1.8. ガイドラインの観点別マッピング¶
Caution
本バージョンの内容は既に古くなっています。最新のガイドラインはこちらからご参照ください。
ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。
1.8.1. セキュリティ対策に関するマッピング¶
1.8.1.1. OWASP(Open Web Application Security Project)による観点¶
OWASP Top 10 for 2021を軸として、 セキュリティに関連するガイドライン内の説明へのリンクを記載する。
項番 | 項目名 | ガイドライン内の関連箇所 |
---|---|---|
A1:2021 | Broken Access Control | |
A2:2021 | Cryptographic Failures | |
A3:2021 | Injection SQL Injection | |
A3:2021 | Injection OS Command Injection | |
A3:2021 | Injection Email Header Injection | |
A3:2021 | Injection | |
A3:2021 | Injection Cross-Site Scripting (XSS) | |
A4:2021 | Insecure Design |
|
A5:2021 | Security Misconfiguration | |
A6:2021 | Vulnerable and Outdated Components |
|
A7:2021 | Identification and Authentication Failures | |
A8:2021 | Software and Data Integrity Failures |
|
A9:2021 | Security Logging and Monitoring Failures | |
A10:2021 | Server-Side Request Forgery |
|
1.8.1.2. CVE(Common Vulnerabilities and Exposures)による観点¶
ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。 ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。
CVE | 概要 | ガイドラインでの言及箇所 |
---|---|---|
Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある | ||
CVE-2014-1904 | <form:form> タグの action 属性を省略するとXSS攻撃を受ける可能性がある |
|
CVE-2015-3192 | DTDを使用したDoS攻撃が可能となる | |
CVE-2016-5007 | Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる | |
CVE-2019-3778 | 認可コードグラントを利用した認可サーバにおけるオープンリダイレクト脆弱性 | |
CVE-2019-12415 | Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある | |
CVE-2020-5408 | 暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある | |
CVE-2020-25638 | デバック用の設定を有効にした場合の入力処理に不備があり、SQLインジェクション攻撃を受ける可能性がある |