ガイドラインの観点別マッピング
================================================================================
ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。
セキュリティ対策に関するマッピング
--------------------------------------------------------------------------------
OWASP(Open Web Application Security Project)による観点
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
\ `OWASP Top 10 for 2021 `_\ を軸として、
セキュリティに関連するガイドライン内の説明へのリンクを記載する。
.. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}|
.. list-table::
:header-rows: 1
:widths: 10 40 50
:class: longtable
* - 項番
- 項目名
- ガイドライン内の関連箇所
* - A1:2021
- `Broken Access Control `_
- * \ :ref:`file-upload_security_related_warning_points_directory_traversal`\
* - A2:2021
- `Cryptographic Failures `_
- * \ :ref:`PropertyManagementDecryptAndUseTheEncryptedPropertyValue`\
* \ :doc:`../Security/Encryption`\
* \ :ref:`SpringSecurityAuthenticationPasswordHashing`\
* - A3:2021
- `Injection `_ SQL Injection
- * \ :ref:`DataAccessMyBatis3HowToUseSqlInjectionCountermeasure`\
* \ :ref:`Named Parametersについて`\
* \ :ref:`EntityManagerSetting`\
* - A3:2021
- `Injection `_ OS Command Injection
- * \ :ref:`Validation_os_command_injection`\
* - A3:2021
- `Injection `_ Email Header Injection
- * \ :ref:`email-header-injection`\
* - A3:2021
- `Injection `_
- * \ :ref:`secure-input-validation`\
* - A3:2021
- `Injection `_ Cross-Site Scripting (XSS)
- * \ :doc:`../Security/XSS`\
* \ :ref:`LinkageWithBrowserXXSSProtection`\
* - A4:2021
- `Insecure Design `_
- * 特に言及なし
* - A5:2021
- `Security Misconfiguration `_
- * \ :ref:`exception-handling-how-to-use-codingpoint-view-exceptioncode-label`\
* \ :ref:`XXE(XML External Entity) 対策について`\
* \ :ref:`RESTAppendixEnabledXXEProtection`\
* \ :ref:`LoggingLogOutputContents`\
* \ :ref:`SpringSecurityAuthorizationOnError`\
* - A6:2021
- `Vulnerable and Outdated Components `_
- * 特に言及なし
* - A7:2021
- `Identification and Authentication Failures `_
- * \ :ref:`SessionManagementSessionHijackingAttacksProtection`\
* \ :ref:`SessionManagementSessionFixationAttacksProtection`\
* \ :ref:`SpringSecurityAuthenticationPasswordHashing`\
* - A8:2021
- `Software and Data Integrity Failures `_
- * 特に言及なし
* - A9:2021
- `Security Logging and Monitoring Failures `_
- * \ :ref:`SpringSecurityAuthenticationEventListener`\
* \ :ref:`audit-logging`\
* - A10:2021
- `Server-Side Request Forgery `_
- * 特に言及なし
CVE(Common Vulnerabilities and Exposures)による観点
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。
ガイドラインで言及していないCVEについては、\ `Pivotal Product Vulnerability Reports `_\を参照されたい。
.. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}|
.. list-table::
:header-rows: 1
:widths: 10 40 50
* - CVE
- 概要
- ガイドラインでの言及箇所
* - \ `CVE-2014-1904 `_\
- \ ````\タグの \ ``action``\属性を省略するとXSS攻撃を受ける可能性がある
- * :ref:`ApplicationLayerImplementOfJsp`
* - \ `CVE-2015-3192 `_\
- DTDを使用したDoS攻撃が可能となる
- * :ref:`ajax_how_to_use`
* :ref:`RESTHowToUseApplicationSettings`
* - \ `CVE-2016-5007 `_\
- Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる
- * :ref:`access_policy_designate_web_resource`
* - \ `CVE-2019-12415 `_\
- Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある
- * :ref:`ImplementsOfTestByLayerTestingRepositoryWithSpringTestDBUnit`
* - \ `CVE-2020-5408 `_\
- 暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある
- * :ref:`EncryptionEncryptText`
* - \ `CVE-2020-25638 `_\
- デバック用の設定を有効にした場合の入力処理に不備があり、SQLインジェクション攻撃を受ける可能性がある
- * :ref:`EntityManagerSetting`
.. raw:: latex
\newpage