OWASP Security Check

Web アプリケーションと REST API 向けの包括的なセキュリティ監査パターン。OWASP Top 10 と一般的な Web 脆弱性をカバーする 5 つのカテゴリにわたる 20 のルールを含みます。

適用タイミング

このスキルは以下の場合に使用します:

• コードベースのセキュリティ脆弱性を監査する
• ユーザーが提供したファイルまたはフォルダをセキュリティ問題について確認する
• 認証/認可の実装をチェックする
• REST API のセキュリティを評価する
• データ保護対策を評価する
• 設定およびデプロイメント設定を確認する
• 本番環境へのデプロイ前
• 機密データを扱う新機能追加後

このスキルの使用方法

1. アプリケーションタイプを識別 - Web アプリ、REST API、SPA、SSR、または混合
2. 優先度順にスキャン - CRITICAL ルール、次に HIGH、次に MEDIUM の順で進める
3. 関連するルールファイルを確認 - @rules/ ディレクトリから特定のルールをロードする
4. 検出結果を報告 - 重要度、ファイルの位置、影響を記述する
5. 修復方法を提供 - 修正の具体的なコード例を提示する

監査ワークフロー

ステップ 1: 優先度別の系統的レビュー

優先度別にカテゴリを確認します:

1. CRITICAL: 認証・認可、データ保護、入出力セキュリティ
2. HIGH: 設定・ヘッダー
3. MEDIUM: API・監視

ステップ 2: レポート生成

検出結果を以下の形式でフォーマットします:

• 重要度: CRITICAL | HIGH | MEDIUM | LOW
• カテゴリ: ルール名
• ファイル: パスと行番号
• 問題: 何が問題か
• 影響: セキュリティ上の影響
• 修正: 修復のコード例

ルール概要

認証・認可 (CRITICAL)

broken-access-control - @rules/broken-access-control.md

欠落している認可、IDOR、権限昇格をチェックします。

// 悪い例: 認可チェックなし
async function getUser(req: Request): Promise<Response> {
  let url = new URL(req.url);
  let userId = url.searchParams.get("id");
  let user = await db.user.findUnique({ where: { id: userId } });
  return new Response(JSON.stringify(user));
}

// 良い例: 所有権を確認
async function getUser(req: Request): Promise<Response> {
  let session = await getSession(req);
  let url = new URL(req.url);
  let userId = url.searchParams.get("id");

  if (session.userId !== userId && !session.isAdmin) {
    return new Response("Forbidden", { status: 403 });
  }

  let user = await db.user.findUnique({ where: { id: userId } });
  return new Response(JSON.stringify(user));
}

authentication-failures - @rules/authentication-failures.md

弱い認証、欠落した MFA、セッションの問題をチェックします。

// 悪い例: 弱いパスワードチェック
if (password.length >= 6) {
  /* 許可 */
}

// 良い例: 強力なパスワード要件
function validatePassword(password: string) {
  if (password.length < 12) return false;
  if (!/[A-Z]/.test(password)) return false;
  if (!/[a-z]/.test(password)) return false;
  if (!/[0-9]/.test(password)) return false;
  if (!/[^A-Za-z0-9]/.test(password)) return false;
  return true;
}

データ保護 (CRITICAL)

cryptographic-failures - @rules/cryptographic-failures.md

弱い暗号化、平文保存、不適切なハッシュをチェックします。

// 悪い例: パスワードに MD5 を使用
let hash = crypto.createHash("md5").update(password).digest("hex");

// 良い例: bcrypt とソルト
let hash = await bcrypt(password, 12);

sensitive-data-exposure - @rules/sensitive-data-exposure.md

ログ/レスポンスの PII、情報漏洩のエラーメッセージをチェックします。

// 悪い例: 機密データを公開
return new Response(JSON.stringify(user)); // パスワードハッシュ、メールなどを含む

// 良い例: 必要なフィールドのみを返す
return new Response(
  JSON.stringify({
    id: user.id,
    username: user.username,
    displayName: user.displayName,
  }),
);

data-integrity-failures - @rules/data-integrity-failures.md

署名なしデータ、安全でないデシリアライゼーションをチェックします。

// 悪い例: 署名なし JWT を信頼
let decoded = JSON.parse(atob(token.split(".")[1]));
if (decoded.isAdmin) {
  /* アクセス許可 */
}

// 良い例: 署名を検証
let payload = await verifyJWT(token, secret);

secrets-management - @rules/secrets-management.md

ハードコードされたシークレット、公開された環境変数をチェックします。

// 悪い例: ハードコードされたシークレット
const API_KEY = "sk_live_a1b2c3d4e5f6";

// 良い例: 環境変数
let API_KEY = process.env.API_KEY;
if (!API_KEY) throw new Error("API_KEY not configured");

入出力セキュリティ (CRITICAL)

injection-attacks - @rules/injection-attacks.md

SQL、XSS、NoSQL、コマンド、パストラバーサルインジェクションをチェックします。

// 悪い例: SQL インジェクション
let query = `SELECT * FROM users WHERE email = '${email}'`;

// 良い例: パラメータ化クエリ
let user = await db.user.findUnique({ where: { email } });

ssrf-attacks - @rules/ssrf-attacks.md

検証なし URL、内部ネットワークアクセスをチェックします。

// 悪い例: ユーザー提供 URL を取得
let url = await req.json().then((d) => d.url);
let response = await fetch(url);

// 良い例: ホワイトリストに対して検証
const ALLOWED_DOMAINS = ["api.example.com", "cdn.example.com"];
let url = new URL(await req.json().then((d) => d.url));
if (!ALLOWED_DOMAINS.includes(url.hostname)) {
  return new Response("Invalid URL", { status: 400 });
}

file-upload-security - @rules/file-upload-security.md

制限なしアップロード、MIME 検証をチェックします。

// 悪い例: ファイルタイプ検証なし
let file = await req.formData().then((fd) => fd.get("file"));
await writeFile(`./uploads/${file.name}`, file);

// 良い例: タイプと拡張子を検証
const ALLOWED_TYPES = ["image/jpeg", "image/png", "image/webp"];
const ALLOWED_EXTS = [".jpg", ".jpeg", ".png", ".webp"];
let file = await req.formData().then((fd) => fd.get("file") as File);

if (!ALLOWED_TYPES.includes(file.type)) {
  return new Response("Invalid file type", { status: 400 });
}

redirect-validation - @rules/redirect-validation.md

オープンリダイレクト、検証なしのリダイレクト URL をチェックします。

// 悪い例: リダイレクト URL の検証なし
let returnUrl = new URL(req.url).searchParams.get("return");
return Response.redirect(returnUrl);

// 良い例: リダイレクト URL を検証
let returnUrl = new URL(req.url).searchParams.get("return");
let allowed = ["/dashboard", "/profile", "/settings"];
if (!allowed.includes(returnUrl)) {
  return Response.redirect("/");
}

設定・ヘッダー (HIGH)

insecure-design - @rules/insecure-design.md

アーキテクチャのセキュリティアンチパターンをチェックします。

// 悪い例: セキュリティによる難読化
let isAdmin = req.headers.get("x-admin-secret") === "admin123";

// 良い例: 適切なロールベースアクセス制御
let session = await getSession(req);
let isAdmin = await db.user
  .findUnique({
    where: { id: session.userId },
  })
  .then((u) => u.role === "ADMIN");

security-misconfiguration - @rules/security-misconfiguration.md

デフォルト設定、デバッグモード、エラーハンドリングをチェックします。

// 悪い例: スタックトレースを公開
catch (error) {
  return new Response(error.stack, { status: 500 });
}

// 良い例: 汎用的なエラーメッセージ
catch (error) {
  console.error(error); // サーバー側でのみログ
  return new Response("Internal server error", { status: 500 });
}

security-headers - @rules/security-headers.md

CSP、HSTS、X-Frame-Options などをチェックします。

// 悪い例: セキュリティヘッダーなし
return new Response(html);

// 良い例: セキュリティヘッダーを設定
return new Response(html, {
  headers: {
    "Content-Security-Policy": "default-src 'self'",
    "X-Frame-Options": "DENY",
    "X-Content-Type-Options": "nosniff",
    "Strict-Transport-Security": "max-age=31536000; includeSubDomains",
  },
});

cors-configuration - @rules/cors-configuration.md

許容範囲を超えた CORS をチェックします。

// 悪い例: 認証情報付きのワイルドカード
headers.set("Access-Control-Allow-Origin", "*");
headers.set("Access-Control-Allow-Credentials", "true");

// 良い例: 特定のオリジン
let allowedOrigins = ["https://app.example.com"];
let origin = req.headers.get("origin");
if (origin && allowedOrigins.includes(origin)) {
  headers.set("Access-Control-Allow-Origin", origin);
}

csrf-protection - @rules/csrf-protection.md

CSRF トークン、SameSite クッキーをチェックします。

// 悪い例: CSRF 保護なし
let cookies = parseCookies(req.headers.get("cookie"));
let session = await getSession(cookies.sessionId);

// 良い例: SameSite クッキー + トークン検証
return new Response("OK", {
  headers: {
    "Set-Cookie": "session=abc; SameSite=Strict; Secure; HttpOnly",
  },
});

session-security - @rules/session-security.md

クッキーフラグ、JWT の問題、トークンストレージをチェックします。

// 悪い例: 安全でないクッキー
return new Response("OK", {
  headers: { "Set-Cookie": "session=abc123" },
});

// 良い例: すべてのフラグ付きセキュアクッキー
return new Response("OK", {
  headers: {
    "Set-Cookie":
      "session=abc123; Secure; HttpOnly; SameSite=Strict; Path=/; Max-Age=3600",
  },
});

API・監視 (MEDIUM-HIGH)

api-security - @rules/api-security.md

REST API の脆弱性、マスアサインメントをチェックします。

// 悪い例: マスアサインメント脆弱性
let userData = await req.json();
await db.user.update({ where: { id }, data: userData });

// 良い例: フィールドを明示的に許可
let { displayName, bio } = await req.json();
await db.user.update({
  where: { id },
  data: { displayName, bio }, // 許可されたフィールドのみ
});

rate-limiting - @rules/rate-limiting.md

レート制限の欠落、ブルートフォース防止をチェックします。

// 悪い例: レート制限なし
async function login(req: Request): Promise<Response> {
  let { email, password } = await req.json();
  // 無制限のログイン試行を許可
}

// 良い例: レート制限
let ip = req.headers.get("x-forwarded-for");
let { success } = await ratelimit.limit(ip);
if (!success) {
  return new Response("Too many requests", { status: 429 });
}

logging-monitoring - @rules/logging-monitoring.md

不十分なログ、ログの機密データをチェックします。

// 悪い例: 機密データをログに記録
console.log("User login:", { email, password, ssn });

// 良い例: 機密データなしでイベントをログ
console.log("User login attempt", {
  email,
  ip: req.headers.get("x-forwarded-for"),
  timestamp: new Date().toISOString(),
});

vulnerable-dependencies - @rules/vulnerable-dependencies.md

期限切れパッケージ、既知の CVE をチェックします。

# 悪い例: 依存関係チェックなし
npm install

# 良い例: 定期的な監査
npm audit
npm audit fix

一般的な脆弱性パターン

確認すべきパターンのクイックリファレンス:

• 検証なしのユーザー入力: req.json() → 即座に使用
• 認可チェック欠落: ミドルウェアなしのルート
• ハードコードされたシークレット: "password"、"secret"、"key" を含む文字列
• SQL インジェクション: クエリ内の文字列連結
• XSS: dangerouslySetInnerHTML、.innerHTML
• 弱い暗号化: パスワード用の md5、sha1
• ヘッダー欠落: CSP、HSTS、セキュリティヘッダーなし
• CORS ワイルドカード: 認証情報付き Access-Control-Allow-Origin: *
• 安全でないクッキー: Secure、HttpOnly、SameSite フラグなし
• パストラバーサル: 検証なしのファイルパスのユーザー入力

重要度クイックリファレンス

すぐに修正 (CRITICAL):

• SQL/XSS/コマンドインジェクション
• 機密エンドポイント上の認証欠落
• コード内のハードコードされたシークレット
• 平文パスワードストレージ
• IDOR 脆弱性

近いうちに修正 (HIGH):

• CSRF 保護欠落
• 弱いパスワード要件
• セキュリティヘッダー欠落
• 許容範囲を超えた CORS
• 安全でないセッション管理

可能な範囲で修正 (MEDIUM):

• レート制限欠落
• 不完全なログ
• 期限切れパッケージ (既知の悪用なし)
• 重要でないフィールドの入力検証欠落

改善 (LOW):

• オプションのセキュリティヘッダー欠落
• 詳細なエラーメッセージ (本番環境以外)
• 最適でない暗号パラメータ