カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査

今回は「カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。

 これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。

 ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。

 2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエストフォージェリ(CSRF)」「SQLインジェクション」「“HttpOnly”フラグがないセンシティブなCookie」「機密情報の暗号化通信」「不適切な証明書の有効化」の順となった。

 このランキングは、最先端の機械学習とハイブリッドAIを担当するSnykセキュリティ研究チームの調査を基にしている。Snykは、デジタル化が急速に進んだ現代においてセキュアなアプリケーションを構築し、維持していくためには、独自に開発したアプリケーションのリスク管理方法も含め、最も一般的な脆弱性を常に把握しておくことが重要だとしている。

 2位となったクロスサイトスクリプティングは、インジェクションを利用して、生産性や信頼性の高いウェブサイトに悪意のあるスクリプトを埋め込むウェブサイト攻撃手法。一般的には、悪意のあるブラウザー側のスクリプトを他のユーザーに送信することで行われる。

 3位のハードコードされた認証情報はインバウンド認証、外部コンポーネントへのアウトバウンド通信、および内部データの暗号化などを使用する際、これらのクレデンシャル(認証に必要な情報)をコードに直接記述(ハードコード化)される。しかしこの場合、コード内の複数の場所にクレデンシャルが分散しているために、再展開が必要となったときに、クレデンシャルを変更することが困難になってしまうという。

 4位のオープンリダイレクトの脆弱性は、アプリケーションがリダイレクトを制御したり、別のURLに転送したりすることをユーザーに許可する場合に発生する。

 5位の安全ではないハッシュの脆弱性は、暗号に関連する障害となる。ハッシュは、サインインメッセージやブロックチェーンアプリケーションのパスワードなどに関する秘密の保存と確認によく使用される。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
スペースXが新たに60基のStarlink衛星を打ち上げ、1カ月あまりで計300基が地球低軌道へ
宇宙
2021-04-09 22:16
デジタルトランスフォーメーション:バリューを最大化する予算配分を実現するためのヒント
IT関連
2021-08-10 05:31
ヨネックス、DX推進のため基幹システムを刷新–グローバルサプライチェーンを強化へ
IT関連
2021-08-12 03:25
「ポケモンユナイト」でeスポーツ「MOBA」は日本に根付くか キーワードは知名度と「基本無料」 (1/2 ページ)
くわしく
2021-08-04 05:27
140年の歴史を持つ老舗IT企業のNCRはどのように生まれ変わったのか
IT関連
2024-03-09 22:18
IIJ、都立学校248校の帯域確保型インターネット接続環境を構築
IT関連
2023-04-30 06:43
大阪市、生成AIを市民サービスや庁内業務に活用へ–PwCコンサルティングと共同検証
IT関連
2023-09-02 10:13
8種のツールを小型本サイズに収めたLiquid Instrumentsの「Moku:Go」はエンジニアや学生の必需品になる
ハードウェア
2021-05-21 00:34
個人投資家はどうすれば?–市場が恐れる中国景気減速とタリバンリスク
IT関連
2021-08-20 18:00
セールスフォース、CRM向け生成AIアシスタント「Einstein Copilot」の正式ベータ版を提供
IT関連
2024-03-02 23:33
アジアのHRテックプラットフォームDarwinboxがTCV主導で約81.9億円調達、ユニコーンに
IT関連
2022-01-26 07:09
那須町、児童生徒のiPad管理に「Jamf Pro」採用–授業でのアプリ活用を迅速化
IT関連
2022-05-29 10:05
Coinbase、第4四半期決算で予想を上回るも年明けの低迷を受け株価は沈む
IT関連
2022-02-27 20:44
総務大臣奨励賞に「シン・テレワークシステム」の登大遊さんら サイバーセキュリティ分野の功績を表彰
セキュリティ
2021-02-27 20:59