情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V10 悪意のあるコードの検証要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#je9ce31d]
検査対象のコードが次の高次の要件を満たすことを確認します。
-アプリケーションの他の部分に影響が及ばないよう、悪性活動...
-time bomb や他のtime based 攻撃に繋がる問題を作り込んで...
-悪性サイトや許可されていないサイトとの秘密の通信 (“phone...
-攻撃者が制御可能なバックドア、イースターエッグ、サラミ攻...
悪性コードを完全に見つけることは不可能です。コードの中に...
**V10.1 コード整合性コントロール [#ze4846db]
悪性コードに対する最良の防御策は、「信頼はするが、検証も...
リード開発者による定期的なコードチェック(特に時間、I/O、...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.1.1|時間関数、危険なファイル操作、ネットワーク接続な...
&br;
**V10.2 悪意コード検索 [#z2cd9f47]
悪性コードが作り込まれることは極めてまれです。また検出は...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.2.1|アプリケーションのソースコードおよびサードパーテ...
|10.2.2|アプリケーションが連絡先、カメラ、マイク、ロケー...
|10.2.3|アプリケーションのソースコードおよびサードパーテ...
|10.2.4|日付と時刻関連の機能を検索して、アプリケーション...
|10.2.5|アプリケーションのソースコードとサードパーティの...
|10.2.6|アプリケーションのソースコードとサードパーティの...
&br;
**V10.3 デプロイ済アプリケーションの整合性コントロール [#...
アプリケーションがデプロイされた後も、悪性コードが挿入さ...
このセクションに準拠するには運用上、持続的に進める必要が...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.3.1|アプリケーションにクライアントまたはサーバの自動...
|10.3.2|アプリケーションで、コード署名やサブリソースの完...
|10.3.3|期限切れドメイン名、期限切れ DNS ポインタまたは C...
&br;
*参考情報 [#k8097c0f]
-Hostile Sub-Domain Takeover, Detectify Labs : https://la...
-Hijacking of abandoned subdomains part 2, Detectify Labs...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#je9ce31d]
検査対象のコードが次の高次の要件を満たすことを確認します。
-アプリケーションの他の部分に影響が及ばないよう、悪性活動...
-time bomb や他のtime based 攻撃に繋がる問題を作り込んで...
-悪性サイトや許可されていないサイトとの秘密の通信 (“phone...
-攻撃者が制御可能なバックドア、イースターエッグ、サラミ攻...
悪性コードを完全に見つけることは不可能です。コードの中に...
**V10.1 コード整合性コントロール [#ze4846db]
悪性コードに対する最良の防御策は、「信頼はするが、検証も...
リード開発者による定期的なコードチェック(特に時間、I/O、...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.1.1|時間関数、危険なファイル操作、ネットワーク接続な...
&br;
**V10.2 悪意コード検索 [#z2cd9f47]
悪性コードが作り込まれることは極めてまれです。また検出は...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.2.1|アプリケーションのソースコードおよびサードパーテ...
|10.2.2|アプリケーションが連絡先、カメラ、マイク、ロケー...
|10.2.3|アプリケーションのソースコードおよびサードパーテ...
|10.2.4|日付と時刻関連の機能を検索して、アプリケーション...
|10.2.5|アプリケーションのソースコードとサードパーティの...
|10.2.6|アプリケーションのソースコードとサードパーティの...
&br;
**V10.3 デプロイ済アプリケーションの整合性コントロール [#...
アプリケーションがデプロイされた後も、悪性コードが挿入さ...
このセクションに準拠するには運用上、持続的に進める必要が...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|10.3.1|アプリケーションにクライアントまたはサーバの自動...
|10.3.2|アプリケーションで、コード署名やサブリソースの完...
|10.3.3|期限切れドメイン名、期限切れ DNS ポインタまたは C...
&br;
*参考情報 [#k8097c0f]
-Hostile Sub-Domain Takeover, Detectify Labs : https://la...
-Hijacking of abandoned subdomains part 2, Detectify Labs...
ページ名:
