1.7. ガイドラインの観点別マッピング

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.7.1. セキュリティ対策に関するマッピング

1.7.1.1. OWASP(Open Web Application Security Project)による観点

OWASP Top 10 for 2021を軸として、 セキュリティに関連するガイドライン内の説明へのリンクを記載する。

項番 項目名 ガイドライン内の関連箇所
A1:2021 Broken Access Control
A2:2021 Cryptographic Failures
A3:2021 Injection SQL Injection
A3:2021 Injection OS Command Injection
A3:2021 Injection Email Header Injection
A3:2021 Injection
A3:2021 Injection Cross-Site Scripting (XSS)
A4:2021 Insecure Design
  • 特に言及なし
A5:2021 Security Misconfiguration
A6:2021 Vulnerable and Outdated Components
  • 特に言及なし
A7:2021 Identification and Authentication Failures
A8:2021 Software and Data Integrity Failures
  • 特に言及なし
A9:2021 Security Logging and Monitoring Failures
A10:2021 Server-Side Request Forgery
  • 特に言及なし

1.7.1.2. CVE(Common Vulnerabilities and Exposures)による観点

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。 ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE 概要 ガイドラインでの言及箇所

CVE-2014-0050

CVE-2016-3092

Apache Commons FileUploadを使用するとファイルをアップロードする処理で細工されたリクエストによるDoS攻撃を受ける可能性がある
CVE-2014-1904 <form:form>タグの action属性を省略するとXSS攻撃を受ける可能性がある
CVE-2015-3192 DTDを使用したDoS攻撃が可能となる
CVE-2016-5007 Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる
CVE-2019-3778 認可コードグラントを利用した認可サーバにおけるオープンリダイレクト脆弱性
CVE-2019-12415 Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある
CVE-2020-5408 暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある