情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V13 APIおよびWebサービス検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#s0aba47f]
信頼されたサービスレイヤAPI(一般的にJSONやXML、またはGra...
-すべてのWebサービスで適切な認証、セッション管理および認可
-低信頼レベルから高信頼レベルに移行する全てのパラメータの...
-クラウドやサーバレスAPIを含む全てのAPIの種類に対して有効...
この章を他の全ての章と組み合わせて同じレベルで読んでくだ...
**V13.1 一般的なWebサービスセキュリティの検証要件 [#c259a...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.1.1|SSRF 攻撃や RFI 攻撃で使用される可能性があるよう...
|13.1.2|Web サービスアプリケーション内の管理機能にアクセ...
|13.1.3|API URL が API Key やセッショントークンなどの機密...
|13.1.4|認可の判定が、URI とリソースレベルの両方で行われ...
|13.1.5|予期しないまたは欠落している Content Type を含む...
&br;
**V13.2 RESTful Webサービスの検証要件 [#o6f83699]
JSON schemaのバリデーションの標準化のドラフト段階にありま...
-不足している要素や余分な要素があるかなど、JSONオブジェク...
-データタイプ、データ形式、長さなどの標準入力検証メソッド...
-そして、正式なJSON schemaのバリデーション
JSON schemaのバリデーション標準が正式化されると、ASVSはこ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.2.1|保護された API またはリソースに対して通常ユーザが...
|13.2.2|JSON スキーマバリデーションが設定され、入力を受け...
|13.2.3|Cookie を使用する RESTful Webサービスが、次のうち...
|13.2.4|特に API が認証不要な場合、過剰な呼び出しから保護...
|13.2.5|受信したContent-Type が application/xml や applic...
|13.2.6|メッセージヘッダとペイロードが信頼でき、転送中に...
**V13.3 SOAP Webサービスの検証要件 [#b69142de]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.3.1|適切に形成された XML 文書を確保するために、XSD ス...
|13.3.2|クライアントとサービス間の信頼できる転送を確保す...
注:DTDに対するXXE攻撃の問題があるため、DTD検証は使用しな...
&br;
**V13.4 GraphQLや他のWebサービスデータレイヤのセキュリテ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.4.1|高コストで、ネストされたクエリの結果として GraphQ...
|13.4.2|GraphQL または他のデータレイヤの認可ロジックが、G...
&br;
*参考情報 [#i28c8eb4]
詳しくは以下の情報を参照してください。
-OWASP Serverless Top 10 : https://www.owasp.org/images/5...
-OWASP Serverless Project : https://www.owasp.org/index.p...
-OWASP Testing Guide 4.0: Configuration and Deployment Ma...
-OWASP Cross-Site Request Forgery cheat sheet : https://g...
-OWASP XML External Entity Prevention Cheat Sheet - Gener...
-REST Security Cheat Sheet : https://www.owasp.org/index....
-JSON Schema : https://json-schema.org/specification.html
-XML DTD Entity Attacks : https://www.vsecurity.com//down...
-Orange Tsai - A new era of SSRF Exploiting URL Parser In...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#s0aba47f]
信頼されたサービスレイヤAPI(一般的にJSONやXML、またはGra...
-すべてのWebサービスで適切な認証、セッション管理および認可
-低信頼レベルから高信頼レベルに移行する全てのパラメータの...
-クラウドやサーバレスAPIを含む全てのAPIの種類に対して有効...
この章を他の全ての章と組み合わせて同じレベルで読んでくだ...
**V13.1 一般的なWebサービスセキュリティの検証要件 [#c259a...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.1.1|SSRF 攻撃や RFI 攻撃で使用される可能性があるよう...
|13.1.2|Web サービスアプリケーション内の管理機能にアクセ...
|13.1.3|API URL が API Key やセッショントークンなどの機密...
|13.1.4|認可の判定が、URI とリソースレベルの両方で行われ...
|13.1.5|予期しないまたは欠落している Content Type を含む...
&br;
**V13.2 RESTful Webサービスの検証要件 [#o6f83699]
JSON schemaのバリデーションの標準化のドラフト段階にありま...
-不足している要素や余分な要素があるかなど、JSONオブジェク...
-データタイプ、データ形式、長さなどの標準入力検証メソッド...
-そして、正式なJSON schemaのバリデーション
JSON schemaのバリデーション標準が正式化されると、ASVSはこ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.2.1|保護された API またはリソースに対して通常ユーザが...
|13.2.2|JSON スキーマバリデーションが設定され、入力を受け...
|13.2.3|Cookie を使用する RESTful Webサービスが、次のうち...
|13.2.4|特に API が認証不要な場合、過剰な呼び出しから保護...
|13.2.5|受信したContent-Type が application/xml や applic...
|13.2.6|メッセージヘッダとペイロードが信頼でき、転送中に...
**V13.3 SOAP Webサービスの検証要件 [#b69142de]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.3.1|適切に形成された XML 文書を確保するために、XSD ス...
|13.3.2|クライアントとサービス間の信頼できる転送を確保す...
注:DTDに対するXXE攻撃の問題があるため、DTD検証は使用しな...
&br;
**V13.4 GraphQLや他のWebサービスデータレイヤのセキュリテ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|13.4.1|高コストで、ネストされたクエリの結果として GraphQ...
|13.4.2|GraphQL または他のデータレイヤの認可ロジックが、G...
&br;
*参考情報 [#i28c8eb4]
詳しくは以下の情報を参照してください。
-OWASP Serverless Top 10 : https://www.owasp.org/images/5...
-OWASP Serverless Project : https://www.owasp.org/index.p...
-OWASP Testing Guide 4.0: Configuration and Deployment Ma...
-OWASP Cross-Site Request Forgery cheat sheet : https://g...
-OWASP XML External Entity Prevention Cheat Sheet - Gener...
-REST Security Cheat Sheet : https://www.owasp.org/index....
-JSON Schema : https://json-schema.org/specification.html
-XML DTD Entity Attacks : https://www.vsecurity.com//down...
-Orange Tsai - A new era of SSRF Exploiting URL Parser In...
ページ名:
