OWASPとは「Open Web Application Security Project(オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト)」の略であり、OWSAPはウェブ・アプリケーション・セキュリティの分野で、自由に利用できる記事、方法論、文書、ツール、および技術を作成するオンライン・コミュニティである。
OWASP Top10は、OWASPが提供するWebアプリケーション・セキュリティに関する最も重大な10のリスクについてランキングと修正のガイダンスを提供するオンラインドキュメントであり、2003年に最初に公開された。組織が直面している最も重大なリスクのいくつかを特定することにより、アプリケーションのセキュリティに関する認識を高めることを目的としており、Webアプリケーションの脆弱性診断の観点などとしても用いられる。
OWASP Top10は数年ごとに更新される。
2021年のTop10の日本語版は以下となっている。
2021年
- A01:アクセス制御の不備
- A02:暗号化の失敗
- A03:インジェクション
- A04:安全が確認されない不安な設計
- A05:セキュリティの設定ミス
- A06:脆弱で古くなったコンポーネント
- A07:識別と認証の失敗
- A08:ソフトウェアとデータの整合性の不具合
- A09:セキュリティログとモニタリングの失敗
- A10:サーバーサイドリクエストフォージェリ(SSRF)
