コーダーがセキュリティを征服する OWASP トップ 10 API シリーズ-過剰なデータ漏えい
この過剰なデータ漏洩の脆弱性は、非常に特殊な種類のデータが関係しているという点で、OWASPリストにある他のAPI問題とは異なります。この脆弱性の背後にある実際の仕組みは他のものと似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されているデータや機密性の高いデータが関与していると定義されています。これには、個人を特定できる情報(PIIと呼ばれることが多い)がすべて含まれる可能性があります。また、ペイメントカード業界情報 (PCI) が含まれる場合もあります。最後に、ヨーロッパの一般データ保護規則 (GDPR) や米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) など、プライバシー法の対象となるあらゆる情報が、過度なデータ漏洩につながる可能性があります。
ご想像のとおり、これは深刻な懸念の原因であり、知識豊富な開発者は可能な限りこれらのバグを克服する方法を学ぶことが不可欠です。すでにデータ露出の激突に立ち向かう準備ができているなら、ゲーム化されたチャレンジに向かいましょう。
得点は何点でしたか?以下を読んで詳細をご覧ください。
過剰なデータ漏えいの例にはどのようなものがありますか?
過剰なデータ漏えいが発生する主な理由の 1 つは、開発者やコーダーがアプリケーションが使用するデータの種類について十分なインサイトを持っていないことです。そのため、開発者はすべてのオブジェクトプロパティをエンドユーザーに公開する汎用プロセスを利用する傾向があります。
開発者は、フロントエンドコンポーネントがユーザーに情報を表示する前にデータフィルタリングを実行すると想定することもあります。ほとんどの汎用データでは、これが問題になることはほとんどありません。しかし、たとえば、法的に保護されているデータや機密データをセッション ID の一部としてユーザーに公開すると、セキュリティと法的両方の観点から大きな問題が発生する可能性があります。
機密データが誤って共有されやすい例として、OWASPのレポートでは、警備員が施設内の特定のIoTベースのカメラにアクセスできるようになるシナリオを想定しています。おそらく、これらのカメラは密閉された安全な場所を監視しているのに対し、人物を監視する他のカメラは、より高い権限を持つ警備員や監督者に制限されているはずです。
警備員に許可されたカメラへのアクセスを許可するには、開発者は次のような API 呼び出しを使用できます。
/API/サイト/111/カメラ
これに応じて、アプリは警備員が見ることができるカメラの詳細を次の形式で送信します。
{「id」: "xxx」, "live_access_token」: "xxxxbbbbb」,「building_id」: "yyy"}
表面的には、これは問題なく動作しているように見えます。アプリのグラフィカル・ユーザー・インターフェースを使用している警備員は、閲覧が許可されているカメラの映像しか見ることができません。問題は、汎用コードが使用されているため、実際の API レスポンスには施設内の全カメラのリストが含まれてしまうことです。ネットワークをスニッフィングしてそのデータをキャプチャしたり、警備員のアカウントに不正アクセスしたりした人なら誰でも、ネットワーク上のすべてのカメラの位置と命名法を知ることができます。そうすれば、制限なくそのデータにアクセスできるようになります。
過剰なデータ漏洩の排除
過剰なデータ漏洩を防ぐための最大の鍵は、データとその保護について理解することです。汎用 API を作成し、それをユーザーに表示する前にデータのソートをクライアントに任せるのは危険な選択であり、予防可能なセキュリティ侵害が多く発生することになります。
関連するデータ保護を理解することに加えて、汎用APIを使用してすべてをユーザーに送信するプロセスを停止することも重要です。たとえば、to_json () や to_string () のようなコードは避ける必要があります。代わりに、コードは権限のあるユーザーに返す必要のあるプロパティを具体的に選択し、その情報を独占的に送信する必要があります。
保護されたデータが誤って過剰共有されないようにする方法として、組織はセキュリティを強化するためにスキーマベースの応答検証メカニズムの実装を検討する必要があります。エラー報告のルールを含め、すべての API メソッドから返されるデータを定義して適用する必要があります。
最後に、PIIまたはPCIを含むと分類されたすべてのデータ、またはGDPRやHIPAAなどの規制によって保護されている情報は、強力な暗号化を使用して保護する必要があります。そうすれば、データ漏えいによる過剰な脆弱性の一環としてデータの場所が漏洩した場合でも、データが悪意のあるユーザーや脅威アクターの手に渡った場合でもデータを保護するための優れた二次防御線が確保されます。
をチェックしてください セキュア・コード・ウォリアー この脆弱性や、他のセキュリティ上の欠陥による被害から組織や顧客を保護する方法についての詳細な情報については、ブログページをご覧ください。また、次のこともできます。 デモを試す Secure Code Warriorトレーニングプラットフォームで、すべてのサイバーセキュリティスキルを磨き、最新の状態に保ちましょう。
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この過剰なデータ漏洩の脆弱性は、非常に特殊な種類のデータが関係しているという点で、OWASPリストにある他のAPI問題とは異なります。この脆弱性の背後にある実際の仕組みは他のものと似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されているデータや機密性の高いデータが関与していると定義されています。これには、個人を特定できる情報(PIIと呼ばれることが多い)がすべて含まれる可能性があります。また、ペイメントカード業界情報 (PCI) が含まれる場合もあります。最後に、ヨーロッパの一般データ保護規則 (GDPR) や米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) など、プライバシー法の対象となるあらゆる情報が、過度なデータ漏洩につながる可能性があります。
ご想像のとおり、これは深刻な懸念の原因であり、知識豊富な開発者は可能な限りこれらのバグを克服する方法を学ぶことが不可欠です。すでにデータ露出の激突に立ち向かう準備ができているなら、ゲーム化されたチャレンジに向かいましょう。
得点は何点でしたか?以下を読んで詳細をご覧ください。
過剰なデータ漏えいの例にはどのようなものがありますか?
過剰なデータ漏えいが発生する主な理由の 1 つは、開発者やコーダーがアプリケーションが使用するデータの種類について十分なインサイトを持っていないことです。そのため、開発者はすべてのオブジェクトプロパティをエンドユーザーに公開する汎用プロセスを利用する傾向があります。
開発者は、フロントエンドコンポーネントがユーザーに情報を表示する前にデータフィルタリングを実行すると想定することもあります。ほとんどの汎用データでは、これが問題になることはほとんどありません。しかし、たとえば、法的に保護されているデータや機密データをセッション ID の一部としてユーザーに公開すると、セキュリティと法的両方の観点から大きな問題が発生する可能性があります。
機密データが誤って共有されやすい例として、OWASPのレポートでは、警備員が施設内の特定のIoTベースのカメラにアクセスできるようになるシナリオを想定しています。おそらく、これらのカメラは密閉された安全な場所を監視しているのに対し、人物を監視する他のカメラは、より高い権限を持つ警備員や監督者に制限されているはずです。
警備員に許可されたカメラへのアクセスを許可するには、開発者は次のような API 呼び出しを使用できます。
/API/サイト/111/カメラ
これに応じて、アプリは警備員が見ることができるカメラの詳細を次の形式で送信します。
{「id」: "xxx」, "live_access_token」: "xxxxbbbbb」,「building_id」: "yyy"}
表面的には、これは問題なく動作しているように見えます。アプリのグラフィカル・ユーザー・インターフェースを使用している警備員は、閲覧が許可されているカメラの映像しか見ることができません。問題は、汎用コードが使用されているため、実際の API レスポンスには施設内の全カメラのリストが含まれてしまうことです。ネットワークをスニッフィングしてそのデータをキャプチャしたり、警備員のアカウントに不正アクセスしたりした人なら誰でも、ネットワーク上のすべてのカメラの位置と命名法を知ることができます。そうすれば、制限なくそのデータにアクセスできるようになります。
過剰なデータ漏洩の排除
過剰なデータ漏洩を防ぐための最大の鍵は、データとその保護について理解することです。汎用 API を作成し、それをユーザーに表示する前にデータのソートをクライアントに任せるのは危険な選択であり、予防可能なセキュリティ侵害が多く発生することになります。
関連するデータ保護を理解することに加えて、汎用APIを使用してすべてをユーザーに送信するプロセスを停止することも重要です。たとえば、to_json () や to_string () のようなコードは避ける必要があります。代わりに、コードは権限のあるユーザーに返す必要のあるプロパティを具体的に選択し、その情報を独占的に送信する必要があります。
保護されたデータが誤って過剰共有されないようにする方法として、組織はセキュリティを強化するためにスキーマベースの応答検証メカニズムの実装を検討する必要があります。エラー報告のルールを含め、すべての API メソッドから返されるデータを定義して適用する必要があります。
最後に、PIIまたはPCIを含むと分類されたすべてのデータ、またはGDPRやHIPAAなどの規制によって保護されている情報は、強力な暗号化を使用して保護する必要があります。そうすれば、データ漏えいによる過剰な脆弱性の一環としてデータの場所が漏洩した場合でも、データが悪意のあるユーザーや脅威アクターの手に渡った場合でもデータを保護するための優れた二次防御線が確保されます。
をチェックしてください セキュア・コード・ウォリアー この脆弱性や、他のセキュリティ上の欠陥による被害から組織や顧客を保護する方法についての詳細な情報については、ブログページをご覧ください。また、次のこともできます。 デモを試す Secure Code Warriorトレーニングプラットフォームで、すべてのサイバーセキュリティスキルを磨き、最新の状態に保ちましょう。
この過剰なデータ漏洩の脆弱性は、非常に特殊な種類のデータが関係しているという点で、OWASPリストにある他のAPI問題とは異なります。この脆弱性の背後にある実際の仕組みは他のものと似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されているデータや機密性の高いデータが関与していると定義されています。これには、個人を特定できる情報(PIIと呼ばれることが多い)がすべて含まれる可能性があります。また、ペイメントカード業界情報 (PCI) が含まれる場合もあります。最後に、ヨーロッパの一般データ保護規則 (GDPR) や米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) など、プライバシー法の対象となるあらゆる情報が、過度なデータ漏洩につながる可能性があります。
ご想像のとおり、これは深刻な懸念の原因であり、知識豊富な開発者は可能な限りこれらのバグを克服する方法を学ぶことが不可欠です。すでにデータ露出の激突に立ち向かう準備ができているなら、ゲーム化されたチャレンジに向かいましょう。
得点は何点でしたか?以下を読んで詳細をご覧ください。
過剰なデータ漏えいの例にはどのようなものがありますか?
過剰なデータ漏えいが発生する主な理由の 1 つは、開発者やコーダーがアプリケーションが使用するデータの種類について十分なインサイトを持っていないことです。そのため、開発者はすべてのオブジェクトプロパティをエンドユーザーに公開する汎用プロセスを利用する傾向があります。
開発者は、フロントエンドコンポーネントがユーザーに情報を表示する前にデータフィルタリングを実行すると想定することもあります。ほとんどの汎用データでは、これが問題になることはほとんどありません。しかし、たとえば、法的に保護されているデータや機密データをセッション ID の一部としてユーザーに公開すると、セキュリティと法的両方の観点から大きな問題が発生する可能性があります。
機密データが誤って共有されやすい例として、OWASPのレポートでは、警備員が施設内の特定のIoTベースのカメラにアクセスできるようになるシナリオを想定しています。おそらく、これらのカメラは密閉された安全な場所を監視しているのに対し、人物を監視する他のカメラは、より高い権限を持つ警備員や監督者に制限されているはずです。
警備員に許可されたカメラへのアクセスを許可するには、開発者は次のような API 呼び出しを使用できます。
/API/サイト/111/カメラ
これに応じて、アプリは警備員が見ることができるカメラの詳細を次の形式で送信します。
{「id」: "xxx」, "live_access_token」: "xxxxbbbbb」,「building_id」: "yyy"}
表面的には、これは問題なく動作しているように見えます。アプリのグラフィカル・ユーザー・インターフェースを使用している警備員は、閲覧が許可されているカメラの映像しか見ることができません。問題は、汎用コードが使用されているため、実際の API レスポンスには施設内の全カメラのリストが含まれてしまうことです。ネットワークをスニッフィングしてそのデータをキャプチャしたり、警備員のアカウントに不正アクセスしたりした人なら誰でも、ネットワーク上のすべてのカメラの位置と命名法を知ることができます。そうすれば、制限なくそのデータにアクセスできるようになります。
過剰なデータ漏洩の排除
過剰なデータ漏洩を防ぐための最大の鍵は、データとその保護について理解することです。汎用 API を作成し、それをユーザーに表示する前にデータのソートをクライアントに任せるのは危険な選択であり、予防可能なセキュリティ侵害が多く発生することになります。
関連するデータ保護を理解することに加えて、汎用APIを使用してすべてをユーザーに送信するプロセスを停止することも重要です。たとえば、to_json () や to_string () のようなコードは避ける必要があります。代わりに、コードは権限のあるユーザーに返す必要のあるプロパティを具体的に選択し、その情報を独占的に送信する必要があります。
保護されたデータが誤って過剰共有されないようにする方法として、組織はセキュリティを強化するためにスキーマベースの応答検証メカニズムの実装を検討する必要があります。エラー報告のルールを含め、すべての API メソッドから返されるデータを定義して適用する必要があります。
最後に、PIIまたはPCIを含むと分類されたすべてのデータ、またはGDPRやHIPAAなどの規制によって保護されている情報は、強力な暗号化を使用して保護する必要があります。そうすれば、データ漏えいによる過剰な脆弱性の一環としてデータの場所が漏洩した場合でも、データが悪意のあるユーザーや脅威アクターの手に渡った場合でもデータを保護するための優れた二次防御線が確保されます。
をチェックしてください セキュア・コード・ウォリアー この脆弱性や、他のセキュリティ上の欠陥による被害から組織や顧客を保護する方法についての詳細な情報については、ブログページをご覧ください。また、次のこともできます。 デモを試す Secure Code Warriorトレーニングプラットフォームで、すべてのサイバーセキュリティスキルを磨き、最新の状態に保ちましょう。
请点击以下链接下载此资源的PDF文件。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
显示报告预约演示
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
马蒂亚斯是一位拥有15年以上软件安全实践经验的研究员兼开发者。他曾为Fortify Software、其创立的Sensei Security等企业开发解决方案。在职业生涯中,马蒂亚斯主导了多个应用安全研究项目,这些项目最终转化为商用产品,并获得了10余项专利。在离开办公桌时,马蒂亚斯担任高级应用安全培训课程讲师,并定期在RSA大会、黑帽大会、DefCon、BSIMM、OWASP应用安全大会、BruCon等全球性会议上发表演讲。
马蒂亚斯在根特大学获得计算机工程博士学位,期间学习了通过程序混淆技术隐藏应用程序内部运作机制的应用程序安全技术。
この過剰なデータ漏洩の脆弱性は、非常に特殊な種類のデータが関係しているという点で、OWASPリストにある他のAPI問題とは異なります。この脆弱性の背後にある実際の仕組みは他のものと似ていますが、この場合の過剰なデータ漏洩とは、法的に保護されているデータや機密性の高いデータが関与していると定義されています。これには、個人を特定できる情報(PIIと呼ばれることが多い)がすべて含まれる可能性があります。また、ペイメントカード業界情報 (PCI) が含まれる場合もあります。最後に、ヨーロッパの一般データ保護規則 (GDPR) や米国の医療保険の相互運用性と説明責任に関する法律 (HIPAA) など、プライバシー法の対象となるあらゆる情報が、過度なデータ漏洩につながる可能性があります。
ご想像のとおり、これは深刻な懸念の原因であり、知識豊富な開発者は可能な限りこれらのバグを克服する方法を学ぶことが不可欠です。すでにデータ露出の激突に立ち向かう準備ができているなら、ゲーム化されたチャレンジに向かいましょう。
得点は何点でしたか?以下を読んで詳細をご覧ください。
過剰なデータ漏えいの例にはどのようなものがありますか?
過剰なデータ漏えいが発生する主な理由の 1 つは、開発者やコーダーがアプリケーションが使用するデータの種類について十分なインサイトを持っていないことです。そのため、開発者はすべてのオブジェクトプロパティをエンドユーザーに公開する汎用プロセスを利用する傾向があります。
開発者は、フロントエンドコンポーネントがユーザーに情報を表示する前にデータフィルタリングを実行すると想定することもあります。ほとんどの汎用データでは、これが問題になることはほとんどありません。しかし、たとえば、法的に保護されているデータや機密データをセッション ID の一部としてユーザーに公開すると、セキュリティと法的両方の観点から大きな問題が発生する可能性があります。
機密データが誤って共有されやすい例として、OWASPのレポートでは、警備員が施設内の特定のIoTベースのカメラにアクセスできるようになるシナリオを想定しています。おそらく、これらのカメラは密閉された安全な場所を監視しているのに対し、人物を監視する他のカメラは、より高い権限を持つ警備員や監督者に制限されているはずです。
警備員に許可されたカメラへのアクセスを許可するには、開発者は次のような API 呼び出しを使用できます。
/API/サイト/111/カメラ
これに応じて、アプリは警備員が見ることができるカメラの詳細を次の形式で送信します。
{「id」: "xxx」, "live_access_token」: "xxxxbbbbb」,「building_id」: "yyy"}
表面的には、これは問題なく動作しているように見えます。アプリのグラフィカル・ユーザー・インターフェースを使用している警備員は、閲覧が許可されているカメラの映像しか見ることができません。問題は、汎用コードが使用されているため、実際の API レスポンスには施設内の全カメラのリストが含まれてしまうことです。ネットワークをスニッフィングしてそのデータをキャプチャしたり、警備員のアカウントに不正アクセスしたりした人なら誰でも、ネットワーク上のすべてのカメラの位置と命名法を知ることができます。そうすれば、制限なくそのデータにアクセスできるようになります。
過剰なデータ漏洩の排除
過剰なデータ漏洩を防ぐための最大の鍵は、データとその保護について理解することです。汎用 API を作成し、それをユーザーに表示する前にデータのソートをクライアントに任せるのは危険な選択であり、予防可能なセキュリティ侵害が多く発生することになります。
関連するデータ保護を理解することに加えて、汎用APIを使用してすべてをユーザーに送信するプロセスを停止することも重要です。たとえば、to_json () や to_string () のようなコードは避ける必要があります。代わりに、コードは権限のあるユーザーに返す必要のあるプロパティを具体的に選択し、その情報を独占的に送信する必要があります。
保護されたデータが誤って過剰共有されないようにする方法として、組織はセキュリティを強化するためにスキーマベースの応答検証メカニズムの実装を検討する必要があります。エラー報告のルールを含め、すべての API メソッドから返されるデータを定義して適用する必要があります。
最後に、PIIまたはPCIを含むと分類されたすべてのデータ、またはGDPRやHIPAAなどの規制によって保護されている情報は、強力な暗号化を使用して保護する必要があります。そうすれば、データ漏えいによる過剰な脆弱性の一環としてデータの場所が漏洩した場合でも、データが悪意のあるユーザーや脅威アクターの手に渡った場合でもデータを保護するための優れた二次防御線が確保されます。
をチェックしてください セキュア・コード・ウォリアー この脆弱性や、他のセキュリティ上の欠陥による被害から組織や顧客を保護する方法についての詳細な情報については、ブログページをご覧ください。また、次のこともできます。 デモを試す Secure Code Warriorトレーニングプラットフォームで、すべてのサイバーセキュリティスキルを磨き、最新の状態に保ちましょう。
目录
马蒂亚斯·马杜博士是安全专家、研究员、首席技术官,以及安全代码战士的联合创始人。马蒂亚斯在根特大学以静态分析解决方案为核心,获得了应用安全领域的博士学位。此后他加入美国Fortify公司,并意识到仅检测代码问题而未协助开发者编写安全代码是远远不够的。这一认知促使他致力于开发能帮助开发者减轻安全负担、超越客户期望的产品。作为Team Awesome成员,当他不在办公桌前时,最享受在RSA大会、BlackHat、DefCon等技术会议上登台演讲的时刻。
Secure Code Warrior致力于在整个软件开发生命周期中保护代码,并协助构建将网络安全置于首位的文化。无论您是应用程序安全经理、开发人员、首席信息安全官还是安全相关人员,我们都能帮助您降低与不安全代码相关的风险。
预约演示[下载]
%20(1).avif)
.avif)
