1.6. ガイドラインの観点別マッピング

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.6.1. セキュリティ対策に関するマッピング

1.6.1.1. OWASP(Open Web Application Security Project)による観点

OWASP Top 10 for 2013を軸として、 セキュリティに関連する機能の説明へのリンクを記載する。

項番 項目名 関連するガイドライン
A1 Injection SQL Injection

(クエリにパラメータを埋め込む場合は、バインド変数を使用する旨を記載)

A1 Injection XXE(XML External Entity) Injection
A2 Broken Authentication and Session Management
A3 Cross-Site Scripting (XSS)
A4 Insecure Direct Object References 特に言及なし
A5 Security Misconfiguration
A6 Sensitive Data Exposure
A7 Missing Function Level Access Control
A8 Cross-Site Request Forgery (CSRF)
A9 Using Components with Known Vulnerabilities 特に言及なし
A10 Unvalidated Redirects and Forwards
  • 認証(オープンリダイレクタ脆弱性対策について言及)

1.6.1.2. CVE(Common Vulnerabilities and Exposures)による観点

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。 ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE 概要 ガイドラインでの言及箇所

CVE-2014-0050

CVE-2016-3092

Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある
CVE-2014-1904 <form:form>タグの action属性を省略するとXSS攻撃を受ける可能性がある
CVE-2015-3192 DTDを使用したDoS攻撃が可能となる
CVE-2016-5007 Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる
CVE-2016-6652 SortオブジェクトをそのままJPAプロバイダに受け渡すとブラインドSQLインジェクション攻撃を受ける可能性がある
CVE-2016-9879 Spring SecurityとSpring MVCのパス取得方法の差異を利用して認可のすり抜けが可能となる