ガイドラインの観点別マッピング ================================================================================ ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。 セキュリティ対策に関するマッピング -------------------------------------------------------------------------------- OWASP(Open Web Application Security Project)による観点 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ \ `OWASP Top 10 for 2013 `_\ を軸として、 セキュリティに関連する機能の説明へのリンクを記載する。 .. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}| .. list-table:: :header-rows: 1 :widths: 10 40 50 * - 項番 - 項目名 - 関連するガイドライン * - A1 - `Injection `_ SQL Injection - * \ :doc:`../ArchitectureInDetail/DataAccessJpa`\ * \ :doc:`../ArchitectureInDetail/DataAccessMybatis2`\ (クエリにパラメータを埋め込む場合は、バインド変数を使用する旨を記載) * - A1 - `Injection `_ XXE(XML External Entity) Injection - * \ :doc:`../ArchitectureInDetail/Ajax`\ * - A2 - `Broken Authentication and Session Management `_ - * \ :doc:`../Security/Authentication`\ * - A3 - `Cross-Site Scripting (XSS) `_ - * \ :doc:`../Security/XSS`\ * - A4 - `Insecure Direct Object References `_ - 特に言及なし * - A5 - `Security Misconfiguration `_ - * \ :doc:`../ArchitectureInDetail/Logging`\ (ログのメッセージ内容に言及) * \ :ref:`exception-handling-how-to-use-codingpoint-jsp-exceptioncode-label`\ (システム例外時に出力するメッセージ内容に言及) * - A6 - `Sensitive Data Exposure `_ - * \ :doc:`../ArchitectureInDetail/PropertyManagement`\ * \ :doc:`../Security/PasswordHashing`\ (パスワードハッシュにのみ言及) * - A7 - `Missing Function Level Access Control `_ - * \ :doc:`../Security/Authorization`\ * - A8 - `Cross-Site Request Forgery (CSRF) `_ - * \ :doc:`../Security/CSRF`\ * - A9 - `Using Components with Known Vulnerabilities `_ - 特に言及なし * - A10 - `Unvalidated Redirects and Forwards `_ - * \ :doc:`../Security/Authentication`\ (オープンリダイレクタ脆弱性対策について言及) CVE(Common Vulnerabilities and Exposures)による観点 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。 ガイドラインで言及していないCVEについては、\ `Pivotal Product Vulnerability Reports `_\を参照されたい。 .. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}| .. list-table:: :header-rows: 1 :widths: 10 40 50 * - CVE - 概要 - ガイドラインでの言及箇所 * - \ `CVE-2014-0050 `_\ \ `CVE-2016-3092 `_\ - Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある - * :ref:`FileUploadOverview` * :ref:`file-upload_usage_commons_fileupload` * - \ `CVE-2014-1904 `_\ - \ ````\タグの \ ``action``\属性を省略するとXSS攻撃を受ける可能性がある - * :ref:`ApplicationLayerImplementOfJsp` * - \ `CVE-2015-3192 `_\ - DTDを使用したDoS攻撃が可能となる - * :ref:`ajax_how_to_use` * :ref:`RESTHowToUseApplicationSettings` * - \ `CVE-2016-5007 `_\ - Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる - * :ref:`authorization-intercept-url` * - \ `CVE-2016-6652 `_\ - \ ``Sort``\オブジェクトをそのままJPAプロバイダに受け渡すとブラインドSQLインジェクション攻撃を受ける可能性がある - * :ref:`how_to_specify_query_annotation-label` * - \ `CVE-2016-9879 `_\ - Spring SecurityとSpring MVCのパス取得方法の差異を利用して認可のすり抜けが可能となる - * :ref:`authorization-intercept-url` .. raw:: latex \newpage