Webアプリケーションのセキュリティ対策を研究しているプロジェクトOWASP(The Open Web Application Security Project)は2003年1月13日,「Webアプリケーションのぜい弱性トップ10」と題するリストを発表した。OWASPは,Webアプリケーションのセキュリティ対策ツールをオープン・ソフトウエアとして開発し公開したり,ドキュメントを公開している国際的なコミュニティ・プロジェクトである。
トップ10に挙げられたのは以下の問題。
(1)検証されていない入力データ
不正な入力データにより,バックエンドのコンポーネントなどを操作される
(2)アクセス制限の不備
重要なファイルを閲覧されたり,使われてはならない機能にアクセスされる
(3)アカウントとセッション管理の不備
他のユーザーになりすまされる
(4)クロスサイト・スクリプティング
セッションIDを盗まれたり,ユーザーのパソコンを攻撃されたりする
(5)バッファ・オーバーフロー
サーバーのプロセスの実行権限を奪われる
(6)コマンド・インジェクション(注入)
パラメータに埋め込まれた不正なコマンドをサーバー上で実行される
(7)エラーが適切に処理されていない
システムの情報を入手されたり,サービスを停止させられたりする
(8)暗号の使用方法が適切ではない
暗号を解読される
(9)リモート管理の欠陥
システムを管理するためのWWWインタフェースのアクセス制限が不十分
(10)サーバー設定のミス
セキュリティ対策機能が無効になっている
OWASPでは「これらの欠陥は,驚くほど広範に存在している。容易に入手できるツールにより,攻撃可能であり,技術力のないクラッカでも簡単に攻撃できる」と警告している。