OWASP Top10 2017 の全項目をカバー
WAF 『Scutum』では、OWASP Top10 2017 の全項目をカバーしています
Scutumは OWASP Top10 2017 の全項目をカバーしています
OWASP は、2001年から世界に向けてWebアプリケーションのセキュリティに関する情報/技術/ツールの提供、啓蒙等を行っている、オープンなコミュニティです(The Open Web Application Security Project)。
OWASP Top10は、OWASPがWebアプリケーションのセキュリティ上影響が大きいと考える主要なリスクを10項目にまとめたもので、通常3年に一度のペースでリリースされています。
2017年11月、新たに OWASP Top10 2017(最終版)が発表されました。
https://wiki.owasp.org/images/2/23/OWASP_Top_10-2017%28ja%29.pdf
今回の内容はこの10項目となります。
- A1 Injection
- A2 Broken Authentication
- A3 Sensitive Data Exposure
- A4 XML External Entities(XXE)【New】
- A5 Broken Access Control
- A6 Security Misconfiguration
- A7 Cross-Site Scripting(XSS)
- A8 Insecure Deserialization【New】
- A9 Using Components with Known Vulnerabilities
- A10 Insufficient Logging & Monitoring【New】
Scutumでは2017年11月30日現在、OWASP Top10 2017の全項目について、Scutumが提供する防御機能により既にカバーされており、その影響を抑制できることを確認済みです。
Top10は、OWASPが最も影響が大きいと考える項目を抽出したものですが、例えば今回Top10から外れたCSRF等のリスクが急に無くなったということではありませんし、その他にもWebアプリケーションを攻撃から防御する上で重要な項目は多数存在します。Scutumでは、OWASP Top10以外の主要なセキュリティリスクや攻撃手法の多くにも対応しています。