情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V12 ファイルとリソースの検証要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#ja26c168]
検査対象のアプリケーションが次の高次の要件を満たすことを...
-信頼できないファイルのデータがセキュアな方法で適切に処理...
-信頼できない情報源から取得したデータは,Webルート(webroo...
**V12.1 ファイルアップロード要件 [#e8ac510e]
高圧縮ファイル爆弾(zip bombs)はペネトレーションテスト技...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.1.1|ストレージを圧迫させたり、DoS 攻撃を引き起こした...
|12.1.2|圧縮ファイルが「高圧縮ファイル爆弾(zip bombs)」で...
|12.1.3|1人のユーザがあまりにも多くのファイルまたは極端に...
&br;
**V12.2 ファイルの完全性の要件 [#kc42fd15]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.2.1|信頼できない場所から取得したファイルが、期待され...
&br;
**V12.3 ファイル実行の要件 [#habea8ad]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.3.1|パストラバーサルから保護するために、ユーザが送信...
|12.3.2|ローカルファイル(LFI)の漏えい、作成、更新、また...
|12.3.3|SSRFにも繋がる可能性があるリモートファイル(RFI)の...
|12.3.4|アプリケーションを反射型ファイルダウンロード(RFD...
|12.3.5|OS コマンドインジェクションから保護するために、信...
|12.3.6|アプリケーションは、未検証のコンテンツ配信ネット...
&br;
**V12.4 ファイル保存の要件 [#z72fdf1d]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.4.1|信頼できない場所から取得したファイルは、Webルート...
|12.4.2|信頼できない場所から取得したファイルが、アプリケ...
&br;
**V12.5 ファイルダウンロードの要件 [#v300e7f2]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.5.1|意図しない情報やソースコードの漏えいを防ぐために...
|12.5.2|アップロードされたファイルへの直接のリクエストがH...
&br;
**V12.6 SSRFからの保護要件 [#ae5336b1]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.6.1|Webサーバまたはアプリケーションサーバが、リクエス...
&br;
*参考情報 [#r028e8f7]
詳しくは以下の情報を参照してください。
-File Extension Handling for Sensitive Information : http...
-Reflective file download by Oren Hafif : https://www.tru...
-OWASP Third Party JavaScript Management Cheat Sheet : ht...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#ja26c168]
検査対象のアプリケーションが次の高次の要件を満たすことを...
-信頼できないファイルのデータがセキュアな方法で適切に処理...
-信頼できない情報源から取得したデータは,Webルート(webroo...
**V12.1 ファイルアップロード要件 [#e8ac510e]
高圧縮ファイル爆弾(zip bombs)はペネトレーションテスト技...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.1.1|ストレージを圧迫させたり、DoS 攻撃を引き起こした...
|12.1.2|圧縮ファイルが「高圧縮ファイル爆弾(zip bombs)」で...
|12.1.3|1人のユーザがあまりにも多くのファイルまたは極端に...
&br;
**V12.2 ファイルの完全性の要件 [#kc42fd15]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.2.1|信頼できない場所から取得したファイルが、期待され...
&br;
**V12.3 ファイル実行の要件 [#habea8ad]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.3.1|パストラバーサルから保護するために、ユーザが送信...
|12.3.2|ローカルファイル(LFI)の漏えい、作成、更新、また...
|12.3.3|SSRFにも繋がる可能性があるリモートファイル(RFI)の...
|12.3.4|アプリケーションを反射型ファイルダウンロード(RFD...
|12.3.5|OS コマンドインジェクションから保護するために、信...
|12.3.6|アプリケーションは、未検証のコンテンツ配信ネット...
&br;
**V12.4 ファイル保存の要件 [#z72fdf1d]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.4.1|信頼できない場所から取得したファイルは、Webルート...
|12.4.2|信頼できない場所から取得したファイルが、アプリケ...
&br;
**V12.5 ファイルダウンロードの要件 [#v300e7f2]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.5.1|意図しない情報やソースコードの漏えいを防ぐために...
|12.5.2|アップロードされたファイルへの直接のリクエストがH...
&br;
**V12.6 SSRFからの保護要件 [#ae5336b1]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|12.6.1|Webサーバまたはアプリケーションサーバが、リクエス...
&br;
*参考情報 [#r028e8f7]
詳しくは以下の情報を参照してください。
-File Extension Handling for Sensitive Information : http...
-Reflective file download by Oren Hafif : https://www.tru...
-OWASP Third Party JavaScript Management Cheat Sheet : ht...
ページ名:
