2021年から2023年にかけて、Kasperskyのチームはロシア、中国、中東を拠点とする企業のWebアプリケーションのセキュリティ評価プロジェクトを行い、Java、NodeJS、PHPなどのプログラミング言語の使用状況を分析した。この分析はブラックボックス、グレーボックス、ホワイトボックスのアプローチを用いて比較された。
Kasperskyは、アプリケーションの数と影響の深刻さに基づいて、2021年から2023年にかけて最も広範で深刻なWebアプリケーションの脆弱性のTop 10を特定し、それぞれの脆弱性に対する具体的な対策方法を提案した。
分析結果から、ホワイトボックスアプローチがより多くの深刻な脆弱性を発見できることが示されたが、ブラックボックスとグレーボックスのアプローチも攻撃者の視点からアプリケーションを見ることができるため、重要な脆弱性を特定するのに役立つことがわかった。
本研究で特定された脆弱性の対策により、機密データの保護やアプリケーションの侵害を回避することが可能である。また、セキュアなソフトウェア開発ライフサイクル(SSDLC)の実施や定期的なアプリケーションセキュリティ評価の実施などの対策方法が提案された。
【ニュース解説】
2021年から2023年にかけて、Kasperskyのチームは、ロシア、中国、中東を拠点とする企業のWebアプリケーションのセキュリティ評価プロジェクトを実施しました。このプロジェクトでは、Java、NodeJS、PHPなどのプログラミング言語を使用して開発されたWebアプリケーションが対象となり、ブラックボックス、グレーボックス、ホワイトボックスのアプローチを用いて脆弱性分析が行われました。
この分析を通じて、2021年から2023年にかけて最も広範囲にわたり、深刻な影響を及ぼす可能性があるWebアプリケーションの脆弱性トップ10が特定されました。これらの脆弱性には、アクセス制御の不備、機密データの露出、サーバサイドリクエストフォージェリ(SSRF)、SQLインジェクション、クロスサイトスクリプティング(XSS)などが含まれています。
ホワイトボックスアプローチでは、より多くの深刻な脆弱性を発見できることが示されましたが、ブラックボックスとグレーボックスのアプローチも有効であることがわかりました。これらのアプローチは、攻撃者の視点からアプリケーションを見ることができ、最優先で対処すべき脆弱性を特定するのに役立ちます。
この研究で特定された脆弱性に対する対策を講じることで、機密データの保護やWebアプリケーションの侵害を回避することが可能になります。また、セキュアなソフトウェア開発ライフサイクル(SSDLC)の実施や、定期的なアプリケーションセキュリティ評価の実施など、さまざまな対策方法が提案されています。
この研究の結果は、Webアプリケーションのセキュリティを強化し、攻撃者による悪用を防ぐための重要な指針を提供します。Webアプリケーションの開発者や運用者は、これらの脆弱性に対する理解を深め、適切な対策を講じることが求められます。また、定期的なセキュリティ評価を通じて、新たに発見される脆弱性に迅速に対応することが、Webアプリケーションの安全性を維持する上で不可欠です。
from Top 10 web application vulnerabilities in 2021–2023.
