課荘芙曝

1. アクセス崙囮の音姥��A01:2021��

參念はリストの5了であったアクセス崙囮の音姥�┨��蔦澆�ユ�`ザ�`?アカウントへのアクセスに旋喘できる巌樋來��が、2021定には1了になりました。この巌樋來は、好�蔦澆�ユ�`ザ�`または砿尖宀としてシステムを荷恬することを辛嬬にします。

箭��アプリケ�`ションでプライマリ?キ�`を�筝�できる魁栽。キ�`を艶のユ�`ザ�`のレコ�`ドに�筝�すると、そのユ�`ザ�`のアカウントを燕幣または�筝�できます。

ソリュ�`ション: Seeker<sup>?</sup>などのインタラクティブ?アプリケ�`ション?セキュリティ?テスト��IAST��ソリュ�`ションを旋喘すると、クロスサイト?リクエスト?フォ�`ジェリや、�C畜デ�`タが隠贋されているストレ�`ジのセキュリティの音�笋鯣殯廚��奮�できます。また、JSON Webト�`クンの�I尖に聞喘されている音屎なロジックやロジックの之鯛も蒙協できます。ペネトレ�`ション?テストは、鴛粥皆意アクティビティを温頼して、吭�蹐靴覆ぅ▲�セス崙囮を返強で�奮�します。デ�`タ?アクセスの佚�m廠順を譜けることで、ア�`キテクチャと譜柴の�筝�を隠�^することができます。

3. インジェクション��A03:2021��

インジェクションは1了から3了に和がり、クロスサイト?スクリプティングはこのカテゴリに蛍窃されるようになりました。コ�`ド?インジェクションは、好�蔦澆�アプリケ�`ションに吭�蹐靴覆げ掀�を�g佩させるために涙�燭淵禰`タを安艶恢アプリケ�`ションに僕佚したときに�k伏します。

箭��アプリケ�`ションが佚�mできないデ�`タを聞喘して巌樋な皆河晦柵び竃しを恬撹した魁栽。

ソリュ�`ション���@�A議インテグレ�`ション/�@�A議デリバリ�`��CI/CD��パイプラインに皆粥皆意ツ�`ルと鴛粥皆意ツ�`ルを根めることで、床議コ�`ド?レベルのテストとアプリケ�`ション�g佩嶄の強議テストにより、インジェクションを哈き軟こす辛嬬來がある之��を蒙協できます。皆艶艶一艶姻などのモダン?アプリケ�`ション?セキュリティ?テスト�┫ヽО妝�ツ�`ルでは、さまざまなテスト粁竣でソフトウェア?アプリケ�`ションを隠擦し、皆河晦インジェクションを根むさまざまなインジェクション好�弔鬟船Д奪�することができます。紛艶できるインジェクションの箭として、鰻看皆河晦インジェクション、コマンド?インジェクション、晦禽粥永インジェクション、テンプレ�`ト?インジェクション、ログ?インジェクションが�い欧蕕譴泙后３П隸隶豈隶�は、晦看乙4皆鞄艶鉛鉛の巌樋來を�奮�するための仟しい��喘チェッカ�`を�笋┐迅邀�のツ�`ルであり、Log4Jの�O協圭隈を�_�Jし、�g�Hの�嘛�をテストして、その�Y惚を蒙�S函誼�gみのActive Verificationエンジンで�編^�┐泙燭��o�浸���します。 

4. 芦畠が鳩範されない音芦な譜柴��A04:2021��

芦畠が鳩範されない音芦な譜柴は、2021定に仟�Oされたカテゴリで、譜柴貧の之��に�v�Bするリスクに醜泣を輝てています。�M��の仝シフトレフト々が�Mむ嶄、于璃モデリング、芦畠な譜柴パタ�`ンと圻�t、歌孚ア�`キテクチャだけでは音噴蛍です。

箭��ある啌鮫鋼チェ�`ンでは�睫縒萪叱醪�を戻工しており、15兆參和の魁栽は隠�^署が音勣です。好�蔦澆�このフロ�`を于璃モデル晒し、この啌鮫鋼チェ�`ンの鹸方の啌鮫鋼にわたって方為朗の嚠埃が函れるかどうかを距べれば、採認ドルもの鱒払を哈き軟こすことができます。

ソリュ�`ション��Seeker IASTにより巌樋來を�奮�し、�Oめて�}�jなWeb、クラウド、マイクロサ�`ビス?ベ�`スのアプリケ�`ションのすべてのインバウンドおよびアウトバウンド粥永鴛、サ�`ビス、�v方柵び竃しを巷蝕します。�v銭するデ�`タフロ�`とエンドポイントのマップを篇��晒することにより、アプリケ�`ション譜柴の樋泣を苧鳩にし、ペネトレ�`ション?テストと于璃モデリングの函り怏みを屶址します。

5. セキュリティの譜協ミス��A05:2021��

參念の翌何�g悶カテゴリからこのリスク?カテゴリに蛍��が�筝�され、6了から��了が貧�Nしています。セキュリティの譜協ミスとは、譜柴または��撹の樋泣が�O協エラ�`または之泣に軟咀する��栽を峺します。

箭��デフォルトのアカウントとその圷のパスワ�`ドが哈き�Aき嗤�燭砲覆辰討い襪燭瓠▲轡好謄爐�盃秘に��して巌樋になる魁栽。

ソリュ�`ション��Coverity SASTなどのソリュ�`ションには、エラ�`?メッセ�`ジを宥じて秤�鸞�えいの辛嬬來を�R�eするチェッカ�`が根まれています。Seeker IASTなどの�啜張挑`ルを旋喘することにより、アプリケ�`ションのランタイム?テストで秤�鵑梁�えいや音�m俳なHTTPヘッダ�`�O協を�奮�できます。 

6. 巌樋で硬くなったコンポ�`ネント��A06:2021��

このカテゴリは屡岑のセキュリティ?リスクおよび捻壓議なセキュリティ?リスクをもたらすコンポ�`ネントに�v銭するもので、9了から乏了が貧がっています。遺閣掘などの屡岑の巌樋來が贋壓するコンポ�`ネントは、蒙協してパッチを癖喘する駅勣がありますが、硬いコンポ�`ネントや��吭のあるコンポ�`ネントは、�g佩辛嬬來と捻壓議なリスクを得��する駅勣があります。

箭��蝕�kで聞喘されるコンポ�`ネントの楚が謹いため、蝕�kチ�`ムが、アプリケ�`ションで聞喘されるすべてのコンポ�`ネントを委燐または尖盾していない魁栽。これにより、匯何のコンポ�`ネントが硬くなり、好�弔���して巌樋になる辛嬬來があります。

ソリュ�`ション��Black Duckなどのソフトウェア?コンポジション盾裂��SCA��ツ�`ルを床議盾裂およびIASTと匯�wに聞喘すると、アプリケ�`ション坪の硬く芦畠でないコンポ�`ネントを�R�eおよび�奮�することができます。IASTとSCAの�B亊により、巌樋なコンポ�`ネントや硬いコンポ�`ネントの�g�Hの聞喘彜�rを委燐できます。Seeker IASTとBlack Duck SCAを�B亊させることで、巌樋なコンポ�`ネントを蒙協し、そのコンポ�`ネントがテスト���鵑離▲廛螢羽`ションで�F壓�iみ�zまれているかどうかなどの����を苧らかにします。さらに、�_�k宀のアクティビティ、コントリビュ�`タ�`の�u��、バ�`ジョン堕�sなどの峺�砲砲茲蝓�硬いコンポ�`ネントや��吭のあるコンポ�`ネントがもたらす辛嬬來のある捻壓議なリスクをユ�`ザ�`に岑らせることができます。

7. 紛艶と範�^の払移��A07:2021��

參念は仝範�^の音姥々と柵ばれていたこのカテゴリは、2了から乏了が和がり、�嶬擇亙怯陲諒О椶哩vする遺安掘が根まれるようになりました。醤悶議には、範�^とセッション砿尖に�v銭する字嬬が屎しく�g廾されていない魁栽、好�蔦澆魯僖好鍠`ド、キ�`ワ�`ド、およびセッションを盃墾することが辛嬬になります。これによりユ�`ザ�`鴛禽などの秤烏が義まれる辛嬬來が伏じます。

箭��安艶恢アプリケ�`ションで、樋いパスワ�`ドまたは容霞しやすいパスワ�`ド�─険莢慌�壊敬看姻糸1々など��が聞喘できる魁栽。

ソリュ�`ション��謹勣殆�J�^によってアカウント盃墾のリスクを詰�pすることができます。この�Nの之��を��つけるには徭�喀y��盾裂が掲械に叨羨ちますが、返�喀y��盾裂はカスタム�J�^スキ�`ムの�u��を��晒することができます。Coverity SASTには、�J�^の音�笋隆猗�來を醤悶議に蒙協するチェッカ�`が根まれています。Seeker IASTは、ハ�`ドコ�`ドされたパスワ�`ドや�Y鯉秤�鵝△�よび音�m俳な�J�^や嶷勣なステップが之鯛した�J�^を�奮�できます。

8. ソフトウェアとデ�`タの屁栽來の音醤栽��A08:2021��

2021定に仟譜されたカテゴリ。屁栽來を�編^せずに聞喘されるソフトウェア厚仟プログラム、嶷勣なデ�`タ、遺鴛/遺禽パイプラインに醜泣を輝てています。�嶬擇海離�テゴリに蛍窃されている、芦畠でないデシリアライゼ�`ションとは、デシリアライゼ�`ションの之��により、好�蔦澆�システム坪のコ�`ドをリモ�`トで�g佩できる巌樋來を峺します。

箭��アプリケ�`ションが、好�蔦澆砲茲辰凸畊�された��吭のあるオブジェクトをデシリアライズすることにより巌樋になる魁栽。

ソリュ�`ション��アプリケ�`ション?セキュリティ?ツ�`ルはデシリアライゼ�`ションの之��を�奮�するのに叨羨ち、ペネトレ�`ション?テストは���}を�編^するために聞喘できます。Seeker IASTは、芦畠でないデシリアライゼ�`ションをチェックし、芦畠でないリダイレクトやト�`クン?アクセス?アルゴリズムの個ざんを�奮�するためにも叨羨ちます。

9. セキュリティ?ログとモニタリングの払移��A09:2021��

このカテゴリは、參念は仝音噴蛍なログ芝�hと酌篇々と柵ばれていましたが、���鵑箸覆覯讃澪呂琳崟爐���嫖され、10了から乏了が貧がりました。ロギングとモニタリングは安艶恢サイトに��して撞訓に�g佩する駅勣のあるアクティビティであり、音姥があれば、サイトはより侮震な盃墾アクティビティに��して巌樋になります。

箭��ログイン、ログインの払移、その麿の嶷勣なアクティビティなど、酌�某苗椶淵ぅ戰鵐箸�ログに芝�hされないため、アプリケ�`ションが巌樋になる魁栽。

ソリュ�`ション��ペネトレ�`ション?テストを�g佩した瘁、テスト?ログを�{べて、深えられる之泣と巌樋來を蒙協できます。Coverity SASTとSeeker IASTは、ログに���hされないセキュリティ箭翌の蒙協に叨羨ちます。 

10. サ�`バ�`サイド?リクエスト?フォ�`ジェリ��A10:2021��

サ�`バ�`サイド?リクエスト?フォ�`ジェリ�┳СЦ藕鵤�は、書定仟�Oされたカテゴリであり、Webアプリケ�`ションがユ�`ザ�`から戻工されたURLを�編^せずにリモ�`ト?リソ�`スを函誼したときに�k伏する辛嬬來があります。システムがファイアウォ�`ル、VPN、または弖紗のネットワ�`クアクセス崙囮リストによって隠�oされている��栽でも、好�蔦澆蓮△海隆猗�來を旋喘して、アプリケ�`ションに��垢したリクエストを嚠豚しない乱枠に僕佚することができます。クラウドサ�`ビスの旋喘やア�`キテクチャの�}�j晒により、SSRF好�弔良鄂牟箸醗k伏楕が互まっています。

箭��ネットワ�`ク?ア�`キテクチャがセグメント晒されていない魁栽、好�蔦澆漏СЦ藕鵐撻ぅ踪`ドの俊�A潤惚や、俊�Aまたは詳倦されるまでにかかった扮寂をもとに坪何ネットワ�`クをマッピングし、坪何サ�`バ�`のポ�`トが蝕いているか液じているかを距べます。

ソリュ�`ション��Seekerは、弖紗のスキャンやトリア�`ジを駅勣とせずに皆皆檎酷を弖�E、酌篇、�奮�できる恷仟の粥皆意ツ�`ルです。互業なインストルメンテ�`ションとエ�`ジェントベ�`スのテクノロジ�`により、皆皆檎酷から捻壓議なエクスプロイトを牢い竃すこともできます。