Webアプリケーション開発では、どのような脆弱性(弱点)が存在し得るかを把握することが最初の防御ステップです。
OWASP Top 10 や業界標準のセキュリティガイドラインでは、Webアプリが直面する典型的なリスクカテゴリが体系化されています。これらは単なる攻撃名ではなく、設計・実装・運用のどの段階で弱点になり得るかの視点をまとめたものです。
このチェックリストは、セキュリティ設計やコードレビュー、総合テストの際に「どんな弱点があるか」を網羅的に確認するために使えます。
脆弱性カテゴリを理解しておくことで、実装や検証での漏れを減らし、より安全なWebアプリを構築できます。
初期タスクをプレビュー(29件)
- アクセス制御の不備 — 不正アクセスや権限越えにつながる弱点
- 暗号化と機密データ保護の不備 — SSL/TLS未使用や暗号化不足
- インジェクション全般 — 入力値が構造化データ操作に悪用され得る弱点
- SQLインジェクション — DBクエリに不正値が注入される弱点
- OSコマンドインジェクション — OS命令へ不正入力が渡される弱点
- NoSQLインジェクション — NoSQL DB 操作における不正入力の弱点
- LDAPインジェクション — LDAP クエリへの不正入力が可能な弱点
- クロスサイトスクリプティング(XSS) — 悪意あるスクリプト注入リスク
- クロスサイトリクエストフォージェリ(CSRF) — セッション悪用の脆弱性
- セッション管理の欠陥 — セッション固定やセッション盗難の弱点
- 認証の不備 — ID/パスワード認証の弱点
- セキュリティ設定ミス — サーバ/ミドルウェアの設定誤り
- 安全でない設計 — セキュリティ設計が欠けている弱点
- 脆弱な/古いコンポーネント利用 — 既知の不具合のあるライブラリ
- 不十分なログ・監視 — インシデント検知ができない弱点
- セキュリティヘッダー欠如 — X-Frame-Options等の未設定
- 不適切な CORS 設定 — 誤ったオリジン許可の弱点
- オープンリダイレクト — 任意リダイレクト可能な弱点
- ディレクトリトラバーサル — 上位ファイル/フォルダアクセスの弱点
- ファイルアップロード制御不足 — 危険なファイル受け入れ
- 不正デシリアライズ — 復元処理の安全性欠如
- バッファオーバーフロー — メモリ領域破壊の弱点
- API 認証/トークン管理の不備 — 保護不足の弱点
- 弱いパスワードポリシー — 複雑性/長さ不足
- サービス妨害(DoS)脆弱性 — リソース枯渇を狙われる弱点
- セキュリティロジックの欠陥 — ビジネスロジックにおける弱点
- 敏感データ露出 — 平文データ保存・送信の弱点
- プロトコル脆弱性 — TLS/SSL 設定の欠陥
- サーバーサイドリクエスト偽造(SSRF) — サーバ経由リクエストの弱点
別のテンプレを選ぶ →
