1.7. ガイドラインの観点別マッピング

ガイドラインの4章以降は機能別に説明されているが、機能面とは別の観点で、どの節にどの内容が含まれているかのマッピングを示す。

1.7.1. セキュリティ対策に関するマッピング

1.7.1.1. OWASP(Open Web Application Security Project)による観点

OWASP Top 10 for 2021を軸として、セキュリティに関連するガイドライン内の説明へのリンクを記載する。

項番

項目名

ガイドライン内の関連箇所

A1:2021

Broken Access Control

A2:2021

Cryptographic Failures

A3:2021

Injection SQL Injection

A3:2021

Injection OS Command Injection

A3:2021

Injection Email Header Injection

A3:2021

Injection

A3:2021

Injection Cross-Site Scripting (XSS)

A4:2021

Insecure Design

  • 特に言及なし

A5:2021

Security Misconfiguration

A6:2021

Vulnerable and Outdated Components

  • 特に言及なし

A7:2021

Identification and Authentication Failures

A8:2021

Software and Data Integrity Failures

  • 特に言及なし

A9:2021

Security Logging and Monitoring Failures

A10:2021

Server-Side Request Forgery

  • 特に言及なし


1.7.1.2. CVE(Common Vulnerabilities and Exposures)による観点

ガイドラインで言及しているCVEごとにその説明とガイドラインへのリンクを記載する。
ガイドラインで言及していないCVEについては、Pivotal Product Vulnerability Reportsを参照されたい。

CVE

概要

ガイドラインでの言及箇所

CVE-2014-1904

<form:form>タグの action属性を省略するとXSS攻撃を受ける可能性がある

CVE-2015-3192

DTDを使用したDoS攻撃が可能となる

CVE-2016-5007

Spring SecurityとSpring MVCのパス比較方法の差異を利用して認可のすり抜けが可能となる

CVE-2019-12415

Apache POI 4.1.0以前を利用したEXCELファイルからXMLへの変換において、細工されたEXCELファイルによるXXE攻撃を受ける可能性がある

CVE-2020-5408

暗号化の結果が毎回同一となることを利用した辞書攻撃により、暗号化前の平文を取得されてしまう可能性がある