ガイドラインの観点別マッピング
================================================================================

| ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。
|

セキュリティ対策に関するマッピング
--------------------------------------------------------------------------------

OWASP(Open Web Application Security Project)による観点
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

| OWASP（Open Web Application Security Project）は、Webアプリケーションのセキュリティ向上を目的とした国際的なオープンソースコミュニティである。
| OWASPでは、Webアプリケーションにおけるセキュリティ上のリスクを特定・分類し、その対策方法を提供しており、\ :url_owasp_project_top10:`OWASP Top 10 for 2025 </>`\ としてWebアプリケーションで最も重要なセキュリティリスクの上位10項目をまとめている。
| \ :url_owasp_project_top10:`OWASP Top 10 for 2025 </>`\ を確認し、堅牢なアプリケーションを構築するために必要な対策を講じることが重要である。
|
| 本節では、OWASP Top 10 for 2025の各項目に対応するガイドライン内の関連箇所を示す。

.. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}|
.. list-table::
  :header-rows: 1
  :widths: 10 40 50
  :class: longtable

  * - 項番
    - 項目名
    - ガイドライン内の関連箇所

  * - A1:2025
    - \ :url_owasp_top10:`Broken Access Control </2025/A01_2025-Broken_Access_Control/>`\
    - * \ :ref:`file-upload_security_related_warning_points_directory_traversal`\

  * - A2:2025
    - \ :url_owasp_top10:`Security Misconfiguration </2025/A02_2025-Security_Misconfiguration/>`\
    - * \ :ref:`exception-handling-how-to-use-codingpoint-view-exceptioncode-label`\
      * \ :ref:`XXE(XML External Entity) 対策について<AjaxWarningXXEProtection>`\
      * \ :ref:`RESTAppendixEnabledXXEProtection`\
      * \ :ref:`LoggingLogOutputContents`\
      * \ :ref:`SpringSecurityAuthorizationOnError`\

  * - A3:2025
    - \ :url_owasp_top10:`Software Supply Chain Failures </2025/A03_2025-Software_Supply_Chain_Failures/>`\
    - * 特に言及なし

  * - A4:2025
    - \ :url_owasp_top10:`Cryptographic Failures </2025/A04_2025-Cryptographic_Failures/>`\
    - * \ :ref:`PropertyManagementDecryptAndUseTheEncryptedPropertyValue`\
      * \ :doc:`../Security/Encryption`\
      * \ :ref:`SpringSecurityAuthenticationPasswordHashing`\

  * - A5:2025
    - \ :url_owasp_top10:`Injection </2025/A05_2025-Injection/>`\  SQL Injection
    - * \ :ref:`DataAccessMyBatis3HowToUseSqlInjectionCountermeasure`\
  * - A5:2025
    - \ :url_owasp_top10:`Injection </2025/A05_2025-Injection/>`\  OS Command Injection
    - * \ :ref:`ValidationOsCommandInjection`\
  * - A5:2025
    - \ :url_owasp_top10:`Injection </2025/A05_2025-Injection/>`\  Email Header Injection
    - * \ :ref:`email-header-injection`\
  * - A5:2025
    - \ :url_owasp_top10:`Injection </2025/A05_2025-Injection/>`\
    - * \ :ref:`secure-input-validation`\
      * \ :ref:`view_thymeleaf_preprocessing-label` \
  * - A5:2025
    - \ :url_owasp_top10:`Injection </2025/A05_2025-Injection/>`\  Cross-Site Scripting (XSS)
    - * \ :doc:`../Security/XSS`\
      * \ :ref:`LinkageWithBrowserContentSecurityPolicy`\

  * - A6:2025
    - \ :url_owasp_top10:`Insecure Design </2025/A06_2025-Insecure_Design/>`\
    - * 特に言及なし

  * - A7:2025
    - \ :url_owasp_top10:`Authentication Failures </2025/A07_2025-Authentication_Failures/>`\
    - * \ :ref:`SessionManagementSessionHijackingAttacksProtection`\
      * \ :ref:`SessionManagementSessionFixationAttacksProtection`\
      * \ :ref:`SpringSecurityAuthenticationPasswordHashing`\

  * - A8:2025
    - \ :url_owasp_top10:`Software or Data Integrity Failures </2025/A08_2025-Software_or_Data_Integrity_Failures/>`\
    - * 特に言及なし

  * - A9:2025
    - \ :url_owasp_top10:`Security Logging & Alerting Failures </2025/A09_2025-Security_Logging_and_Alerting_Failures/>`\
    - * \ :ref:`SpringSecurityAuthenticationEventListener`\
      * \ :ref:`audit-logging`\

  * - A10:2025
    - \ :url_owasp_top10:`Mishandling of Exceptional Conditions </2025/A10_2025-Mishandling_of_Exceptional_Conditions/>`\
    - * \ :doc:`../ArchitectureInDetail/WebApplicationDetail/ExceptionHandling`\
      * \ :ref:`認証例外情報の隠蔽<AuthenticationExceptionMasking>`\
      * \ :ref:`service_transaction_management`\
      * \ :doc:`../ArchitectureInDetail/WebApplicationDetail/Validation`\
      * \ :doc:`../ArchitectureInDetail/WebApplicationDetail/TagLibAndELFunctions`\

|

CVE(Common Vulnerabilities and Exposures)による観点
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
| ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。
| ガイドラインで言及していないCVEについては、\ :url_spring_io:`Pivotal Product Vulnerability Reports </security>`\ を参照されたい。

.. tabularcolumns:: |p{0.10\linewidth}|p{0.40\linewidth}|p{0.50\linewidth}|
.. list-table::
  :header-rows: 1
  :widths: 10 40 50

  * - CVE
    - 概要
    - ガイドラインでの言及箇所
  * - \ :url_cve:`CVE-2014-1904 <?name=CVE-2014-1904>`\
    - \ ``<form:form>``\ タグの \ ``action``\ 属性を省略するとXSS攻撃を受ける可能性がある
    - * \ :ref:`ApplicationLayerImplementOfJsp`\
  * - \ :url_cve:`CVE-2015-3192 <?name=CVE-2015-3192>`\
    - DTDを使用したDoS攻撃が可能となる
    - * \ :ref:`ajax_how_to_use`\
      * \ :ref:`RESTHowToUseApplicationSettings`\
  * - \ :url_spring_io:`CVE-2016-5007 </security/cve-2016-5007>`\
    - Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる
    - * \ :ref:`access_policy_designate_web_resource`\
  * - \ :url_cve:`CVE-2019-12415 <?name=CVE-2019-12415>`\
    - Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある
    - * \ :ref:`ImplementsOfTestByLayerTestingRepositoryWithSpringTestDBUnit`\
  * - \ :url_spring_io:`CVE-2020-5408 </security/cve-2020-5408>`\
    - 暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある
    - * \ :ref:`EncryptionEncryptText`\

.. raw:: latex

  \newpage