カバレッジ
主要な脆弱性カテゴリーをすべて。チームが書くすべての言語を。
Web、API、モバイル、クライアントサイドのセキュリティにわたる185以上の脆弱性タイプと900以上のチャレンジ。15言語・フレームワークの本番環境に近いパターン。
185+
脆弱性タイプ
900+
チャレンジ
15
言語・スタック
カテゴリー
アプリケーション・セキュリティの4つの柱。
OWASP Web Top 10
78 トピック
インジェクション、アクセス制御の破綻、暗号化の失敗、SSRF、その他Webアプリのリスクを支配するカテゴリー群。
SQL InjectionXSSCSRFSSRFAuth Failures
OWASP API Top 10
35 トピック
API固有のリスク:オブジェクトレベル認可のギャップ、マスアサインメント、レート制限、内部エンドポイントへのサーバーサイド・リクエストフォージェリ。
BOLAMass AssignmentRate LimitingSSRF
OWASP Mobile Top 10
37 トピック
安全でないストレージ、生体認証バイパス、WebViewインジェクション、ディープリンクの悪用 — Web限定のトレーニングでは決して扱われない失敗モード。
Insecure StorageBiometric BypassWebView Injection
クライアントサイド・セキュリティ
36 トピック
DOM XSS、プロトタイプ汚染、LocalStorageの漏えい、postMessageの悪用 — サーバーではなくブラウザーに存在するバグ。
DOM XSSPrototype PollutionLocalStorage Leak
言語・スタック
本番環境に近い — 擬似コードではありません。
チャレンジは開発者が実際に使用する言語とフレームワークに合わせて書かれています。同じSQLインジェクションでも、Spring BootサービスとDjangoビュー、Expressハンドラー、.NETコントローラーでは見た目が異なります — プラットフォームはそれを反映します。
バックエンド
JSJavaScript
TSTypeScript
PYPython
JAJava
C#C#
PHPPHP
GOGo
モバイル
SWSwift
KTKotlin
フロントエンド
Re/JSReact + JavaScript
Re/TSReact + TypeScript
Vu/JSVue + JavaScript
Vu/TSVue + TypeScript
Ng/JSAngular + JavaScript
Ng/TSAngular + TypeScript
1const query = `SELECT * FROM users
2 WHERE email = ${req.body.email}`
3// Vulnerable: string interpolation
なぜ重要か
カバレッジこそが、トレーニングを必須化可能にします。
PCI DSS 4.0.1やEUサイバーレジリエンス法のようなコンプライアンス・フレームワークは、「OWASP Top 10についてチームをトレーニングした」では受け入れません。スタックに実際に現れる脆弱性クラスのカバレッジを期待しています。カテゴリー全体の幅と言語全体の深さこそが、セキュリティチームがチームを取り残すことなく、このトレーニングをエンジニアリング組織全体に義務付けることを可能にします。
ご自身のスタックでご確認ください。
インタラクティブなデモでは、チームの言語を選んでその正確なスタックでチャレンジを実行できます。