カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査

今回は「カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」–Snyk調査」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。

 これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。

 ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。

 2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエストフォージェリ(CSRF)」「SQLインジェクション」「“HttpOnly”フラグがないセンシティブなCookie」「機密情報の暗号化通信」「不適切な証明書の有効化」の順となった。

 このランキングは、最先端の機械学習とハイブリッドAIを担当するSnykセキュリティ研究チームの調査を基にしている。Snykは、デジタル化が急速に進んだ現代においてセキュアなアプリケーションを構築し、維持していくためには、独自に開発したアプリケーションのリスク管理方法も含め、最も一般的な脆弱性を常に把握しておくことが重要だとしている。

 2位となったクロスサイトスクリプティングは、インジェクションを利用して、生産性や信頼性の高いウェブサイトに悪意のあるスクリプトを埋め込むウェブサイト攻撃手法。一般的には、悪意のあるブラウザー側のスクリプトを他のユーザーに送信することで行われる。

 3位のハードコードされた認証情報はインバウンド認証、外部コンポーネントへのアウトバウンド通信、および内部データの暗号化などを使用する際、これらのクレデンシャル(認証に必要な情報)をコードに直接記述(ハードコード化)される。しかしこの場合、コード内の複数の場所にクレデンシャルが分散しているために、再展開が必要となったときに、クレデンシャルを変更することが困難になってしまうという。

 4位のオープンリダイレクトの脆弱性は、アプリケーションがリダイレクトを制御したり、別のURLに転送したりすることをユーザーに許可する場合に発生する。

 5位の安全ではないハッシュの脆弱性は、暗号に関連する障害となる。ハッシュは、サインインメッセージやブロックチェーンアプリケーションのパスワードなどに関する秘密の保存と確認によく使用される。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
企業の成長戦略とテクノロジースタックを整合させるには
IT関連
2023-01-14 05:00
富士通ら3社、製造業のDX実現に向け協業–PLMシステムなどのソリューション提供体制を強化
IT関連
2023-08-27 09:35
カペルスキー、米FCCが「国家安全保障上の脅威」と認定
IT関連
2022-03-30 16:32
Googleの10カ国の従業員、世界規模の労組「Alpha Global」結成
企業・業界動向
2021-01-27 04:19
ビットコインの価値はその周りの「ネットワーク効果」で考えるとよくわかる
ブロックチェーン
2021-06-15 11:58
疲弊する開発者、企業は何を変える必要があるか–英調査から考える
IT関連
2021-08-03 17:55
Google、開発者向けの無料プログラム「Google Developer Program」開始。WebIDE「Project IDX」のワークスペースを5つまでなど特典が提供
Google
2024-06-05 10:40
エイベックス、中国bilibiliとライセンス契約 J-POPのMVを提供 日本の大手レーベルで初
企業・業界動向
2021-01-14 21:35
営業先との商談を対面からオンラインに マイナビがテレキューブを選んだワケ 「求められたのは機密性」
PR
2021-01-13 04:39
「OpenStack」「Kata Containers」への関心が再燃–背景にプライベートクラウドへの移行
IT関連
2024-09-12 07:20
グーグルのレッドチームが解説する、AIに対する攻撃手法4つ
IT関連
2023-08-19 03:30
ウイングアーク1st、Peppolサービスプロバイダーとしてデジタル庁から認定
IT関連
2022-11-01 20:02
カーネルにDBMSを載せた分散OS「DBOS」の特徴と利点は? サーバレスでTypeScriptとPythonの実行に対応
OS
2024-09-17 08:54
土偶作者は右利きの可能性 文化財の新たな“鑑賞”手法、NHKが8K活用
IT関連
2021-04-21 19:11