1.7. ガイドラインの観点別マッピング¶

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.7.1. セキュリティ対策に関するマッピング¶

OWASP Top 10 for 2017を軸として、セキュリティに関連するガイドライン内の説明へのリンクを記載する。

項番	項目名	ガイドライン内の関連箇所
A1:2017	Injection SQL Injection	SQL Injection対策
A1:2017	Injection OS Command Injection	OSコマンドインジェクション対策
A1:2017	Injection Email Header Injection	メールヘッダ・インジェクション対策
A1:2017	Injection	セキュリティ観点での入力値チェック
A2:2017	Broken Authentication	セッションハイジャック攻撃への対策セッション固定攻撃への対策パスワードのハッシュ化
A3:2017	Sensitive Data Exposure	暗号化したプロパティ値を復号して使用する暗号化パスワードのハッシュ化
A4:2017	XML External Entities (XXE)	XXE(XML External Entity) 対策について XXE 対策の有効化
A5:2017	Broken Access Control	ディレクトリトラバーサル攻撃
A6:2017	Security Misconfiguration	ログの出力内容システム例外の例外コードを、画面表示する方法認可エラー時の遷移先
A7:2017	Cross-Site Scripting (XSS)	XSS対策 X-XSS-Protection
A8:2017	Insecure Deserialization	デシリアライズ時の注意点フォームデータをPOSTする Resourceクラスの作成
A9:2017	Using Components with Known Vulnerabilities	特に言及なし
A10:2017	Insufficient Logging & Monitoring	イベントリスナの作成監査ログ出力

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE	概要	ガイドラインでの言及箇所
CVE-2014-0050 CVE-2016-3092	Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある	Overview Commons FileUpload を使用したファイルのアップロード
CVE-2014-1904	`<form:form>`タグの `action`属性を省略するとXSS攻撃を受ける可能性がある	JSPの実装
CVE-2015-3192	DTDを使用したDoS攻撃が可能となる	How to use アプリケーションの設定
CVE-2016-5007	Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる	アクセスポリシーを適用するWebリソースの指定
CVE-2019-3778	認可コードグラントを利用した認可サーバにおけるオープンリダイレクト脆弱性	Spring Security OAuthのセットアップ
CVE-2019-12415	Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある	Spring Test DBUnitを利用したテスト
CVE-2020-5408	暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある	文字列の暗号化