Shikata Ga Nai

Private? There is no such things.

PortSwiggerカテゴリ × OWASP Top 10 2021 マッピング表をつくってみた

Web Security Academy PortSwigger

Hello there, ('ω')ノ

PortSwiggerカテゴリ 対応する OWASP Top 10 2021カテゴリ 備考
Access control vulnerabilities A01:2021 - Broken Access Control 権限昇格やアクセス制限の不備
API testing A04:2021 - Insecure Design / A09:2021 - Security Logging and Monitoring Failures API の設計・監視不備に関係
Authentication A07:2021 - Identification and Authentication Failures 認証の実装ミス
Business logic vulnerabilities A04:2021 - Insecure Design ロジック設計上の問題
Clickjacking A05:2021 - Security Misconfiguration フレーム制御の設定不備
Cross-origin resource sharing (CORS) A05:2021 - Security Misconfiguration CORS 設定ミス
Cross-site request forgery (CSRF) A01:2021 - Broken Access Control(間接的に該当) 旧OWASP項目、今はアクセス制御に包含される形
Cross-site scripting (XSS) A03:2021 - Injection スクリプト注入
DOM-based vulnerabilities A03:2021 - Injection / A07:2021 - Identification and Authentication Failures DOMベースXSSなど
Essential skills 該当なし 基礎知識カテゴリ
File upload vulnerabilities A01:2021 - Broken Access Control / A05:2021 - Security Misconfiguration 実行権限・保存先・拡張子制御の不備
GraphQL API vulnerabilities A04:2021 - Insecure Design / A05:2021 - Security Misconfiguration 設計・設定不備が原因になることが多い
HTTP Host header attacks A05:2021 - Security Misconfiguration ホスト名の誤信頼設定
HTTP request smuggling A05:2021 - Security Misconfiguration 中間サーバとの通信誤設定
Information disclosure A06:2021 - Vulnerable and Outdated Components / A09:2021 - Security Logging and Monitoring Failures 機密情報漏洩
Insecure deserialization A08:2021 - Software and Data Integrity Failures デシリアライズ処理の不備
JWT A02:2021 - Cryptographic Failures / A07:2021 トークン署名や暗号の誤実装
NoSQL injection A03:2021 - Injection 非SQL形式のインジェクション
OAuth authentication A02:2021 - Cryptographic Failures / A07:2021 認可情報の暗号管理・検証不備
OS command injection A03:2021 - Injection OSコマンド注入
Path traversal A01:2021 - Broken Access Control / A05:2021 - Security Misconfiguration ファイルへの不正アクセス
Prototype pollution A03:2021 - Injection / A04:2021 - Insecure Design JS特有のオブジェクト汚染
Race conditions A04:2021 - Insecure Design 設計レベルでの競合制御不備
Server-side request forgery (SSRF) A10:2021 - Server-Side Request Forgery 明示的に定義されたカテゴリ
Server-side template injection A03:2021 - Injection テンプレート言語でのコード注入
SQL injection A03:2021 - Injection 典型的なインジェクション攻撃
Web cache deception A05:2021 - Security Misconfiguration キャッシュ誤設定を利用
Web cache poisoning A05:2021 - Security Misconfiguration キャッシュ汚染による影響拡大
Web LLM attacks 該当なし(2021には未登場) 新興分野、今後のOWASPに追加される可能性あり
WebSockets A04:2021 - Insecure Design / A05:2021 - Security Misconfiguration 通信設計・制御の問題
XML external entity (XXE) injection A03:2021 - Injection / A05:2021 - Security Misconfiguration XMLパーサの誤設定による注入

Best regards, (^^ゞ