OWASP デスクトップアプリセキュリティ Top 10 は開発者、プロダクトオーナー、セキュリティエンジニア向けの標準的な啓蒙ドキュメントです。これはデスクトップアプリケーションに対する最も重要なセキュリティリスクについての幅広いコンセンサスを表しています。
開発者にとってよりセキュアなコーディングへの第一歩として世界的に認知されています。
企業はこのドキュメントを採用し、デスクトップアプリケーションやシッククライアントがこれらのリスクを最小限に抑えるようにするプロセスを開始すべきです。OWASP Top 10 を使用することは組織内のソフトウェア開発文化をよりセキュアなコードを生成するものに変えるためのおそらく最も効果的な最初のステップです。
注記: これらの Top 10 は Windows, *Nix プラットフォームを念頭に置き、一般的に利用可能な CVE、エクスプロイト、ライトアップを使用して作成されています。
Last updated
| OWASP Top 10 デスクトップアプリ | 例 |
|---|---|
DA1 - インジェクション
SQLi, LDAP, XML, OS コマンド, など
DA2 - 認証とセッション管理の不備
OS / デスクトップアプリのアカウント認証とセッション管理、外部ドライブとのインポート/エクスポートにおける認証、ネットワーク共有ドライブやその他の周辺機器における認証
DA3 - 機密データの漏洩
アプリのログアウト後のメモリ内のデータ、機密情報を含むログ、ファイルにハードコードされたシークレット、など
DA4 - 不適切な暗号化の使用
脆弱な鍵や古い暗号化アルゴリズムの使用、暗号化関数の不適切な使用、すべてのインストレーションでの暗号化パラメータの再利用、完全性チェックのための暗号化の不適切な使用
DA5 - 不適切な認可
ユーザーロールごとの脆弱なファイル/フォルダ権限、最小権限の原則の欠如、不適切なユーザーロール
DA6 - セキュリティの設定ミス
脆弱な OS 堅牢化、グループポリシー / レジストリ / ファイアウォールルールなどの設定ミス、ファイル処理アプリにおけるファイルタイプチェックの欠如、名前付きパイプの設定ミスr、サードパーティサービスの設定ミス、など
DA7 - 安全でない通信
脆弱な TLS / DTLS 暗号スイートやプロトコルの使用、転送時に暗号化されていない DB クエリ、HTTP, MQTT, COAP, などの暗号化されていない標準/カスタムプロトコル通信
DA8 - 脆弱なコード品質
ファイル完全性のためのコード署名や検証の欠如、コード難読化の欠如、DLL プリロードやインジェクション、レースコンディション、バイナリ保護の欠如 (オーバーフロー、ヌルポインタ、メモリ破壊) など
DA9 - 既知の脆弱性を持つコンポーネントの使用
古いソフトウェアの使用、Windows/サードパーティベンダの古いコンポーネント/サービスの使用
DA10 - 不十分なログ記録と監視
アクティビティの不適切なログ記録または欠如、不正使用を検出するための定期的な監視の欠如