情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V3 セッション管理検証要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#s3c904b4]
Webベースのアプリケーションやステートフル API の中核とな...
検証されるアプリケーションが以下の上位レベルのセッション...
-セッションは、各個人に固有のものであり、推測や共有するこ...
-セッションは、不要になったときや非アクティブ期間内にタイ...
前述のように、これらの要件は、一般的な脅威や一般的に悪用...
&br;
*セキュリティ検証要件 [#p50bbebe]
**V3.1 基本的なセッション管理要件 [#mde532db]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.1.1|アプリケーションが URL パラメータやエラーメッセー...
&br;
**V3.2 セッションバインディング要件 [#ac9c62d5]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.2.1|アプリケーションがユーザ認証時に新しいセッショント...
|3.2.2|セッショントークンに少なくとも64ビットのエントロピ...
|3.2.3|適切に保護されたCookie (セクション 3.4 を参照) や ...
|3.2.4|セッショントークンが承認済みの暗号化アルゴリズムを...
&br;
**V3.3 セッションログアウトおよびタイムアウト要件 [#s7ee6...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.3.1|「戻る」ボタンや下流の依拠当事者(Relying Parties)...
|3.3.2|オーセンティケータがユーザにログインしたままでいる...
|3.3.3|パスワードが正常に変更された後、アプリケーションが...
|3.3.4|ユーザがすべての現在のアクティブなセッションまたは...
&br;
**V3.4 クッキーベースのセッション管理 [#j4491155]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.4.1|クッキーベースのセッショントークンに Secure 属性が...
|3.4.2|クッキーベースのセッショントークンに HttpOnly 属性...
|3.4.3|クロスサイトリクエストフォージェリ攻撃を抑制するた...
|3.4.4|セッションクッキーの機密性を確保するために、クッキ...
|3.4.5|セッションクッキーを上書きまたは開示する可能性があ...
&br;
**V3.5 トークンベースのセッション管理 [#m65942da]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.5.1|アプリケーションが、サブスクライバ(Subscriber)とし...
|3.5.2|レガシーな実装を除いて、アプリケーションが静的な A...
|3.5.3|ステートレスセッショントークンがデジタル署名、暗号...
&br;
**V3.6 フェデレーションまたはアサーションからの再認証 [#s...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.6.1|依拠当事者(Relying Parties)がCSPに最大認証時間を指...
|3.6.2|CSPがユーザを再認証する必要があるかどうかを依拠当...
&br;
**V3.7 セッション管理の悪用に対する防御 [#zd9de116]
数は少ないがセッション管理に対する攻撃があり、そのいくつ...
***ハーフオープン攻撃の説明 [#af81b6c7]
2018年初頭、攻撃者が「ハーフオープン攻撃」と呼ぶものを使...
攻撃者は、クレデンシャルをロック、リセット、リカバリしよ...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.7.1|機密性の高いトランザクションやアカウントの変更を許...
*参考情報 [#ha8832cd]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Session Management Testing : ht...
-OWASP Session Management Cheat Sheet : https://www.owasp...
-Set-Cookie __Host- prefix details : https://developer.mo...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#s3c904b4]
Webベースのアプリケーションやステートフル API の中核とな...
検証されるアプリケーションが以下の上位レベルのセッション...
-セッションは、各個人に固有のものであり、推測や共有するこ...
-セッションは、不要になったときや非アクティブ期間内にタイ...
前述のように、これらの要件は、一般的な脅威や一般的に悪用...
&br;
*セキュリティ検証要件 [#p50bbebe]
**V3.1 基本的なセッション管理要件 [#mde532db]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.1.1|アプリケーションが URL パラメータやエラーメッセー...
&br;
**V3.2 セッションバインディング要件 [#ac9c62d5]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.2.1|アプリケーションがユーザ認証時に新しいセッショント...
|3.2.2|セッショントークンに少なくとも64ビットのエントロピ...
|3.2.3|適切に保護されたCookie (セクション 3.4 を参照) や ...
|3.2.4|セッショントークンが承認済みの暗号化アルゴリズムを...
&br;
**V3.3 セッションログアウトおよびタイムアウト要件 [#s7ee6...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.3.1|「戻る」ボタンや下流の依拠当事者(Relying Parties)...
|3.3.2|オーセンティケータがユーザにログインしたままでいる...
|3.3.3|パスワードが正常に変更された後、アプリケーションが...
|3.3.4|ユーザがすべての現在のアクティブなセッションまたは...
&br;
**V3.4 クッキーベースのセッション管理 [#j4491155]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.4.1|クッキーベースのセッショントークンに Secure 属性が...
|3.4.2|クッキーベースのセッショントークンに HttpOnly 属性...
|3.4.3|クロスサイトリクエストフォージェリ攻撃を抑制するた...
|3.4.4|セッションクッキーの機密性を確保するために、クッキ...
|3.4.5|セッションクッキーを上書きまたは開示する可能性があ...
&br;
**V3.5 トークンベースのセッション管理 [#m65942da]
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.5.1|アプリケーションが、サブスクライバ(Subscriber)とし...
|3.5.2|レガシーな実装を除いて、アプリケーションが静的な A...
|3.5.3|ステートレスセッショントークンがデジタル署名、暗号...
&br;
**V3.6 フェデレーションまたはアサーションからの再認証 [#s...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.6.1|依拠当事者(Relying Parties)がCSPに最大認証時間を指...
|3.6.2|CSPがユーザを再認証する必要があるかどうかを依拠当...
&br;
**V3.7 セッション管理の悪用に対する防御 [#zd9de116]
数は少ないがセッション管理に対する攻撃があり、そのいくつ...
***ハーフオープン攻撃の説明 [#af81b6c7]
2018年初頭、攻撃者が「ハーフオープン攻撃」と呼ぶものを使...
攻撃者は、クレデンシャルをロック、リセット、リカバリしよ...
|50|250||||60|100|250|80|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要| NIST |h
|3.7.1|機密性の高いトランザクションやアカウントの変更を許...
*参考情報 [#ha8832cd]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Session Management Testing : ht...
-OWASP Session Management Cheat Sheet : https://www.owasp...
-Set-Cookie __Host- prefix details : https://developer.mo...
ページ名:
