カバレッジ

主要な脆弱性カテゴリーをすべて。チームが書くすべての言語を。

9つのOWASPフレームワークにわたる310+以上の脆弱性タイプと1500+以上のチャレンジ — アプリ、クラウド、AIセキュリティ。15言語・フレームワークの本番環境に近いパターン。

310+
脆弱性タイプ
1500+
チャレンジ
15
言語・スタック

アプリケーションセキュリティの9本柱。

App Security4

OWASP Web Top 10

80 トピック

インジェクション、アクセス制御の破綻、暗号化の失敗、SSRF、その他Webアプリのリスクを支配するカテゴリー群。

SQL InjectionXSSCSRFSSRFAuth Failures

OWASP API Top 10

25 トピック

API固有のリスク:オブジェクトレベル認可のギャップ、マスアサインメント、レート制限、内部エンドポイントへのサーバーサイド・リクエストフォージェリ。

BOLAMass AssignmentRate LimitingSSRF

OWASP Mobile Top 10

30 トピック

安全でないストレージ、生体認証バイパス、WebViewインジェクション、ディープリンクの悪用 — Web限定のトレーニングでは決して扱われない失敗モード。

Insecure StorageBiometric BypassWebView Injection

クライアントサイド・セキュリティ

24 トピック

DOM XSS、プロトタイプ汚染、LocalStorageの漏えい、postMessageの悪用 — サーバーではなくブラウザーに存在するバグ。

DOM XSSPrototype PollutionLocalStorage Leak
Cloud Security2

OWASP Cloud-Native Top 10

31 トピック

CNAS — 安全でないクラウド構成、コンテナインジェクション、IAM の誤用、シークレット管理、ネットワークポリシー、AWS / GCP / Azure における IMDS の露出。

Public S3 BucketsIMDS ExposureIaC SecretsUntrusted Images

OWASP CI/CD Top 10

10 トピック

CICDSEC — フロー制御バイパス、汚染されたパイプライン実行、依存関係連鎖の悪用、シークレットリーク、アーティファクト整合性、ビルドパイプラインの監査ログギャップ。

Pipeline PoisoningDependency ConfusionSecrets in RepoRunner Risks
AI Security3

OWASP LLM Top 10

32 トピック

LLMアプリケーションにおけるプロンプトインジェクション、機密情報の漏洩、モデルサプライチェーン、出力処理の脆弱性、システムプロンプトの漏洩、無制限な消費。

Prompt InjectionPII DisclosureRAG PoisoningRCE via Output

OWASP Agentic AI Top 10

30 トピック

自律型AIエージェント向けのメモリポイズニング、ツールの誤用、権限侵害、ハルシネーションの連鎖、意図の乗っ取り、ID なりすまし、HitL疲労攻撃。

Memory PoisoningTool MisuseGoal HijackingHitL Fatigue

安全なAI支援開発

23 トピック

AIツールへのシークレット流出、安全でないコード提案、依存関係のプロンプト操作、PRレビューのAIリスク、ライセンス汚染、自律コーディングエージェントの境界。

Code Paste LeakVulnerable PatternREADME PoisoningMCP Exposure

本番環境に近い — 擬似コードではありません。

チャレンジは開発者が実際に使用する言語とフレームワークに合わせて書かれています。同じSQLインジェクションでも、Spring BootサービスとDjangoビュー、Expressハンドラー、.NETコントローラーでは見た目が異なります — プラットフォームはそれを反映します。

バックエンド
JSJavaScript
TSTypeScript
PYPython
JAJava
C#C#
PHPPHP
GOGo
モバイル
SWSwift
KTKotlin
フロントエンド
Re/JSReact + JavaScript
Re/TSReact + TypeScript
Vu/JSVue + JavaScript
Vu/TSVue + TypeScript
Ng/JSAngular + JavaScript
Ng/TSAngular + TypeScript
1const query = `SELECT * FROM users
2 WHERE email = ${req.body.email}`
3// Vulnerable: string interpolation

カバレッジこそが、トレーニングを必須化可能にします。

PCI DSS 4.0.1やEUサイバーレジリエンス法のようなコンプライアンス・フレームワークは、「OWASP Top 10についてチームをトレーニングした」では受け入れません。スタックに実際に現れる脆弱性クラスのカバレッジを期待しています。カテゴリー全体の幅と言語全体の深さこそが、セキュリティチームがチームを取り残すことなく、このトレーニングをエンジニアリング組織全体に義務付けることを可能にします。

ご自身のスタックでご確認ください。

インタラクティブなデモでは、チームの言語を選んでその正確なスタックでチャレンジを実行できます。