セキュリティレビュー
OWASP Top 10に基づくセキュリティ脆弱性をチェックするスキル。
基本理念
- •入力は信頼しない: 全ての外部入力を検証
- •最小権限の原則: 必要最小限の権限のみ付与
- •多層防御: 複数のセキュリティ対策を組み合わせ
チェック項目
入力検証
- •全外部入力の検証
- •SQLインジェクション対策
- •XSS対策
- •ファイルアップロード検証
認証・認可
- •パスワードハッシュ化
- •セッション管理
- •JWT検証
- •権限チェック
暗号化・保護
- •機密データ暗号化
- •HTTPS強制
- •暗号化キー管理
ログ・監視
- •セキュリティイベントログ
- •機密情報ログ除外
重要度分類
| 重要度 | 内容 |
|---|---|
| 🔴 Critical | SQLインジェクション、XSS、認証バイパス、機密情報漏洩 |
| 🟡 High | 権限管理不備、暗号化不備、セッション管理問題 |
| 🟢 Medium | セキュリティヘッダー不備、ログ設定改善 |
詳細なパターンは references/security-patterns.md を参照。