下記の11項目は、実際に攻撃にあった脆弱性のうちの約90%を占めています*。
- SQLインジェクション
関連リンク:SQLインジェクションとは?
- クロスサイトスクリプティング(XSS)
関連リンク:クロスサイトスクリプティングとは?
- リモートファイルインクルージョン
- コマンドインジェクション
- ディレクトリトラバーサル
- ブラインドSQLインジェクション
- 安全でないデシリアライゼーション
- XML外部実体攻撃
- HTTPヘッダインジェクション
- SSRF脆弱性
- 非公開ファイル検査
*2019年7月にクラウド型WAF「Scutum」で観測された攻撃リクエストを元に算出
中でも、SQLインジェクションを利用した攻撃は、発生頻度が高い上に、被害が発生した場合に大量の個人情報の流出に繋がることも多く、最優先で対策すべき脆弱性です。XSSの脆弱性は、フォームの確認画面をはじめWebサイト上の実に幅広い箇所で発生する可能性があり、アプリケーション開発時の僅かなミスが改ざんやなりすまし、悪意あるサイトへの誘導など様々な被害に直結します。この2つの脆弱性への対策はWebアプリケーション開発時のセキュリティ対策要件にも必ずと言って良いほど含まれており、最もメジャーな脆弱性として扱われています。
VAddyは、2021年9月27日に「検査項目追加オプション」の提供を開始しました。
このオプションを追加購入することで、独立行政法人 情報処理推進機構(以下、IPA)が提唱する「安全なウェブサイトの作り方(チェックリスト)」で紹介されている全ての脆弱性の診断が可能になります。「より客観的な指標に基づく診断を実施したい」というお客様にとって最適なオプションです。
プレスリリース:脆弱性診断ツール「VAddy」、IPA「安全なウェブサイトの作り方(チェックリスト)」の全項目に対応した『検査項目追加オプション』を提供開始
セキュリティ事故での被害は甚大
下記の表は、企業や金融機関のWebアプリケーションにおいて実際にあった被害の例です。これらはあくまでほんの一部の例であり、他にもさまざまな攻撃・被害パターンが報告され、メディアでも取り上げられています。