お問い合わせ

OWASP API Security Top 10

Explore the world of cyber security

このプロジェクトは、組織がソフトウェア提供の一環として潜在的に機密性の高いAPIを展開していることが増えている問題に対処することを目的としています。これらのAPIは内部タスクの実行や第三者とのインターフェースに使用されていますが、残念ながら多くのAPIは攻撃から守るための厳格なセキュリティテストを受けていません。

OWASP APIセキュリティプロジェクトは、ソフトウェア開発者とセキュリティアセッサーに価値を提供し、安全でないAPIの潜在的なリスクを強調し、これらのリスクをどのように軽減するかを示すことを目的としています。この目標を達成するために、OWASP APIセキュリティプロジェクトは、APIセキュリティリスクのトップ10ドキュメントと、APIの作成や評価時のベストプラクティスを記載したドキュメンテーションポータルを作成および維持します。

About OWASP

The Open Worldwide Application Security Project (OWASP)は、組織が信頼できるアプリケーションとAPIを開発、購入、および維持できるよう支援するオープンなコミュニティです。

At OWASP, you’ll find free and open:

  • アプリケーションセキュリティのツールと標準。
  • アプリケーションセキュリティテスト、安全なコード開発、安全なコードレビューに関する完全な書籍。
  • プレゼンテーションと動画。
  • 多くの一般的なトピックに関するチートシート。
  • 標準的なセキュリティコントロールとライブラリ。
  • 世界各地の地域チャプター。
  • 最先端の研究。
  • 世界中での幅広いカンファレンス。
  • メーリングリスト(アーカイブ)。

詳細はこちらをご覧ください:www.owasp.org

OWASP Top 10とは?

OWASP(オワスプ)とは、「Open Web Application Security Project(国際ウェブセキュリティ標準機構」の略で、ソフトウェアのセキュリティ向上を目的とする非営利財団です。Webアプリケーションのセキュリティに関する研究や、ガイドラインの作成、脆弱性診断ツールの開発、イベント開催等の多岐に渡る活動を行っています。また、世界中に275以上の支部が存在し、日本にも「OWASP Japan」が存在します。先述の「OWASP」がWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された項目をまとめ、定期的(2~3年周期)に発行しているセキュリティレポートになります。
現在公開されている最新版は2023年に発表された「OWASP Top 10 2023」となります。OWASP Top 10では、以下に示すOWASP Risk Rating Methodologyに基づいた格付け手法により評価し、リスクの高さを可視化して危険度の高い10項目の脆弱性を整理しています。

API1:2023 Broken Object Level Authorization

オブジェクトレベル認可の破損により、不適切なアクセス制御で機密データが漏洩します。

詳しくはこちら

API2:2023 Broken Authentication

API2:2023 認証の破損により、ユーザーアカウントが不正アクセスされる可能性があります。

詳しくはこちら

API3:2023 Broken Object Property Level Authorization

API3:2023 オブジェクトプロパティレベルの認可の破損により、データが不正に操作される可能性があります。

詳しくはこちら

API4:2023 Unrestricted Resource Consumption

API4:2023 無制限のリソース消費により、サービスの停止や性能低下が発生します。

詳しくはこちら

API5:2023 Broken Function Level Authorization

API5:2023 関数レベルの認可の破損により、不正な機能の実行が可能となります

詳しくはこちら

API6:2023 Unrestricted Access to Sensitive Business Flows

API6:2023 機密ビジネスフローへの無制限アクセスにより、重要な業務プロセスが危険にさらされます。

詳しくはこちら

API7:2023 Server Side Request Forgery

API7:2023 サーバーサイドのリクエスト偽造により、セキュリティ上の脆弱性が発生します。

詳しくはこちら

API8:2023 Security Misconfiguration

API8:2023 セキュリティの誤構成により、システムの脆弱性が露呈します。

詳しくはこちら

API9:2023 Improper Inventory Management

API9:2023 不適切な在庫管理により、リソースの乱用やデータの不正な流出が発生します。

詳しくはこちら

API10:2023 Unsafe Consumption of APIs

API10:2023 APIの安全でない使用により、システムへの不正アクセスが可能となります。

詳しくはこちら

すべてのOWASPのツール、文書、動画、プレゼンテーション、およびチャプターは、アプリケーションセキュリティを向上させたいという関心を持つすべての人に無料でオープンです。

私たちは、アプリケーションセキュリティを人、プロセス、テクノロジーの課題としてアプローチすることを提唱しています。なぜなら、アプリケーションセキュリティの最も効果的なアプローチには、これらの領域での改善が必要だからです。

OWASPは新しいタイプの組織です。商業的な圧力から解放されているため、アプリケーションセキュリティに関する公正で実用的かつ費用対効果の高い情報を提供することができます。

OWASPは、任意の技術企業とは関連しておらず、ただし、商業セキュリティ技術の賢明な使用を支持しています。OWASPは、協力的で透明性があり、オープンな方法で多くの種類の資料を作成しています。

OWASP財団は、プロジェクトの長期的な成功を確保する非営利団体です。OWASPに関わるほとんどの人々、OWASP理事会、チャプターのリーダー、プロジェクトのリーダー、メンバーも、ボランティアです。私たちは助成金やインフラストラクチャの支援を通じて革新的なセキュリティ研究をサポートしています。

ぜひ、私たちに参加してください!詳細はこちらをご覧ください:www.owasp.org

Read More Of Our Blogs

Facebook Github Linkedin Twitter

Copyright © 2024 Elves Core (Pvt)Ltd. All Rights Reserved.

Elvescore.io