1.7. ガイドラインの観点別マッピング

Caution

本バージョンの内容は既に古くなっています。最新のガイドラインはこちらからご参照ください。

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.7.1. セキュリティ対策に関するマッピング

OWASP Top 10 for 2013を軸として、 セキュリティに関連する機能の説明へのリンクを記載する。

項番	項目名	関連するガイドライン
A1	Injection SQL Injection	データベースアクセス（MyBatis3編） データベースアクセス（JPA編） (クエリにパラメータを埋め込む場合は、バインド変数を使用する旨を記載)
A1	Injection XXE(XML External Entity) Injection	Ajax
A1	Injection OS Command Injection	入力チェック
A1	Injection Email Header Injection	メールヘッダ・インジェクション対策
A1	Injection	セキュリティ観点での入力値チェック (外部からの入力全般に対する入力チェック方法を記載)
A2	Broken Authentication and Session Management	セッション管理 認証
A3	Cross-Site Scripting (XSS)	XSS対策 ブラウザのセキュリティ対策機能との連携
A4	Insecure Direct Object References Directory Traversal	ディレクトリトラバーサル攻撃
A5	Security Misconfiguration	ロギング(ログのメッセージ内容に言及) システム例外の例外コードを、画面表示する方法(システム例外時に出力するメッセージ内容に言及)
A6	Sensitive Data Exposure	プロパティ管理 暗号化 パスワードのハッシュ化
A7	Missing Function Level Access Control	認可
A8	Cross-Site Request Forgery (CSRF)	CSRF対策
A9	Using Components with Known Vulnerabilities	特に言及なし
A10	Unvalidated Redirects and Forwards	特に言及なし