SQLインジェクション(SQLi)
フォームや検索窓に悪意のあるSQL命令を入力し、データベースを不正操作する攻撃です。個人情報の大量窃取や管理者アカウントの乗っ取りにつながります。
OWASP A03Critical
Web診断で対応 → Vulnerability Reference
🛡️ 脆弱性一覧
主要なWebセキュリティ脆弱性をカテゴリ別に一覧化しています。技術的な用語も分かりやすく解説し、それぞれの脆弱性に対応したAEVUSのサービスへご案内します。
クロスサイトスクリプティング(XSS)
ページに悪意あるスクリプトを埋め込み、閲覧者のブラウザ上で実行させる攻撃です。Cookie情報の盗取、フィッシングページへのリダイレクトなどに悪用されます。
OWASP A03High
Web診断で対応 → CSRF(クロスサイトリクエストフォージェリ)
ログイン済みのユーザーを騙して、意図しない操作(パスワード変更・送金など)を実行させる攻撃です。ユーザーが罠サイトを開くだけで完了してしまいます。
セッション管理Medium
Web診断で対応 → 認証バイパス
ログイン処理の実装ミスにより、パスワードなしでアカウントにアクセスできてしまう脆弱性です。SQLインジェクション・ロジック欠陥など様々な手法で発生します。
OWASP A07Critical
Web診断で対応 → アクセス制御の不備
権限のないユーザーが他ユーザーのデータや管理機能にアクセスできてしまう脆弱性です。URLのIDを変えるだけで他人の情報を取得できる「水平権限昇格」が典型例。
OWASP A01Critical
Web診断で対応 → SSRF(サーバーサイドリクエストフォージェリ)
サーバーに外部URLを取得させる機能を悪用し、内部ネットワーク・クラウドメタデータへアクセスさせる攻撃です。クラウド環境では認証情報の窃取につながります。
OWASP A10High
Web診断で対応 → 安全でないデシリアライゼーション
信頼できないデータをデシリアライズする際に発生します。攻撃者が細工したデータを送ることで、任意コード実行・権限昇格・DoS攻撃などを引き起こせます。
OWASP A08High
Web診断で対応 → セキュリティ設定の不備
デフォルト設定のまま運用・不要なポートの開放・エラーメッセージへの詳細情報混入など、設定ミスによる脆弱性です。開発環境の設定が本番環境に残ることもあります。
OWASP A05High
プラットフォーム診断で対応 → 機密データの露出
パスワード・個人情報が適切に暗号化されず保存・送信されている状態です。弱い暗号化アルゴリズムの使用・HTTP通信の使用なども該当します。
OWASP A02High
Web診断で対応 → XXE(XML外部エンティティ参照)
XML入力を処理するアプリケーションが外部エンティティを解析する際に発生します。内部ファイルの読み取り・SSRF・DoS攻撃に利用されることがあります。
XML処理High
Web診断で対応 → オープンリダイレクト
URLパラメータで指定した任意のURLにリダイレクトできてしまう脆弱性です。信頼されたドメインを踏み台にした詐欺サイトへの誘導に利用されます。
フロントエンドMedium
Web診断で対応 → セッション管理の不備
セッションIDの推測可能性・ログアウト後もセッションが有効・Cookieのセキュア属性不足など、セッション管理に関する脆弱性です。セッションハイジャック攻撃につながります。
OWASP A07High
Web診断で対応 → IDOR(直接オブジェクト参照の脆弱性)
URLやパラメータのIDを変更するだけで他のユーザーのデータにアクセスできる脆弱性です。「アクセス制御の不備」の典型的なパターンで、個人情報漏洩に直結します。
認可High
Web診断で対応 → 弱いパスワードポリシー
パスワードの複雑性・長さ・変更要件が不十分な場合に発生します。ブルートフォース攻撃・辞書攻撃・パスワードスプレー攻撃に対して脆弱になります。
認証Medium
M365評価で対応 → APIキー・シークレットの露出
フロントエンドのコード・GitHubリポジトリなどにAPIキーやシークレットが含まれている状態です。悪用されると外部サービスへの不正アクセスや課金被害が発生します。
シークレット管理Critical
Web診断で対応 → ファイルアップロードの脆弱性
ファイルタイプの検証が不十分な場合、悪意あるスクリプトファイルがアップロードされサーバー上で実行される危険があります。Webシェルの設置につながります。
ファイル処理High
Web診断で対応 → 古い・脆弱なソフトウェアコンポーネント
既知の脆弱性を持つライブラリ・フレームワーク・OSを使用しているケースです。パッチ未適用の状態が続くと既知のエクスプロイトで容易に攻撃されます。
OWASP A06High
プラットフォーム診断で対応 →