OWASP ウェブアプリケーションに対する自動化された脅威
OWASP ウェブアプリケーションに対する自動化された脅威プロジェクトはレポート、学術論文、その他の論文、ニュース記事、脆弱性分類法/リストのレビューを完了し、これらのシナリオを特定、命名、分類しました。ソフトウェアによって自動化され、許容された動作からの逸脱を引き起こし、ウェブアプリケーションに一つ以上の望ましくない影響をもたらしますが、単一問題の脆弱性をツールベースで悪用することは除外しています。当初の目的は開発者、アーキテクト、オペレーター、ビジネスオーナー、セキュリティエンジニア、購買担当者、サプライヤー/ベンダーに共通の言語を提供するオントロジーを作成して、明確なコミュニケーションを促進し、問題解決に貢献することでした。また、このプロジェクトではこの問題領域の症状、緩和策、管理策も特定しています。プロジェクトチームはハンドブックを最新の状態に保つために変更や追加の可能性を監視しています。すべての OWASP の成果物と同様に、すべてがフリーで、オープンソースライセンスを使用して公開されています。
説明
ウェブアプリケーションは毎日のように望まれない自動化された使用にされされています。多くの場合、これらのイベントは未対応の脆弱性を悪用しようとするものではなく、本来の有効な機能の不正使用に関連しています。また、過度の不正使用は一般的に HTTP フラッディングのようなアプリケーションサービス拒否 (DoS) として誤って報告されがちですが、実際には DoS が主目的はなく副次的な影響です。多くの場合、これらには分野固有の名称がついています。ウェブアプリケーションのオーナーが定期的に見かけるこれらの問題のほとんどは OWASP Top Ten や他の上位問題リストには掲載されません。さらに、これらは既存の辞書に適切に列挙されることも定義されることもありません。これらの要因により可視性が不十分であり、そのような脅威の命名に一貫性がなく、その結果、問題に対処する試みが明確ではなくなっています。
開発者、オペレーター、アーキテクト、ビジネスオーナー、セキュリティエンジニア、購買担当者、サプライヤー/ベンダーの間で共通の言語を共有しなければ、誰もが明確にコミュニケーションをとるために余計な努力をしなければなりません。 誤解は高くつくかもしれません。その悪影響はアプリケーションや関連するシステムコンポーネントのセキュリティだけでなく、個人のプライバシーやセキュリティにも及びます。
自動化された脅威
脅威イベントのリストは OWASP Automated Threat Handbook でより詳細に定義されており、アルファベット順になっています。
どれがどれかわからない? 脅威識別チャート と ハンドブック全体 を併用してください。
ライセンス
すべての素材は自由に使用できます。これらは Creative Commons Attribution-ShareAlike 3.0 license の下でライセンスされていますので、あなたはこの著作物を複製、配布、送信できますし、翻案や商業的な使用が可能ですが、すべて帰属表示が必要です。この著作物を変更、変形、構築する場合、結果として得られる著作物はこの著作物と同じまたは類似のライセンスの下でのみ配布可能です。
© OWASP Foundation
Last updated