調査

カスタムコード脆弱性ランキング1位は「ディレクトリトラバーサル」--Snyk調査

NO BUDGET

2023-07-18 07:33

 脆弱性管理プラットフォームを提供するSnykは、2022年のカスタムコード脆弱性Top10を発表した。

 これによると、「JavaScript」「Java」「Python」「Go」「PHP」「Ruby」「C#」の7つの開発言語において、2022年によく見られたカスタムコードの脆弱性1位は「ディレクトリトラバーサル」だった。

 ディレクトリトラバーサルは別名パストラバーサルと呼ばれる攻撃手法で、意図したフォルダー以外に格納されているファイルやディレクトリーにアクセスすることを目的とするものだ。

 2位以下は、「クロスサイトスクリプティング」「ハードコードされた認証情報の使用」「オープンリダイレクト」「安全ではないハッシュ」「クロスサイトリクエストフォージェリ(CSRF)」「SQLインジェクション」「“HttpOnly”フラグがないセンシティブなCookie」「機密情報の暗号化通信」「不適切な証明書の有効化」の順となった。

 このランキングは、最先端の機械学習とハイブリッドAIを担当するSnykセキュリティ研究チームの調査を基にしている。Snykは、デジタル化が急速に進んだ現代においてセキュアなアプリケーションを構築し、維持していくためには、独自に開発したアプリケーションのリスク管理方法も含め、最も一般的な脆弱性を常に把握しておくことが重要だとしている。

 2位となったクロスサイトスクリプティングは、インジェクションを利用して、生産性や信頼性の高いウェブサイトに悪意のあるスクリプトを埋め込むウェブサイト攻撃手法。一般的には、悪意のあるブラウザー側のスクリプトを他のユーザーに送信することで行われる。

 3位のハードコードされた認証情報はインバウンド認証、外部コンポーネントへのアウトバウンド通信、および内部データの暗号化などを使用する際、これらのクレデンシャル(認証に必要な情報)をコードに直接記述(ハードコード化)される。しかしこの場合、コード内の複数の場所にクレデンシャルが分散しているために、再展開が必要となったときに、クレデンシャルを変更することが困難になってしまうという。

 4位のオープンリダイレクトの脆弱性は、アプリケーションがリダイレクトを制御したり、別のURLに転送したりすることをユーザーに許可する場合に発生する。

 5位の安全ではないハッシュの脆弱性は、暗号に関連する障害となる。ハッシュは、サインインメッセージやブロックチェーンアプリケーションのパスワードなどに関する秘密の保存と確認によく使用される。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]