オープンWebアプリケーションセキュリティプロジェクト（OWASP）は、アプリケーションセキュリティに関する不公平で実用的な情報を証明するための専用の非営利団体です。 OWASPのトップ10は、最も重要なWebアプリケーションのセキュリティ上の欠陥を表しています。 これらの脆弱性は、Webアプリケーションで頻繁に発生し、攻撃者がシステムを引き継いで機密データを盗む可能性があるため、危険です。 セキュリティ違反は、Webアプリケーション層やエンタープライズを通じて拡大し続けており、組織はセキュリティに対する新しいアプローチを必要としています。 AIONCLOUDは、OWASPトップ10に対する完全な保護を提供します。 ここでは、トップ10の脆弱性の簡単な説明と、AIONCLOUDがそれらをどのように保護するかについて説明します。 1.インジェクション SQL、OS、LDAP、Xpath、NoSQLなどのインジェクションの脆弱性は、アプリケーションが信頼できないデータをインタプリタにコマンドまたはクエリの一部として送信するときに発生します。 攻撃者は、インタプリタの構文を利用するシンプルなテキストベースの攻撃を送信し、許可なしに意図しないコマンドを実行して、インタプリタを保護されたデータにアクセスさせます。 損失データへのインジェクションの影響とサービスの拒否。 AIONCLOUDは、2つのセキュリティポリシーを使用してインジェクションから保護することができます。 – SQLインジェクション検出：HTTPリクエストデータをチェックしてSQLインジェクション攻撃を検出する – コマンドインジェクション検出：HTTPリクエストデータを検査して、主要なシステムコマンドを使用してWebサーバーの情報を盗み出すか、サービスの失敗を引き起こすコマンドインジェクション攻撃を検出する 2.壊れた認証とセッション管理 認証とセッション管理はしばしば正しく実装されないため、攻撃者はパスワード、キー、セッションIDを悪用してユーザーの身元を偽装します。 アカウントの攻撃が成功すると、攻撃者は何らかの認証を行うことができます。 AIONCLOUDは、Cookie偽装検出を通じてこの脆弱性に対応します。 – Cookie偽造検出：別のCookieを使用してWebサーバーを攻撃した攻撃者を検出する 3.クロスサイトスクリプティング（XSS） クロスサイトスクリプティングの欠陥は、アプリケーションが信頼できないデータを取得し、適切な検証やエスケープを行わずにWebブラウザに送信した場合に発生します。 クロスサイトスクリプティングには次の3つのタイプがあります。 格納された、反映された、DOMベースのXSS。攻撃者はブラウザでスクリプトを実行して、ユーザーセッションを乗っ取ったり、敵対的なコンテンツを挿入したり、ウェブサイトを改ざんしたりすることができます。 AIONCLOUDはXSSに対する保護を提供します – XSS検出：HTTP要求データをチェックしてXSS攻撃を検出する 4.安全でない直接オブジェクト参照 直接オブジェクト参照の脆弱性は、ファイル、ディレクトリ、DBキーなどの内部実装オブジェクトへの参照を公開するときに発生します。 アプリケーションでは、ユーザーが承認されていることを常に確認するとは限りませんので、直接オブジェクト参照が不安定になり、攻撃者は公開された参照を操作して不正なデータにアクセスします。 AIONCLOUDは、ディレクトリベースのアクセス制御とアプリケーションの悪用から保護します。 – ディレクトリアクセスの検出：間違ったサーバー設定や重要なファイルのロケーションエラーを使用して、情報の漏洩/偽造やダイレクトディレクトリへのアクセスを防止する 5.セキュリティミスコンフィギュレーション アプリケーションを保護するには、アプリケーションサーバー、アプリケーションフレームワーク、Webサーバー、DBサーバー、およびソフトウェアのセキュリティ構成を定義して開発する必要があります。 この欠陥により、攻撃者はシステムのデータや機能にアクセスできます。 AIONCLOUDは、4つのポリシーを通じてセキュリティ構成エラーに応答します。 – ディレクトリリスト：Webサーバーの不適切な設定のために、Webサーバー上のすべてのディレクトリおよびファイル情報がユーザーに公開される脆弱性をブロックする – エラーページクローキング：Webサーバーの内部エラーのためにエラーページが送信された場合、またはWebサーバーの応答コードが指定されたエラーコードである場合、指定されたページにリダイレクトする – 悪意のあるファイルアップロードの検出：ファイルのアップロードに関する規制がない場合、悪質なファイルの実行をブロックしてWebサーバーを攻撃する – デフォルトページアクセスの検出：HTTPリクエストデータをチェックして、アプリケーションで使用されているインストール/サンプル/ライブラリファイルへのアクセスを検出する 6.機密データ公開 機密データが適切に保護され、暗号化されていません。攻撃者は、機密データを窃取または改変して、クレジットカード詐欺、個人情報盗難またはその他の犯罪を行う。 機密性の高いデータには、健康記録、社会的な番号、クレジットカード番号、個人データなどが含まれており、ブラウザとの交換時に特別な予防措置を講じる必要があります。 AIONCLOUDは機密データの暴露を防ぐことができます。 – SSL Termination：HTTPS送信の暗号化/復号化によるHTTPS攻撃のブロックおよび検出 – 流入/流出個人情報の検出：HTTP応答データをチェックして、着信/発信データをブロックし、ソーシャル番号またはカード番号に対応するデータのマスキング、ユーザによって設定されたルール 7.機能レベルのアクセス制御がない ファンクションレベルの保護は設定によって管理され、ほとんどのアプリケーションは機能レベルのアクセスを正しく検証します。 攻撃者は、要求が検証されなかった場合に適切なアクセス権なしに機能にアクセスする要求を偽造することができます。 管理機能は頻繁にターゲットとされ、これらの欠陥により攻撃者は不正な機能にアクセスすることができます。 AIONCLOUDは、この脆弱性に2つのポリシーで対応できます。 – 強制ブラウジング：過去1分間にHTTP要求に対する異常応答の数が設定したしきい値を超えた場合に検出し、リストをブラックリストに追加します。 – URLアクセス制御：管理ページなどの重要なURLへのアクセスを制御する 8.クロスサイトリクエスト偽造 サイト間要求偽造攻撃により、ログオンしたブラウザは、セッションCookieと資格情報を含む偽のHTTP要求を自動的に送信します。 攻撃者は、犠牲者からの正当な要求である偽造された要求を生成するために、悪意のあるWebページを作成することができます。 AIONCLOUDはCSRFの脆弱性を守ることができます。 – CSRF検出：HTTP要求データをチェックしてCSRF攻撃をブロックする 9.既知の脆弱性を持つコンポーネントの使用 ライブラリ、フレームワーク、その他のソフトウェアモジュールなどの脆弱なコンポーネントは、完全な権限で実行されますが、スキャンや手動による分析、攻撃コードのカスタマイズによって悪用される可能性があります。 脆弱なコンポーネントを持つアプリケーションは、防御を損なう可能性があり、攻撃や影響の可能性のある範囲を拡大することができます。 AIONCLOUDは、アプリケーションの脆弱性の検出を通じて対応できます。 – アプリケーション脆弱性検出：HTTP要求データをチェックして、Webアプリケーションの脆弱性を標的とする攻撃を検出する 10.未確認のリダイレクトと転送 アプリケーションは頻繁にユーザーを他のページにリダイレクトして転送し、信頼できないデータを使用して宛先ページを決定します。 攻撃者は、ユーザーにウェブサイトへのリクエストを提出し、犠牲者がそれをクリックすると、無防備なリダイレクトや罠にリンクすることができます。 また、攻撃者は、フォワードを使用して不正なページにアクセスし、マルウェアをインストールしたり機密データを漏洩させることができます。 このポリシーによりAIONCLOUDが対応します。 – 未確認リダイレクト検出：HTTPリダイレクト/フォワードレスポンスヘッダーとリクエストヘッダーをチェックして、Web攻撃者のページが通常のページにアクセスすることを騙されたかどうかを検出します 今まで、OWASPトップ10と、AIONCLOUDがOWASPのトップ10の脆弱性からあなたのウェブサイトを保護する方法をご紹介しました。 しかし、これら最新のセキュリティ脅威からあなたのウェブサイトを簡単に保護する方法があります！ AIONCLOUDは強力なセキュリティを提供し、OWASP Top 10からあなたのウェブサイトを保護します。 AIONCLOUDは、簡単なポリシー設定であなたのWebサイトを安全にします。 無料で始めるWAFサービス AIONCLOUD をご利用ください！