Vulnerability Reference

🛡️ 脆弱性一覧

主要なWebセキュリティ脆弱性をカテゴリ別に一覧化しています。技術的な用語も分かりやすく解説し、それぞれの脆弱性に対応したAEVUSのサービスへご案内します。

インジェクション

SQLインジェクション(SQLi)

フォームや検索窓に悪意のあるSQL命令を入力し、データベースを不正操作する攻撃です。個人情報の大量窃取や管理者アカウントの乗っ取りにつながります。

OWASP A03 Critical
Web診断で対応 →
クロスサイト

クロスサイトスクリプティング(XSS)

ページに悪意あるスクリプトを埋め込み、閲覧者のブラウザ上で実行させる攻撃です。Cookie情報の盗取、フィッシングページへのリダイレクトなどに悪用されます。

OWASP A03 High
Web診断で対応 →
クロスサイト

CSRF(クロスサイトリクエストフォージェリ)

ログイン済みのユーザーを騙して、意図しない操作(パスワード変更・送金など)を実行させる攻撃です。ユーザーが罠サイトを開くだけで完了してしまいます。

セッション管理 Medium
Web診断で対応 →
認証・認可

認証バイパス

ログイン処理の実装ミスにより、パスワードなしでアカウントにアクセスできてしまう脆弱性です。SQLインジェクション・ロジック欠陥など様々な手法で発生します。

OWASP A07 Critical
Web診断で対応 →
認証・認可

アクセス制御の不備

権限のないユーザーが他ユーザーのデータや管理機能にアクセスできてしまう脆弱性です。URLのIDを変えるだけで他人の情報を取得できる「水平権限昇格」が典型例。

OWASP A01 Critical
Web診断で対応 →
インジェクション

SSRF(サーバーサイドリクエストフォージェリ)

サーバーに外部URLを取得させる機能を悪用し、内部ネットワーク・クラウドメタデータへアクセスさせる攻撃です。クラウド環境では認証情報の窃取につながります。

OWASP A10 High
Web診断で対応 →
インジェクション

安全でないデシリアライゼーション

信頼できないデータをデシリアライズする際に発生します。攻撃者が細工したデータを送ることで、任意コード実行・権限昇格・DoS攻撃などを引き起こせます。

OWASP A08 High
Web診断で対応 →
設定・環境

セキュリティ設定の不備

デフォルト設定のまま運用・不要なポートの開放・エラーメッセージへの詳細情報混入など、設定ミスによる脆弱性です。開発環境の設定が本番環境に残ることもあります。

OWASP A05 High
プラットフォーム診断で対応 →
暗号化

機密データの露出

パスワード・個人情報が適切に暗号化されず保存・送信されている状態です。弱い暗号化アルゴリズムの使用・HTTP通信の使用なども該当します。

OWASP A02 High
Web診断で対応 →
インジェクション

XXE(XML外部エンティティ参照)

XML入力を処理するアプリケーションが外部エンティティを解析する際に発生します。内部ファイルの読み取り・SSRF・DoS攻撃に利用されることがあります。

XML処理 High
Web診断で対応 →
クロスサイト

オープンリダイレクト

URLパラメータで指定した任意のURLにリダイレクトできてしまう脆弱性です。信頼されたドメインを踏み台にした詐欺サイトへの誘導に利用されます。

フロントエンド Medium
Web診断で対応 →
認証・認可

セッション管理の不備

セッションIDの推測可能性・ログアウト後もセッションが有効・Cookieのセキュア属性不足など、セッション管理に関する脆弱性です。セッションハイジャック攻撃につながります。

OWASP A07 High
Web診断で対応 →
認証・認可

IDOR(直接オブジェクト参照の脆弱性)

URLやパラメータのIDを変更するだけで他のユーザーのデータにアクセスできる脆弱性です。「アクセス制御の不備」の典型的なパターンで、個人情報漏洩に直結します。

認可 High
Web診断で対応 →
認証・認可

弱いパスワードポリシー

パスワードの複雑性・長さ・変更要件が不十分な場合に発生します。ブルートフォース攻撃・辞書攻撃・パスワードスプレー攻撃に対して脆弱になります。

認証 Medium
M365評価で対応 →
API

APIキー・シークレットの露出

フロントエンドのコード・GitHubリポジトリなどにAPIキーやシークレットが含まれている状態です。悪用されると外部サービスへの不正アクセスや課金被害が発生します。

シークレット管理 Critical
Web診断で対応 →
インジェクション

ファイルアップロードの脆弱性

ファイルの種類・内容の検証が不十分な場合、悪意あるファイル(WebShell等)をアップロードして任意コード実行やサーバー乗っ取りに利用される可能性があります。

ファイル処理 High
Web診断で対応 →
設定・環境

脆弱なコンポーネントの使用

既知の脆弱性を持つライブラリやフレームワークをアップデートせずに使用している状態です。公開されたCVEを使って容易に攻撃が可能になることがあります。

OWASP A06 High
Web診断で対応 →
設定・環境

クラウド設定ミス(IAM / S3等)

S3バケットのパブリック公開・IAMポリシーの過剰権限・セキュリティグループの不適切な設定など、クラウド環境特有の設定ミスです。情報漏洩の主要な原因になっています。

AWS / Azure / GCP Critical
プラットフォーム診断で対応 →
API

API認証の不備

APIエンドポイントに認証・認可が適切に実装されていない状態です。誰でもアクセスできる内部API・トークン検証の省略・JWTの署名検証欠如などが典型例です。

OWASP API Top 10 Critical
Web診断で対応 →
インジェクション

パストラバーサル

ファイルパスの入力に「../」などを含めることでサーバー上の任意ファイルにアクセスできてしまう脆弱性です。設定ファイル・パスワードファイルなどの読み取りに悪用されます。

ファイルシステム High
Web診断で対応 →
クロスサイト

クリックジャッキング

透明なiframeでWebページを覆い、ユーザーが意図しないボタン・リンクをクリックさせる攻撃です。操作の乗っ取り・個人情報の詐取に悪用されます。

セキュリティヘッダー Medium
Web診断で対応 →
Get Started

脆弱性が気になったら、
まずはご相談ください。

自社のWebアプリ・システムに該当する脆弱性があるか不安な方は、AEVUSの無料相談をご利用ください。

無料相談・お問い合わせ Web脆弱性診断を見る