Shikata Ga Nai

Private? There is no such things.

OWASP TOP10 2021のBroken Access Controlについて確認してみた

Hello there, ('ω')ノ

 

WebアプリケーションのOWASP TOP10 2021は、下記のとおりで。

 https://www.infosectrain.com/blog/owasp-top-10-vulnerabilities-2021-revealed/

 

f:id:ThisIsOne:20220102205721p:plain

 

概要については、下記のとおりで。

 https://owasp.org/Top10/ja/

 

f:id:ThisIsOne:20220102164108p:plain

 

アクセス制御の不備についての詳細をCWEから確認すると。

 https://owasp.org/Top10/ja/A01_2021-Broken_Access_Control/

 

f:id:ThisIsOne:20220102164240p:plain

 

これを、単純に機械翻訳してみると。

CWE-22:制限されたディレクトリへのパス名の不適切な制限

CWE-23:相対パストラバーサル

CWE-35:パストラバーサル: '... / ... //'

CWE-59:ファイルアクセス前の不適切なリンク解決(「リンク追跡」)

CWE-200:無許可のアクターへの機密情報の公開

CWE-201:送信データによる機密情報の公開

CWE-219:Webルートでの機密データを含むファイルの保存

CWE-264:アクセス許可、特権、およびアクセス制御(使用されなくなりました)

CWE-275:許可の問題

CWE-276:デフォルトの権限が正しくありません

CWE-284:不適切なアクセス制御

CWE-285:不適切な認証

CWE-352:クロスサイトリクエストフォージェリ(CSRF)

CWE-359:許可されていないアクターへの個人情報の公開

CWE-377:安全でない一時ファイル

CWE-402:新しい領域へのプライベートリソースの送信(「リソースリーク」)

CWE-425:直接リクエスト(「強制ブラウジング」)

CWE-441:意図しないプロキシまたは仲介者(「混乱した代理人」)

CWE-497:機密性の高いシステム情報の不正な制御範囲への公開

CWE-538:外部からアクセス可能なファイルまたはディレクトリへの機密情報の挿入

CWE-540:機密情報をソースコードに含める

CWE-548:ディレクトリリストによる情報の公開

CWE-552:外部の関係者がアクセスできるファイルまたはディレクトリ

CWE-566:ユーザー制御のSQL主キーを介した認証バイパス

CWE-601:信頼できないサイトへのURLリダイレクト(「オープンリダイレクト」)

CWE-639:ユーザー制御キーによる認証バイパス

CWE-651:機密情報を含むWSDLファイルの公開

CWE-668:間違った球への資源の暴露

CWE-706:誤って解決された名前または参照の使用

CWE-862:認証がありません

CWE-863:不正な認証

CWE-913:動的に管理されたコードリソースの不適切な制御

CWE-922:機密情報の安全でない保管

CWE-1275:不適切なSameSite属性を持つ機密Cookie

 

これらをまとめてみると下記のようなカテゴリにおさまりそうで。

これから全体を見ながら漏れがないように整理していく必要があるようで。

・パストラバーサル

・機密情報の公開

・アクセス制御

・不適切な認証

・CSRF

・強制ブラウジング

・ディレクトリリスティング

・機密性の高いCookieのSameSite属性設定

 

Best regards, (^^ゞ