主要な脆弱性カテゴリーをすべて。チームが書くすべての言語を。
9つのOWASPフレームワークにわたる310+以上の脆弱性タイプと1500+以上のチャレンジ — アプリ、クラウド、AIセキュリティ。15言語・フレームワークの本番環境に近いパターン。
アプリケーションセキュリティの9本柱。
OWASP Web Top 10
インジェクション、アクセス制御の破綻、暗号化の失敗、SSRF、その他Webアプリのリスクを支配するカテゴリー群。
OWASP API Top 10
API固有のリスク:オブジェクトレベル認可のギャップ、マスアサインメント、レート制限、内部エンドポイントへのサーバーサイド・リクエストフォージェリ。
OWASP Mobile Top 10
安全でないストレージ、生体認証バイパス、WebViewインジェクション、ディープリンクの悪用 — Web限定のトレーニングでは決して扱われない失敗モード。
クライアントサイド・セキュリティ
DOM XSS、プロトタイプ汚染、LocalStorageの漏えい、postMessageの悪用 — サーバーではなくブラウザーに存在するバグ。
OWASP Cloud-Native Top 10
CNAS — 安全でないクラウド構成、コンテナインジェクション、IAM の誤用、シークレット管理、ネットワークポリシー、AWS / GCP / Azure における IMDS の露出。
OWASP CI/CD Top 10
CICDSEC — フロー制御バイパス、汚染されたパイプライン実行、依存関係連鎖の悪用、シークレットリーク、アーティファクト整合性、ビルドパイプラインの監査ログギャップ。
OWASP LLM Top 10
LLMアプリケーションにおけるプロンプトインジェクション、機密情報の漏洩、モデルサプライチェーン、出力処理の脆弱性、システムプロンプトの漏洩、無制限な消費。
OWASP Agentic AI Top 10
自律型AIエージェント向けのメモリポイズニング、ツールの誤用、権限侵害、ハルシネーションの連鎖、意図の乗っ取り、ID なりすまし、HitL疲労攻撃。
安全なAI支援開発
AIツールへのシークレット流出、安全でないコード提案、依存関係のプロンプト操作、PRレビューのAIリスク、ライセンス汚染、自律コーディングエージェントの境界。
本番環境に近い — 擬似コードではありません。
チャレンジは開発者が実際に使用する言語とフレームワークに合わせて書かれています。同じSQLインジェクションでも、Spring BootサービスとDjangoビュー、Expressハンドラー、.NETコントローラーでは見た目が異なります — プラットフォームはそれを反映します。
カバレッジこそが、トレーニングを必須化可能にします。
PCI DSS 4.0.1やEUサイバーレジリエンス法のようなコンプライアンス・フレームワークは、「OWASP Top 10についてチームをトレーニングした」では受け入れません。スタックに実際に現れる脆弱性クラスのカバレッジを期待しています。カテゴリー全体の幅と言語全体の深さこそが、セキュリティチームがチームを取り残すことなく、このトレーニングをエンジニアリング組織全体に義務付けることを可能にします。
ご自身のスタックでご確認ください。
インタラクティブなデモでは、チームの言語を選んでその正確なスタックでチャレンジを実行できます。