OWASP Foundationが発表するセキュリティ専門家によるトップ10に含まれるべき脆弱性リスト
定期的に更新されるため最新を追うべき
OWASP Top Ten
-
マスタリングAPIアーキテクチャ
-
IDORInsecure Direct Object Reference #Security アクセス制御の不備により、URLやパラメータのID等を変更するだけで他のユーザーのデータにアクセスできてしまう脆弱性 OWASP Top Tenにおける代表的な脆弱性の一つで、Broken Access Controlの典型例 主な攻撃パターン URL操作: /user/123を/user/124に変更して他ユーザーの情報にアクセス リクエストボディ操作: POSTやPUTリクエストのID部分を改ざん ファイルアクセス: 静的ファイルのパス操作による機密情報の取得 対策として認可チェックの実装とUUIDのような推測困難なIDの利用が重要 https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html