソフトウェアセキュリティ要件の紹介
• 要件収集と方法論
• セキュリティ要件の検証　など

• 機密データの保存
• 安全でない暗号技術
• トランスポート層の保護が不十分　など

認証とアクセスコントロール

• 認証
• アクセスコントロール
• サーバーサイドリクエストフォージェリ
• 質量の割り当て　など

• クロスサイトスクリプティング(XSS)
• リソースの不足とレートの制限
• ファイルのアップロードの脆弱性
• 無効なリダイレクトとフォワード
• インジェクションの欠陥
  • OSコマンドインジェクション
  • SQLインジェクション　など

安全でない開発手法

• 情報公開
• 脆弱なコンポーネント
• ビジネスロジック
• 不十分なロギングとモニタリング　など

• 機密データの保存
• 安全でない暗号技術
• トランスポート層の保護が不十分　など

• セキュリティの設定ミス　など

認証とアクセスコントロール

• クロスサイト・リクエスト・フォージェリ
• 認証
• セッション・ハンドリング
• アクセスコントロール
• サーバーサイドリクエストフォージェリ
• 不適切なセッション操作
• 安全でない認証
• 質量の割り当て　など

• 意図しないデータの流出
• クロスサイトスクリプティング(XSS)
• XML External Entities (XXE)
• ファイルアップロードの脆弱性
• Denial of Service (DoS)
• 無効なリダイレクトとフォワード
• リソースの不足とレートの制限
• メモリの破損
• インジェクションの欠陥
  • OSコマンドインジェクション
  • SQLインジェクション　など

安全でない開発手法

• リバースエンジニアリング
• 情報公開
• 不適切な資産管理
• コードタンパリング
• トランスポートレイヤープロテクションの不足(モバイル)
• サイドチャネルの脆弱性
• ブロークンクリプトグラフィー
• 脆弱なコンポーネント
• バイナリープロテクションの欠如
• ビジネスロジック
• プラットフォームの不適切な使用
• 余計な機能
• クライアントコードの品質
• 不十分なロギングとモニタリング
• クライアントサイドインジェクション　など

• 機密データの保存
• 安全でないデータストレージ
• 安全でない暗号技術
• トランスポート層の保護が不十分　など

• セキュリティの設定ミス　など