1.7. ガイドラインの観点別マッピング¶

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.7.1. セキュリティ対策に関するマッピング¶

OWASP Top 10 for 2013を軸として、セキュリティに関連する機能の説明へのリンクを記載する。

項番	項目名	関連するガイドライン
A1	Injection SQL Injection	データベースアクセス（MyBatis3編）データベースアクセス（JPA編） (クエリにパラメータを埋め込む場合は、バインド変数を使用する旨を記載)
A1	Injection XXE(XML External Entity) Injection	Ajax
A1	Injection OS Command Injection	入力チェック
A1	Injection Email Header Injection	メールヘッダ・インジェクション対策
A1	Injection	セキュリティ観点での入力値チェック (外部からの入力全般に対する入力チェック方法を記載)
A2	Broken Authentication and Session Management	セッション管理認証
A3	Cross-Site Scripting (XSS)	XSS対策ブラウザのセキュリティ対策機能との連携
A4	Insecure Direct Object References Directory Traversal	ディレクトリトラバーサル攻撃
A5	Security Misconfiguration	ロギング(ログのメッセージ内容に言及) システム例外の例外コードを、画面表示する方法(システム例外時に出力するメッセージ内容に言及)
A6	Sensitive Data Exposure	プロパティ管理暗号化パスワードのハッシュ化
A7	Missing Function Level Access Control	認可
A8	Cross-Site Request Forgery (CSRF)	CSRF対策
A9	Using Components with Known Vulnerabilities	特に言及なし
A10	Unvalidated Redirects and Forwards	特に言及なし

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE	概要	ガイドラインでの言及箇所
CVE-2014-0050 CVE-2016-3092	Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある	Overview Commons FileUpload を使用したファイルのアップロード
CVE-2014-1904	`<form:form>`タグの `action`属性を省略するとXSS攻撃を受ける可能性がある	JSPの実装
CVE-2015-3192	DTDを使用したDoS攻撃が可能となる	How to use アプリケーションの設定
CVE-2016-5007	Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる	アクセスポリシーを適用するWebリソースの指定
CVE-2016-6652	`Sort`オブジェクトをそのままJPAプロバイダに受け渡すとブラインドSQLインジェクション攻撃を受ける可能性がある	@Query アノテーションで指定する
CVE-2016-9879	Spring SecurityとSpring MVCのパス取得方法の差異を利用して認可のすり抜けが可能となる	アクセスポリシーを適用するWebリソースの指定