このOWASP APIセキュリティトップ10の第2版は、初版からちょうど4年後にリリースされました。API(セキュリティ)のシーンでは多くの変化がありました。APIトラフィックは急速に増加し、一部のAPIプロトコルがさらに注目されるようになり、多くの新しいAPIセキュリティベンダー/ソリューションが登場し、もちろん、攻撃者もAPIを侵害するための新しいスキルや技術を開発しました。この10の最も重大なAPIセキュリティリスクのリストを更新する時期となりました。 APIセキュリティ業界がより成熟している今回、初めてデータの公開呼びかけが行われました。残念ながらデータの提供はありませんでしたが、プロジェクトチームの経験、注意深いAPIセキュリティ専門家のレビュー、そしてリリース候補に対するコミュニティのフィードバックを基に、この新しいリストを作成しました。この版がどのようにして作成されたかについての詳細は方法論とデータセクションでご確認いただけます。セキュリティリスクの詳細については、APIセキュリティリスクセクションをご参照ください。 OWASP APIセキュリティトップ10 2023は、急速に進化する業界向けの先進的な意識向上ドキュメントです。他のトップ10を置き換えるものではありません。今回の改訂では以下の点に注力しています: 過剰なデータ露出とマスアサインメントを統合し、共通の根本原因であるオブジェクトプロパティレベルの認可検証の不備に焦点を当てました。 リソース消費により重点を置き、その消費のペースに過度に焦点を当てるのを避けました。 新たな脅威を取り込むために、”重要なビジネスフローへの無制限アクセス”という新しいカテゴリを作成しました。これには、レート制限を使用して緩和できる脅威の大部分が含まれます。 “APIの安全でない利用”を追加しました。攻撃者はターゲットの直接的なAPIを狙う代わりに、ターゲットの統合サービスを狙い始めていることが増えてきたため、この増加しているリスクについて意識を高めるのに適した時期です。 現代のマイクロサービスアーキテクチャ、シングルページアプリケーション(SPA)、モバイルアプリ、IoTなどでAPIはますます重要な役割を果たしています。OWASP APIセキュリティトップ10は、
Welcome to the OWASP API Security Top 10 – 2023!
Welcome to the OWASP API Security Top 10 – 2023! Welcome to the second edition of the OWASP API Security Top 10! This awareness document was first published back in 2019. Since then, the API Security industry has flourished and become more mature. We strongly believe this work has positively contributed to it, due to it being quickly adopted as an industry reference. APIs play a very important role in modern application architecture. But since innovation has a different pace than creating security awareness, we believe it’s important to focus on creating awareness for common API security weaknesses. The primary goal of the OWASP API Security Top 10 is to educate those involved in API development and maintenance, for example, developers, designers, architects, managers, or organizations. You can know more about the API Security Project visiting the project page. If you’re not familiar with the OWASP top 10 series, we recommend checking at least the following top 10 pr
Foreword
今日のアプリ駆動型の世界における革新の基礎要素は、アプリケーションプログラミングインターフェース(API)です。銀行、小売、交通からIoT、自動運転車、スマートシティに至るまで、APIは現代のモバイル、SaaS、およびWebアプリケーションの重要な部分であり、顧客向け、パートナー向け、および内部アプリケーションで見つけることができます。 APIはアプリケーションロジックや個人を特定できる情報(PII)などの機密データを公開するため、APIは攻撃者のターゲットとなることが増えています。安全なAPIがなければ、迅速な革新は不可能です。 一般的なWebアプリケーションセキュリティリスクのトップ10リストは依然として意味がありますが、その特異な性質のために、API特有のセキュリティリスクリストが必要です。APIセキュリティは、APIに関連する独自の脆弱性とセキュリティリスクを理解し、軽減するための戦略とソリューションに焦点を当てています。 OWASP Top 10プロジェクトに精通している場合、両方の文書の類似点に気付くでしょう。これらは読みやすさと採用を意図しています。OWASP Top 10シリーズに不慣れな場合は、トップ10リストに飛び込む前にAPIセキュリティリスクと方法論とデータセクションを読むと良いでしょう。 OWASP APIセキュリティトップ10に質問、コメント、アイデアをGitHubプロジェクトリポジトリで寄稿することができます: https://owasp.org/www-project-api-security/ https://github.com/OWASP/API-Security/blob/master/CONTRIBUTING.md OWASP APIセキュリティトップ10は以下で見つけることができます: https://owasp.org/www-project-api-security/ https://github.com/OWASP/API-Security このプロジェクトを実現するために尽力してくれたすべての寄稿者に感謝します。彼らはすべて謝辞セクションに記載されています。ありがとうございます!
About OWASP
オープン・ワールドワイド・アプリケーション・セキュリティ・プロジェクト(OWASP)は、組織が信頼できるアプリケーションやAPIを開発、購入、維持することを支援するためのオープンなコミュニティです。 OWASPでは、無料でオープンな以下のものが見つかります: アプリケーションセキュリティツールと標準。 アプリケーションセキュリティテスト、安全なコード開発、安全なコードレビューに関する完全な書籍。 プレゼンテーションとビデオ。 多くの一般的なトピックに関するチートシート。 標準的なセキュリティコントロールとライブラリ。 世界中の地域支部。 最先端の研究。 広範な世界中の会議。 メーリングリスト(アーカイブ)。 詳細はhttps://www.owasp.orgをご覧ください。 OWASPのツール、ドキュメント、ビデオ、プレゼンテーション、地域支部はすべて、アプリケーションセキュリティの向上に関心のある方なら誰でも無料で利用できます。 私たちは、アプリケーションセキュリティを人、プロセス、技術の問題としてアプローチすることを提唱しています。最も効果的なアプローチは、これらの分野での改善を必要とするからです。 OWASPは新しいタイプの組織です。商業的な圧力から自由であるため、アプリケーションセキュリティに関する偏りのない実用的で費用対効果の高い情報を提供することができます。 OWASPは、技術会社と提携しているわけではありませんが、商業的なセキュリティ技術の有益な利用を支援しています。OWASPは、多くの種類の資料を協力的、透明かつオープンな方法で作成しています。 OWASP財団は、プロジェクトの長期的な成功を確保するための非営利団体です。OWASPに関わるほぼすべての人がボランティアであり、OWASPの理事会、地域支部のリーダー、プロジェクトリーダー、プロジェクトメンバーが含まれます。私たちは、助成金とインフラを提供して革新的なセキュリティ研究を支援しています。 ぜひ参加してください!
Table of Contents
目次 目次 OWASPについて 前書き はじめに リリースノート APIセキュリティリスク OWASP APIセキュリティトップ10 – 2023 API1:2023 破損したオブジェクトレベル認可 API2:2023 破損した認証 API3:2023 破損したオブジェクトプロパティレベルの認可 API4:2023 制限のないリソース消費 API5:2023 破損した関数レベルの認可 API6:2023 機密ビジネスフローへの制限のないアクセス API7:2023 サーバーサイドリクエストフォージェリ API8:2023 セキュリティ設定の誤構成 API9:2023 適切でない在庫管理 API10:2023 APIの安全でない利用 開発者にとっての次のステップ DevSecOpsにとっての次のステップ 手法とデータ 謝辞
Bogus npm Packages Used to Trick Software Developers into Installing Malware
An ongoing social engineering campaign is targeting software developers with bogus npm packages under the guise of a job interview to trick them into downloading a Python backdoor. Cybersecurity firm Securonix is tracking the activity under the name DEV#POPPER, linking it to North Korean threat actors.
Hackers Exploiting WP-Automatic Plugin Bug to Create Admin Accounts on WordPress Sites
Threat actors are attempting to actively exploit a critical security flaw in the ValvePress Automatic plugin for WordPress that could allow site takeovers. The shortcoming, tracked as CVE-2024-27956, carries a CVSS score of 9.9 out of a maximum of 10. It impacts all versions of the plugin prior to 3.92.0. The issue has been resolved in version 3.92.1 released on February 27, 2024, although the release notes make no mention of it. “This vulnerability, a SQL injection (SQLi) flaw, poses a severe threat as attackers can exploit it to gain unauthorized access to websites, create admin‑level user accounts, upload malicious files, and potentially take full control of affected sites,” WPScan said in an alert this week. According to the Automattic-owned company, the issue is rooted in the plugin’s user authentication mechanism, which can be trivially circumvented to execute arbitrary SQL queries against the database by means of specially crafted requests. In the attacks observed so far, CVE-2
North Korea’s Lazarus Group Deploys New Kaolin RAT via Fake Job Lures
The North Korea-linked threat actor known as Lazarus Group employed its time-tested fabricated job lures to deliver a new remote access trojan called Kaolin RAT as part of attacks targeting specific individuals in the Asia region in summer 2023.
Major Security Flaws Expose Keystrokes of Over 1 Billion Chinese Keyboard App Users
Security vulnerabilities uncovered in cloud-based pinyin keyboard apps could be exploited to reveal users’ keystrokes to nefarious actors. The findings come from the Citizen Lab, which discovered weaknesses in eight of nine apps from vendors like Baidu, Honor, iFlytek, OPPO, Samsung, Tencent, Vivo, and Xiaomi. The only vendor whose keyboard app did not have any security shortcomings is that of Huawei’s.
Hello world!
Welcome to WordPress. This is your first post. Edit or delete it, then start writing!