A01_2021-アクセス制御の破損
不十分なアクセス制御による脆弱性が原因で、データの不正な閲覧、変更、削除が発生する可能性があります。
- 脆弱なページアクセスの検出
- ディレクトリリスティング
- ステムファイルアクセスの検出
A02_2021-暗号化の失敗
データの転送と保存時の不十分な暗号化により情報漏洩が発生する可能性のある脆弱性
- 個人情報侵入検出
- 個人情報の漏洩を検出
- SSLオフロード
A03_2021-インジェクション
信頼できないデータがコマンドやクエリ文に注入され、インタープリターに送信され、情報の漏洩が発生する可能性のある脆弱性
- SQLインジェクション
- LDAPインジェクション
- コマンドインジェクション
- NoSQLインジェクション
A04_2021-セキュリティ設計の不備
不足または効果のない制御設計により、脅威が悪用できる脆弱性
- URLの暗号化
- アプリケーションのプロファイリング
- APIの保護
A05_2021-セキュリティの設定ミス
アプリケーションやクラウドサービスにおけるセキュリティ設定の不足により発生する可能性のある脆弱性
- エラーページのクローキング
- ヘッダーのクローキング
- HTTPメソッドの制限の検出
- HTTPの不正なリクエストの検出
A06_2021-脆弱で時代遅れのコンポーネント
脆弱なまたはサポートされていないソフトウェア、ライブラリ、コンポーネントなどのバージョンを使用し、セキュリティの更新を適用しないことによって引き起こされる脆弱性
- アプリケーションの脆弱性検出
- Webサーバーの脆弱性検出
A07_2021-識別および認証の失敗
攻撃者がアカウント情報のリストを用いた資格情報詰め込みなどの自動化攻撃を行うことを可能にする脆弱性
- クッキーの偽造の検出
- 不正なログイン試行
A08_2021-ソフトウェアおよびデータの整合性の失敗
信頼できないソースコード、リポジトリ、CDN、ライブラリ、またはモジュールに依存している場合に発生する可能性のある脆弱性
- アプリケーションの脆弱性検出
- クッキーの偽造の検出
A09_2021-セキュリティの記録と監視の失敗
脅威が記録および監視システムに対して信頼できない入力を行うことによって引き起こされる脆弱性
- URLアクセス規則
- 優先ポリシー:URLアクセス規則
- すべてのポリシー応答データの記録
A10_2021-サーバーサイドリクエスト偽装(SSRF)
ウェブアプリケーションが検証を行わずにリモートリソースを取得する場合に発生する可能性のある脆弱性
- ヘッダーの脆弱性検出
- クロスサイトスクリプト
- IPポリシー
