📗
owasp-automated-threats-to-web-applications-ja
  • OWASP Automated Threats to Web Applications ja
  • OWASP ウェブアプリケーションに対する自動化された脅威 日本語版
    • OWASP ウェブアプリケーションに対する自動化された脅威
      • OAT-020 アカウント集約 (Account Aggregation)
      • OAT-019 アカウント作成 (Account Creation)
      • OAT-003 広告偽装 (Ad Fraud)
      • OAT-009 CAPTCHA 破り (CAPTCHA Defeat)
      • OAT-010 カードクラッキング (Card Cracking)
      • OAT-001 カード試行 (Carding)
      • OAT-012 現金引き出し (Cashing Out)
      • OAT-007 認証情報クラッキング (Credential Cracking)
      • OAT-008 認証情報スタッフィング (Credential Stuffing)
      • OAT-021 在庫拒否 (Denial of Inventory)
      • OAT-015 サービス拒否 (Denial of Service)
      • OAT-006 高速化 (Expediting)
      • OAT-004 指紋採取 (Fingerprinting)
      • OAT-018 足跡採取 (Footprinting)
      • OAT-005 スキャルピング (Scalping)
      • OAT-011 スクレイピング (Scraping)
      • OAT-016 スキューイング (Skewing)
      • OAT-013 狙撃 (Sniping)
      • OAT-017 スパム行為 (Spamming)
      • OAT-002 トークンクラッキング (Token Cracking)
      • OAT-014 脆弱性スキャン (Vulnerability Scanning)
    • 範囲と定義
    • ユースケースシナリオ
    • オントロジー
    • 文献
    • よくある質問
    • 謝辞とスポンサー
    • インフォメーション
    • リーダー
Powered by GitBook
On this page
  • 範囲
  • 定義
  • ウェブアプリケーションに対する自動化された脅威
  • 用語集
  • アクション
  • アプリケーション
  • アプリケーション層
  • 脅威
  • 脅威エージェント
  • 脅威イベント
  • ウェブ
  • ウェブアプリケーション
  1. OWASP ウェブアプリケーションに対する自動化された脅威 日本語版

範囲と定義

範囲

その目的はウェブアプリケーションに対する現実世界での自動化された脅威を、アプリケーションオーナーが関連付けできる抽象的なレベルで説明する、ベンダー中立で技術にとらわれない用語のリストを作成することでした。これらの用語は自動化されたアクションを使用して実行されるウェブアプリケーションに対する脅威イベントです。

焦点は機能の不正使用、つまり本来の機能の不正使用とそれに関連する設計上の欠陥で、その一部はビジネスロジックの欠陥とも呼ばれます。実装上のバグについてはほとんど焦点を当てていません。後者が攻撃の対象にならないわけではありませんが、この分野についてはより多くの知識が公表されており、用語についてもより多くの合意が得られています。特定されたすべてのシナリオは脅威を具体化するためにウェブが存在することを必要とします。シナリオの多くはウェブアプリケーションを所有または運用する組織に影響を与えますが、いくつかのシナリオでは個人やその他の団体により焦点を当てた影響を与えます。ウェブを介さずに実現できる攻撃は範囲外です。

定義

ウェブアプリケーションに対する自動化された脅威

自動化されたアクションを使用して実行されるウェブアプリケーションに対する脅威イベントです。

ウェブを介さずに実現できる攻撃は範囲外です。

用語集

アクション

脅威エージェントによって資産に対して行われる行為です。最初に資産と脅威エージェントが接触することを要求します (参考情報 1)

アプリケーション

システムソフトウェアではなく、ビジネスプロセスを実行するソフトウェアです

情報システムによってホストされるソフトウェアプログラムです (参考情報 2)

アプリケーション層

OSI モデルの「第 7 層」(参考情報 3) および TCP/IP モデルの「アプリケーション層」(参考情報 4) です

脅威

資産や組織に損害を与えるような行為をする可能性のあるものです; たとえば、天災 (天候、地変など); 悪意のあるアクター; エラー; 故障 (参考情報 1)

脅威エージェント

資産に対して損害をもたらすような行為をする可能性があるエージェント (物体、物質、人間など) です (参考情報 1)

脅威イベント

脅威エージェントが資産に対して行為をする際に発生します (参考情報 1)

ウェブ

World Wide Web (WWW, あるいは単に Web) はリソースと呼ばれる関心のある項目が統一資源識別子 (Uniform Resource Identifier, URI) と呼ばれるグローバル識別子によって識別される情報空間です (参考情報 5)

Web テクノロジーの最初の三つの仕様では URL, HTTP, HTML を定義しています (参考情報 6)

ウェブアプリケーション

ウェブ上で配信されるアプリケーションです

用語集の参考情報:

PreviousOAT-014 脆弱性スキャン (Vulnerability Scanning)Nextユースケースシナリオ

Last updated 2 years ago

Risk Taxonomy, Technical Standard, The Open Group, 2009
NISTIR 7298 rev 2, NIST
OSI model, Wikipedia
TCP/IP model, Wikipedia
Architecture of the World Wide Web, Volume One, W3C
Help and FAQ, W3C