91郭肱利

OWASP API セキュリティ トップ10

2019のリストは、けして仟しいものではありませんが、尅り卦る駅勣があるでしょう。OWASP Top 10 が Web アプリケ�`ションのセキュリティに�vする�_�k宀�鬚韻隆猗�來秤�鵑����併�しているのと揖��に、この蒙�eなリストは、Web アプリケ�`ションに��する恷も嶷勣な API セキュリティリスクに�vする嫌ﾚいコンセンサスを燕しています。それぞれについて、なぜそれが���}を哈き軟こすのかを��てみましょう。

API1:2019 Broken Object-Level Authorization�┘�ブジェクトレベルの�J辛の音�筍�

オブジェクトレベルの�J辛は、ユ�`ザ�`がアクセスすべきオブジェクトのみにアクセスできることを�編^するために、宥械はコ�`ドレベルで�g廾されるアクセス崙囮メカニズムです。 すべての API エンドポイントは、ログインユ�`ザ�`が勣箔されたオブジェクトに��して勣箔されたアクションを�g佩する�慙泙魍屬辰討い襪�どうかを�編^するために、オブジェクトレベルの�J辛チェックを�g廾する駅勣があります。

API2:2019 Broken User Authentication���J�^の音�筍�

�J�^メカニズムが屎しく�g廾されていない��栽、好�蔦澆�麿のユ�`ザ�`の ID を�p各できる辛嬬來があります。 �J�^エンドポイントとフロ�`は、パスワ�`ドを梨れた��栽やパスワ�`ドをリセットするシステムなど、隠�oする駅勣がある�Y�bです。 パスワ�`ド?リセット?プロトコルが瘁原けの��栽、ユ�`ザ�`�J�^好�弔���する�N源な好�����齊I囃が侘撹されます。

API3:2019 Excessive Data Exposure�┘禰`タの�^��な巷�_��

�_�k宀はデフォルトですべてのオブジェクトプロパティを巷�_し、ユ�`ザ�`に燕幣する念にデ�`タフィルタリングを�g佩するようクライアントに卆贋する�A�鬚�あります。��吭のある好�蔦澆蓮▲肇薀侫�ックを義��して APIレスポンスを蛍裂することでこの樋泣を旋喘し、ユ�`ザ�`に卦すべきではない�C畜デ�`タの敦其を冥し竃します。

API4:2019 Lack of Resources and Rate Limiting�┘螢秋`ス音怎と｡囃崙�泯�

APIでは、クライアントまたはユ�`ザ�`が勣箔できるリソ�`スのサイズや方に崙�泙鰓Oけていないことがよくあります。APIリクエストは、ネットワ�`ク、CPU、メモリ、ストレ�`ジなどのリソ�`スを���MしてAPIサ�`バ�`のパフォ�`マンスに唹��を式ぼし、サ�`ビス詳倦 (DoS) につながる辛嬬來があるだけでなく、ブル�`トフォ�`ス�┥t輝たり��などの�J�^好�弔���するドアも�_いたままにします。

API5:2019 Broken Function-Level Authorization���C嬬レベルの�J辛の音�筍�

範辛の音姥は、呟なる竣蚊、グル�`プ、およびロ�`ルを隔つ狛業に鹸�jなアクセス崙囮ポリシ�`や、砿尖字嬬と宥械の字嬬の蛍宣が音苧�tであることが圻咀である辛嬬來があります。��吭のあるアクタ�`は、音屎な字嬬にアクセスするために、アクセスできないはずの粥永鴛エンドポイントに屎輝な粥永鴛柵び竃しを僕佚することで、この之��を��喘します。砿尖字嬬は、この嶽の好�弔琳�勣な炎議です。

API6:2019 Mass Assignment��匯凄護り輝て��

モダンなフレ�`ムワ�`クでは、蝕�k宀は、クライアントからの秘薦をコ�`ドの�篳�と坪何オブジェクトに徭強議にバインドする�v方を聞喘することを�X潜しています。粥永鴛は、アプリケ�`ションの児になる�g廾をプロパティ兆と慌に巷蝕するため、好�蔦澆呂海諒峽┐鯤荒辰靴董⊃��k宀が巷蝕することを吭�蹐靴討い覆�った字畜來の互いオブジェクトプロパティを厚仟または貧慕きできます。��喘されると、�慙��N鯉、デ�`タの個ざん、セキュリティメカニズムのバイパスなどにつながる辛嬬來があります。

API7:2019 Security Misconfiguration�┘札�ュリティ�O協ミス��

セキュリティの譜協ミスは、ネットワ�`クレベルからアプリケ�`ションレベルまで、粥永鴛スタックのあらゆるレベルで�k伏する辛嬬來があります。好�蔦澆蓮�謹くの魁栽、パッチが癖喘されていない之��、匯違議なエンドポイント、または隠擦されていないファイルやディレクトリを需つけて、システムへの音屎アクセスや岑紛を函誼しようとします。セキュリティの譜協ミスにより、字畜來の互いユ�`ザ�`デ�`タやシステムの�袁犬�息��し、サ�`バ�`畠悶の盃墾につながる辛嬬來があります。

API8:2019 Injection�┘ぅ鵐献Д�ション��

インジェクションの之��は、佚�mできないデ�`タがコマンドまたはクエリの匯何としてインタ�`プリタに僕佚された��栽に�k伏します。好�蔦澆���吭のあるデ�`タは、インタプリタを�_して吭�蹐靴覆ぅ灰泪鵐匹��g佩したり、�m俳な�S辛なしにデ�`タにアクセスしたりする辛嬬來があります。インジェクションは、秤�鸞�えいやデ�`タ�p払につながる辛嬬來があります。また、DoS や頼畠なホスト�\っ函りにつながる辛嬬來もあります。これが、インジェクションが匯違議なOWASP Top 10で3桑朕に嶷寄なセキュリティ���}として�い欧蕕譴討い訐輦匹任�。

API9:2019 Improper Assets Management�┣止m俳な�Y�b砿尖��

宥械、硬いバ�`ジョンの粥永鴛にはパッチが癖喘されていません。これにより、恷仟バ�`ジョンの粥永鴛を隠擦するために擬秘されている辛嬬來のある恷枠極のセキュリティメカニズムと�蕕Δ海箸覆�、システムを否叟に盃墾できます。好�蔦澆蓮∋�畜デ�`タにアクセスし、揖じデ�`タベ�`スに俊�Aされたパッチが癖喘されていない硬いバ�`ジョンの粥永鴛を初してサ�`バ�`を�\っ函ることもできます。

API10:2019 Insufficient Logging and Monitoring�┣司�蛍なロギングとモニタリング��

ログ���hと�O��が音噴蛍な�蕁▲ぅ鵐轡妊鵐���鬉箸僚y栽が之鯛していたり、�森�がなかったりすると、好�蔦澆魯轡好謄爐鬚気蕕帽��弔掘⊂@�A來を�S隔し、個ざんするシステムを��やし、デ�`タを渇竃または篤�欧垢襪海箸�できます。ほとんどの盃墾の�{�砲任蓮�盃墾を�奮�するまでに200 晩參貧かかっていることが幣されており、吏？にして、坪何プロセスや�O��ではなく、翌何�v�S宀によって�k��されます。�M佩嶄の��吭のあるアクティビティを辛��晒できないため、好�蔦澆魯轡好謄爐鰺衄�に盃墾するのに噴蛍な�r�gを誼ることができます。����については、仝ロギングと酌篇のための、７つのベストプラクティス々をご�Eください。