📗
owasp-asvs-ja
  • OWASP Application Security Verification Standard ja
  • OWASP アプリケーションセキュリティ検証標準 5.0 日本語版
    • 口絵
    • 序文
    • ASVS とは何か?
    • 監査と認証
    • v4.x と比較した変更点
    • V1: エンコーディングとサニタイゼーション
    • V2: バリデーションとビジネスロジック
    • V3: Web フロントエンドセキュリティ
    • V4: API と Web サービス
    • V5: ファイル処理
    • V6: 認証
    • V7: セッション管理
    • V8: 認可
    • V9: 自己完結型トークン
    • V10: OAuth と OIDC
    • V11: 暗号化
    • V12: 安全な通信
    • V13: 構成
    • V14: データ保護
    • V15: セキュアコーディングとアーキテクチャ
    • V16: セキュリティログ記録とエラー処理
    • V17: WebRTC
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 V: 暗号化標準
    • 付録 X: 推奨事項
  • OWASP アプリケーションセキュリティ検証標準 4.0 日本語版
    • ヘッダ
    • 口絵
    • 序文
    • ASVS の使い方
    • 監査と認証
    • V1: アーキテクチャ、設計、脅威モデリング
    • V2: 認証
    • V3: セッション管理
    • V4: アクセス制御
    • V5: バリデーション、サニタイゼーション、エンコーディング
    • V6: 保存時における暗号化
    • V7: エラー処理とログ記録
    • V8: データ保護
    • V9: 通信
    • V10: 悪意あるコード
    • V11: ビジネスロジック
    • V12: ファイルとリソース
    • V13: API と Web サービス
    • V14: 構成
    • 付録 A: 用語集
    • 付録 B: 参考情報
    • 付録 C: Internet of Things の検証要件
Powered by GitBook
On this page
  • 管理目標
  • V11.1 ビジネスロジックセキュリティ
  • 参考情報

Was this helpful?

  1. OWASP アプリケーションセキュリティ検証標準 4.0 日本語版

V11: ビジネスロジック

管理目標

検証対象のアプリケーションが以下の上位要件を満たすことを確認します。

  • ビジネスロジックフローはシーケンシャルであり、順番に処理され、迂回できません。

  • ビジネスロジックには継続的な小額の資金転送や一度に百万の友人の追加などの自動攻撃を検出および防御するための制限を含んでいます。

  • 高価値のビジネスロジックフローでは悪用ケースや悪意のある人物を考慮し、なりすまし、改竄、情報漏洩、権限昇格の攻撃に対する保護を有しています。

V11.1 ビジネスロジックセキュリティ

ビジネスロジックセキュリティはすべてのアプリケーションにはそれぞれ個性があるため、一つのチェックリストをすべてに適用することはできません。ビジネスロジックセキュリティは外部からの脅威に対して保護するように設計されている必要があります。Web アプリケーションファイアウォールやセキュア通信を使用して追加することはできません。OWASP Cornucopia や同様のツールを使用するなどして、デザインスプリントの中で脅威モデリングを使用することをお勧めします。

#
説明
L1
L2
L3
CWE

11.1.1

アプリケーションは同じユーザのビジネスロジックフローをシーケンシャルなステップ順序でのみ処理し、ステップをスキップしない。

✓

✓

✓

841

11.1.2

アプリケーションはすべてのステップで現実的な人的時間、すなわちトランザクションがあまりに速く送信されていない、で処理されたビジネスロジックフローのみを処理する。

✓

✓

✓

799

11.1.3

アプリケーションはユーザごとに正しく適用される特定のビジネスアクションやトランザクションに対して適切な制限がある。

✓

✓

✓

770

11.1.4

アプリケーションは大量のデータ流出、ビジネスロジックリクエスト、ファイルアップロード、サービス拒否攻撃などの過度の呼び出しから防御するための自動化防止コントロールがある。

✓

✓

✓

770

11.1.5

アプリケーションは、脅威モデリングや同様の方法論を用いて特定された、起こりうるビジネスリスクや脅威から保護するためにビジネスロジック制限やバリデーションがある。

✓

✓

✓

841

11.1.6

アプリケーションは機密性の高い操作に対する "Time Of Check to Time Of Use" (TOCTOU) 問題やその他の競合状態を被っていない。

✓

✓

367

11.1.7

✓

✓

754

11.1.8

アプリケーションは自動化された攻撃や異常なアクティビティが検出されたときに設定可能なアラートを発している。

✓

✓

390

参考情報

詳しくは以下の情報を参照してください。

PreviousV10: 悪意あるコードNextV12: ファイルとリソース

Last updated 4 months ago

Was this helpful?

アプリケーションはビジネスロジックの観点から異常なイベントやアクティビティを監視している。例えば、順序の異なるアクションや通常のユーザが決して行わないアクションを実行しようと試みる。 ()

や の使用を含め、自動化対策はさまざまな方法で実現できます。

は攻撃検出と対応にも役立ちます。

OWASP Web Security Testing Guide 4.1: Business Logic Testing
OWASP AppSensor
OWASP Automated Threats to Web Applications
OWASP AppSensor
OWASP Cornucopia
C9