1.8. ガイドラインの観点別マッピング

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.8.1. セキュリティ対策に関するマッピング

1.8.1.1. OWASP(Open Web Application Security Project)による観点

OWASP Top 10 for 2017を軸として、 セキュリティに関連するガイドライン内の説明へのリンクを記載する。

項番 項目名 ガイドライン内の関連箇所
A1:2017 Injection SQL Injection
A1:2017 Injection OS Command Injection
A1:2017 Injection Email Header Injection
A1:2017 Injection
A2:2017 Broken Authentication
A3:2017 Sensitive Data Exposure
A4:2017 XML External Entities (XXE)
A5:2017 Broken Access Control
A6:2017 Security Misconfiguration
A7:2017 Cross-Site Scripting (XSS)
A8:2017 Insecure Deserialization
A9:2017 Using Components with Known Vulnerabilities
  • 特に言及なし
A10:2017 Insufficient Logging & Monitoring

1.8.1.2. CVE(Common Vulnerabilities and Exposures)による観点

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。 ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE 概要 ガイドラインでの言及箇所

CVE-2014-0050

CVE-2016-3092

Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある
CVE-2014-1904 <form:form>タグの action属性を省略するとXSS攻撃を受ける可能性がある
CVE-2015-3192 DTDを使用したDoS攻撃が可能となる
CVE-2016-5007 Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる
CVE-2019-3778 認可コードグラントを利用した認可サーバにおけるオープンリダイレクト脆弱性
CVE-2019-12415 Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある
CVE-2020-5408 暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある
CVE-2020-25638 デバック用の設定を有効にした場合の入力処理に不備があり、SQLインジェクション攻撃を受ける可能性がある