1.8. ガイドラインの観点別マッピング¶

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.8.1. セキュリティ対策に関するマッピング¶

OWASP Top 10 for 2021を軸として、セキュリティに関連するガイドライン内の説明へのリンクを記載する。

項番	項目名	ガイドライン内の関連箇所
A1:2021	Broken Access Control	ディレクトリトラバーサル攻撃
A2:2021	Cryptographic Failures	暗号化したプロパティ値を復号して使用する暗号化パスワードのハッシュ化
A3:2021	Injection SQL Injection	SQL Injection対策 Named Parametersについて EntityManagerの設定
A3:2021	Injection OS Command Injection	OSコマンドインジェクション対策
A3:2021	Injection Email Header Injection	メールヘッダ・インジェクション対策
A3:2021	Injection	セキュリティ観点での入力値チェックプリプロセッシング
A3:2021	Injection Cross-Site Scripting (XSS)	XSS対策 Content-Security-Policy
A4:2021	Insecure Design	特に言及なし
A5:2021	Security Misconfiguration	例外コードを画面表示する方法 XXE(XML External Entity) 対策について XXE 対策の有効化ログの出力内容認可エラー時の遷移先
A6:2021	Vulnerable and Outdated Components	特に言及なし
A7:2021	Identification and Authentication Failures	セッションハイジャック攻撃への対策セッション固定攻撃への対策パスワードのハッシュ化
A8:2021	Software and Data Integrity Failures	特に言及なし
A9:2021	Security Logging and Monitoring Failures	イベントリスナの作成監査ログ出力
A10:2021	Server-Side Request Forgery	特に言及なし

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。

ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE	概要	ガイドラインでの言及箇所
CVE-2014-1904	`<form:form>`タグの `action`属性を省略するとXSS攻撃を受ける可能性がある	JSPおよびThymeleafのテンプレートHTMLの実装
CVE-2015-3192	DTDを使用したDoS攻撃が可能となる	How to use アプリケーションの設定
CVE-2016-5007	Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる	アクセスポリシーの定義
CVE-2019-12415	Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある	Spring Test DBUnitを利用したテスト
CVE-2020-5408	暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある	文字列の暗号化
CVE-2020-25638	デバック用の設定を有効にした場合の入力処理に不備があり、SQLインジェクション攻撃を受ける可能性がある	EntityManagerの設定