2015年上半期はWebアプリの脆弱性スキャンが多発 - ペンタセキュリティ

これらのシステムファイルへのアクセスが一般ユーザーにアクセスが許可された場合、Webサーバの動作とWebサービスに深刻な影響を与えるため、非常に危険となる。

インバリッドHTTPとリクエスト・ヘッダ・フィルタリングは、Webサイトの脆弱性を突いた攻撃を検知する。通常使用されるWebクライアントではなく、「The SlapperWorm」などの自動ツールを使った攻撃が頻繁に行われ、WAPPLESはこのような攻撃の属性をもって検知を行う。

「OWASP 2013基準Web攻撃類型Top10」は、WAPPLES検知ルールにより発生したアラート情報を「OWASP Top 10」と照らし合わせ、攻撃を類型化している。上半期は、「機密データの露出(SensitiveData Exposure)」の検知が29.9%と最も多く、「機能レベルのアク セス制御の欠落(Missing Function Level Access Control)」が29.0%と僅差であった。機密データの露出は、「OWASP Top 10 リスク」のA6に該当するセキュリティ脅威。キャッシュカード番号、パスワード、病院診察記録などの機密情報が、暗号化されていないデータとして送受信・保存された場合、この攻撃のターゲットとなる。