カスタムコードで作り込みやすい脆弱性トップ10
開発者向けの脆弱性対策プラットフォームを提供するSnykは、カスタムコードにおいて作り込みやすい脆弱性を調査し、結果を取りまとめた。
ライブラリやパッケージに起因するものではなく、利用者がコーディングした「カスタムコード」について調査を実施。2022年に同プラットフォームで検出した脆弱性をランキングとして取りまとめたもの。
言語は、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7種類を対象としており、一般的によく見られる脆弱性について集計した。ランキングは以下のとおり。
第1位:ディレクトリトラバーサル(パストラバーサル)
第2位:クロスサイトスクリプティング(XSS)
第3位:ハードコードされた認証情報
第4位:オープンリダイレクト
第5位:安全でないハッシュの利用
第6位:クロスサイトリクエストフォージェリ(CSRF)
第7位:SQLインジェクション
第8位:「HttpOnly」の指定がないセンシティブなCookieの使用
第9位:平文による機密情報の通信
第10位:不適切な証明書の検証
(Security NEXT - 2023/07/14 )
ツイート
関連リンク
PR
関連記事
メール誤送信で留学生受入先のメアドが流出 - 福知山公立大
草津市指定管理者の運営2サイトが改ざん被害 - 偽警告を表示
米当局、悪用脆弱性に6件追加 - SharePoint関連はランサムも悪用
「Apache httpd」のアクセス制御に脆弱性 - 条件分岐が常時「真」に
NASとWi-Fiルータの初期パスワードに注意喚起 - バッファロー
NASがランサム被害、脅迫メッセージを確認 - 福祉サービスのNPO法人
NVIDIAのGPUディスプレイドライバや仮想GPUソフトに複数脆弱性
GitLabにXSSなど複数の脆弱性 - アップデートを呼びかけ
SonicWall「SMA 100」に脆弱性 - Googleが報告した攻撃との関連不明
「Sophos Firewall」に複数の「クリティカル」脆弱性 - 対象機器は1%未満