OWASP Top 10

Webアプリケーションの最も重大なセキュリティリスクを参照・学習

shadcn/ui

OWASP Top 10 年度

表示モード

OWASP Top 10は、Webアプリケーションにおける最も重大なセキュリティリスクのリストです。各脆弱性の説明、対処方法、攻撃例を確認できます。

公式ドキュメントを見る

A01:2025

Broken Access Control

概要

アクセス制御の不備により、ユーザーが意図した権限外の操作を実行できる脆弱性。URLの改ざん、APIの直接呼び出し、JWT改ざんなどによる権限昇格が発生します。

影響: テスト対象アプリの3.73%で検出。最も深刻なセキュリティリスク。

対処方法

deny by default（デフォルト拒否）の原則を採用
サーバーサイドで一元的にアクセス制御を実装
レコード所有権をデータモデルに強制
APIエンドポイントにレート制限を実装
失敗したアクセス試行をログに記録し、管理者にアラート
JWTトークンは短命にし、ログアウト時にサーバー側で無効化

攻撃例

URLパラメータ改ざん: https://example.com/app/accountInfo?acct=notmyacct

管理者ページへの直接アクセス: https://example.com/app/admin_getappInfo

クライアント側のみの制御をバイパス: curl https://example.com/app/admin_getappInfo

A01:2025

Broken Access Control

40 CWEs included

概要

影響: テスト対象アプリの3.73%で検出。最も深刻なセキュリティリスク。

対処方法

deny by default（デフォルト拒否）の原則を採用
サーバーサイドで一元的にアクセス制御を実装
レコード所有権をデータモデルに強制
APIエンドポイントにレート制限を実装
失敗したアクセス試行をログに記録し、管理者にアラート
JWTトークンは短命にし、ログアウト時にサーバー側で無効化

攻撃例

URLパラメータ改ざん: https://example.com/app/accountInfo?acct=notmyacct

管理者ページへの直接アクセス: https://example.com/app/admin_getappInfo

クライアント側のみの制御をバイパス: curl https://example.com/app/admin_getappInfo

OWASP Top 10

Broken Access Control

Security Misconfiguration

Software Supply Chain Failures

Cryptographic Failures

Injection

Insecure Design

Authentication Failures

Software or Data Integrity Failures

Logging & Alerting Failures

Mishandling of Exceptional Conditions

Broken Access Control

概要

対処方法

攻撃例

Broken Access Control

Security Misconfiguration

Software Supply Chain Failures

Cryptographic Failures

Injection

Insecure Design

Authentication Failures

Software or Data Integrity Failures

Logging & Alerting Failures

Mishandling of Exceptional Conditions

Broken Access Control

概要

対処方法

攻撃例

参考リソース