Skip to content
Permalink
Branch: master
Find file Copy path
Find file Copy path
Fetching contributors…
Cannot retrieve contributors at this time
52 lines (40 sloc) 5.36 KB
title displaytext layout tab order tags
ja-kansai
ja-kansai
true
1
kansai

こちらのタブではOWASPのさまざまなプロジェクトを関西弁に翻訳しながら紹介します。

OWASP API Security Top 10(ja-kansai)

原文(en)はこちら

API1:2019 –潰れたオブジェクトレベルの認可

APIはオブジェクト識別子を処理するエンドポイントを開けっ広げにするクセがあってな、広範囲な攻撃対象レベルのアクセス制御の問題を引き起こしよんねん。
オブジェクトレベルの認可チェックは、ユーザーからの入力を使ってデータソースにアクセスするすべての機能で考えとかなあきません。

API2:2019 –潰れた認証

たいがいの認証メカニズムは正しく実装されてへんので、こすい奴は認証トークンをパクったり、実装の欠陥を悪用して他のユーザーIDを一時的または恒久的に推測したりしよんねん。
クライアント/ユーザーを識別するシステムの能力を損なうと、APIのセキュリティ全体がわやになりまっせ。

API3:2019 –ハデなデータの露出

はやいこと実装しとーて、いらちな実装者は個々の機密性を考慮せんとすべてのオブジェクトプロパティを公開するクセがあってな、ユーザーに表示する前のデータフィルタリングをクライアントに丸投げすんねん。
クライアントの状態を制御せーへんかったら、サーバーはますます多くのフィルターを受け取ってだな、これらのフィルターを悪用されて機密データにアクセスされんで。

API4:2019 -リソースの不足とレート制限

たいがいのAPIは、クライアント/ユーザーが要求できるリソースのサイズや数を制限しよらへん。
これはAPIサーバーのパフォーマンスに影響を与えるだけでのーて、サービス拒否(DoS)攻撃につながり、ほんでもって、ブルートフォース攻撃などの認証の欠陥のドアを開いたままにしとるっちゅうこっちゃで。

API5:2019 –潰れた機能レベルの認可

異なる階層、グループ、および役割を備えた複雑なアクセス制御ポリシー、および管理機能と通常の機能の不明瞭な分離は、認可の欠陥につながる傾向があんねん。
これらの問題を悪用することにより、こすい奴は他のユーザーのリソースや管理機能にアクセスしよんで。

API6:2019 -Mass Assignment脆弱性

クライアントが提供するデータ(JSONなど)をデータモデルにバインドすると、ホワイトリストに基づいた適切なプロパティフィルタリングが行われへんから、通常はMass Assignment脆弱性につながんねん。
オブジェクトのプロパティを推測する、他のAPIエンドポイントを調べる、ドキュメントを読む、またはリクエストペイロードで追加のオブジェクトプロパティを提供することにより、こすい奴は想定していないオブジェクトプロパティを変更しはんで。

API7:2019 -セキュリティの設定ミス

セキュリティの設定ミスは、たいがい、安全でないデフォルト設定、不完全またはその場しのぎの設定、オープンクラウドストレージ、アホなHTTPヘッダー、不要なHTTPメソッド、オリジン間リソース共有(CORS)、および機密情報を含む詳細なエラーメッセージの結果やで。

API8:2019 –インジェクション

SQL、NoSQL、コマンドインジェクションやらのインジェクションの欠陥は、信頼できひんデータがコマンドまたはクエリの一部としてインタープリターに送信されるときに発生すんねん。
こすい奴の悪意のあるデータは、インタープリターをだまくらかして意図しないコマンドを実行したり、ちゃんとした許可なしにデータにアクセスする可能性があるらしいで。知らんけど。

API9:2019 –えー加減な資産管理

APIは従来のWebアプリケーションよりもぎょうさんエンドポイントを公開するクセがあってな、更新されたドキュメントはごっつ重要やで。
ちゃんとしたホストやデプロイされたAPIバージョンの資産台帳は、ほかしたAPIバージョンや公開されたデバッグエンドポイントなどの問題を軽減する重要な役割も果たしまっせ。

API10:2019 –しょぼいロギングとモニタリング

しょぼいロギングとモニタリングは、インシデント対応との不十分もしくは非効率な統合と相まって、こすい奴が調子のってシステムをさらに攻撃し、長い間居座って、より多くのシステムに転移してデータを改ざん、抽出、破壊することを可能にすんねん。
ほとんどの侵害調査では、侵害を見つけるのに200日以上かかることが示されてて、たいがいは内部プロセスや監視ではなくよそもんの関係者によって見っけられるらしいで。知らんけど。

You can’t perform that action at this time.