日本セキュリティオペレーション事業者協議会(ISOG-J)は4月12日、「新技術に対する診断手法分科会」が「細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント」を公開したと発表した。同分科会は、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループ。


 同ドキュメントは、クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性をあえてスコープから外し、TOCTOUやクラウドサービスにおける誤った実装・設定不備など、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性にターゲットを絞り、メンバーが思い思いの脆弱性について記載したもの。

 それぞれの脆弱性について、概要と原因、誤った利用の例、影響、根本的な対策と一時的な対策、参考文献なども記載されているので理解、対応がしやすい。また、クラウドサービスでは意図せず脆弱な設定をしてしまうこともあるため、活用度の高いドキュメントといえるだろう。

 現時点で掲載されている脆弱性

・NoSQL Injection
・OAuth/OpenID Connect
・Prototype Pollution
・TOCTOU/レースコンディション
・クラウドサービスにおけるWebサービスにまつわる脆弱性
 IDaaSの活用に起因する脆弱性とその悪用
 EDoS(Economic Denial of Sustainability) - IDaaS
 アプリケーションの権限に関するカスタム属性の変更 - IDaaS
 デフォルトエラーに起因するユーザーの開示 - IDaaS
 意図しないサインアップ経路の存在 - IDaaS
 FaaSにおける設定不備と脆弱性の悪用
 Webアプリケーションの脆弱性を利用した認証情報の窃取
 クラウドストレージサービスにおける設定不備
・Web Cache Poisoning

執筆者一覧(順不同)

三井物産セキュアディレクション株式会社
 廣田一貴氏、山本健太氏、洲崎俊氏

株式会社セキュアスカイ・テクノロジー
 岩間湧氏、秋本悠一朗氏、中野智夫氏

LINE株式会社
 林義徳氏

サイボウズ株式会社
 大塚純平氏

富士通株式会社
 下川善久氏

株式会社Flatt Security
 齋藤徳秀氏

元の記事を読む

編集部おすすめ