OWASPおよびOWASPトップ10とは何ですか？

Open Web Application Security Project（OWASP）は、ソフトウェアのセキュリティを向上させるために活動する非営利団体です。 OWASPトップ10は、開発者とWebアプリケーションのセキュリティのための標準的な認識ドキュメントです。 これは、Webアプリケーションに対する最も重大なセキュリティリスクについての幅広いコンセンサスを表しています。

OWASPトップ10Webアプリケーションセキュリティリスク

1.注射

インジェクションの欠陥により、攻撃者が悪意のあるコードをWordPressデータベースにインジェクトする可能性があります。 攻撃者のコードは、WordPressまたはサーバーをだまして、適切な許可なしにコマンドを実行させる可能性があります。 悪意のあるコードは、Webサイトのユーザーのリストのエクスポートから、データベース内のテーブルの削除まで、あらゆることを行う可能性があります。

防止

データをコマンドやクエリから分離しておくと、インジェクションの脆弱性を防ぐのに役立ちます。

2.認証の失敗

壊れた認証の脆弱性により、攻撃者はユーザーまたはユーザーのパスワード、キー、またはセッショントークンを侵害して、ユーザーのアカウントを乗っ取る可能性があります。

防止

2要素認証を使用すると、認証の脆弱性からWebサイトを保護できます。

3.機密データの公開

機密データの漏洩から正しく保護されていないアプリケーションやAPIは、攻撃者がクレジットカード番号、健康記録、またはその他の個人個人情報にアクセスする可能性があります。

データは、転送中または保存中のいずれかに公開される可能性があります。

• クレジットカード番号は、あなたのウェブサイトの支払いゲートウェイへのあなたの顧客のブラウザから送信される際に転送中のデータの例があります。
• 残りの手段であるデータは、それが保存され、使用されていません。 保存データの例は、オフサイトの場所に保存されているBackupBuddyバックアップです。 バックアップは、必要になるまで停止したままになります。

防止

SSL証明書をインストールして、転送中のデータを保護および暗号化し、保存されているデータに暗号化を追加して、公開を防ぐことができます。

4. XML外部エンティティ（XXE）

多くの古いまたは不十分に構成されたXMLプロセッサは、XMLドキュメント内の外部エンティティ（ハードドライブなど）の参照を評価します。 攻撃者は、XMLパーサーをだまして、機密情報を自分の管理下にある外部エンティティに渡すことができます。

防止

XXEを防ぐ最善の方法は、JSONなどのそれほど複雑でないデータ形式を使用し、機密データのシリアル化を回避することです。

5.壊れたアクセス制御

壊れたアクセス制御の脆弱性により、攻撃者は承認をバイパスして、通常は管理者などのより高い権限を持つユーザーに制限されるタスクを実行できます。

WordPressのコンテキストでは、アクセス制御の脆弱性により、サブスクライバーの役割を持つユーザーが、プラグインやユーザーの追加/削除などの管理者レベルのタスクを実行できる可能性があります。

防止

iThemes Security Proは、信頼できるデバイスのリストへの管理者アクセスを制限することにより、アクセス制御の破損からWebサイトを保護するのに役立ちます。

6.セキュリティの設定ミス

セキュリティの設定ミスは、リストで最も一般的な問題です。 このタイプの脆弱性は、通常、安全でないデフォルト構成、過度に説明的なエラーメッセージ、および誤って構成されたHTTPヘッダーの結果です。

防止

コード内の未使用の機能を削除し、すべてのライブラリを最新の状態に保ち、エラーメッセージをより一般的にすることで、セキュリティの設定ミスの問題を軽減できます。

7.クロスサイトスクリプティング（XSS）

クロスサイトスクリプティングの脆弱性は、WebアプリケーションでユーザーがURLパスにカスタムコードを追加できる場合に発生します。 攻撃者はこの脆弱性を悪用して、被害者のWebブラウザで悪意のあるコードを実行したり、悪意のあるWebサイトへのリダイレクトを作成したり、ユーザーセッションを乗っ取ったりする可能性があります。

防止

iThemes Security Proの信頼できるデバイス機能は、セッション中にユーザーのデバイスが変更されないことを確認することにより、セッションハイジャックから保護するのに役立ちます。

8.安全でない逆シリアル化

シリアル化は、オブジェクトをアプリケーションのコードから、iThemes Security Pro設定をJSONファイルにエクスポートするなど、後で復元できる形式に変換します。

デシリアライズはそのプロセスの逆であり、何らかの形式で構造化されたデータを取得し、それをオブジェクトに再構築します。 たとえば、JSONファイルに保存したiThemes Security Pro設定を取得し、それらを新しいWebサイトにインポートします。

安全でないデシリアライズの欠陥は、リモートコード実行の悪用につながる可能性があり、多くの場合、インジェクションおよび特権昇格攻撃を引き起こす可能性があります。

防止

安全でない逆シリアル化のエクスプロイトを軽減する唯一の方法は、信頼できないソースからのシリアル化を受け入れないことです。

9.既知の脆弱性を持つコンポーネントの使用

開発者がアプリケーションでライブラリやフレームワークなどのコンポーネントを使用することはどこにでもあります。 これには、WordPressプラグインとテーマ開発者が含まれます。 これらのサードパーティのライブラリとフレームワークは、適切に更新されていない場合、セキュリティホールを引き起こす可能性があります。

防止

開発者は、未使用のサードパーティコードを削除し、信頼できるソースからのコンポーネントのみを使用することで、既知の脆弱性を持つコンポーネントを使用するリスクを最小限に抑えることができます。

10.不十分なロギングとモニタリング

ロギングとモニタリングが不十分な場合、セキュリティ違反の検出が遅れる可能性があります。 ほとんどの違反調査によると、違反を検出するまでの時間は200日を超えています。 その時間の長さにより、攻撃者は他のシステムを侵害したり、より多くのデータを変更、盗んだり、破壊したりすることができます。

防止

iThemes Security Pro WordPressセキュリティログは、多数の悪意のあるアクティビティを監視し、収集した情報を使用して攻撃をブロックし、問題が発生したときに警告します。

iThemes SecurityProサイトスキャンで保護を強化

隔月の脆弱性ラウンドアップの投稿では、最新の公開されたWordPressコア、プラグイン、およびテーマの脆弱性をすべて共有しています。 まとめで取り上げるプラグインとテーマの多くには、OWASPトップ10リストに含まれるエクスプロイトがあります。

ハッキングされたWebサイトの最大の原因は、パッチが利用可能であるが適用されていない脆弱性です。 iThemes Security ProサイトスキャンをWordPressセキュリティツールベルトに追加して、既知のセキュリティ問題によってWebサイトがダウンするのを防ぎます。 iThemes Security Proサイトスキャナーは、既知の脆弱性についてサイトをチェックし、パッチが利用可能な場合は自動的に適用します。

テーマが既知の脆弱性を持つコンポーネントを使用している場合でも、既知のクロスサイトスクリプティングの脆弱性があるプラグインを使用している場合でも、iThemes SecurityProサイトスキャンで対応できます。

まとめ：OWASPトップ10

OWASPトップ10リストは、最も一般的なセキュリティの脆弱性からアプリケーションを保護する方法についての認識を広めるための優れたリソースです。 残念ながら、これらの脆弱性がトップ10に入る理由は、それらが蔓延しているためです。 iThemes Security ProなどのWordPressセキュリティプラグインを使用すると、これらの一般的なセキュリティ問題の多くからWebサイトを保護および保護するのに役立ちます。

マイケル・ムーア

Michaelは毎週、WordPressの脆弱性レポートをまとめて、サイトを安全に保つのに役立てています。 iThemesのプロダクトマネージャーとして、彼は私たちがiThemes製品ラインナップを改善し続けるのを手伝ってくれます。 彼は巨大なオタクであり、新旧のすべての技術について学ぶのが大好きです。 マイケルが妻と娘と一緒に遊んだり、仕事をしていないときに音楽を読んだり聞いたりしているのを見つけることができます。