情報システム開発契約のセキュリティ仕様作成のためのガイドライン
V5 検証、サニタイズ、エンコーディング検証の要件
をテンプレートにして作成
開始行:
[[OWASP ASVS 4.0]]
*管理目標 [#g5ec3dd3]
最も一般的なWebアプリケーションのセキュリティ上の弱点は、...
検証するアプリケーションが、以下の高レベルの要件を満たす...
-入力のバリデーションと出力エンコーディングのアーキテクチ...
-入力データは強力に型付けされ、バリデーションされ、範囲や...
-出力データは、データのコンテキストに応じて、可能な限りイ...
モダンなWebアプリケーションのアーキテクチャにおいては、出...
&br;
**V5.1 入力バリデーション要件 [#d8583c74]
ポジティブホワイトリストと強力なデータ型付けを使用して適...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.1.1|アプリケーションが HTTP変数汚染攻撃に対する防御策...
|5.1.2|フレームワークが大量のパラメータ割り当て攻撃から保...
|5.1.3|すべての入力データがバリデーションされている。入力...
|5.1.4|構造化データが強く型付けされており、使用可能な文字...
|5.1.5|URLのリダイレクト先と転送先がホワイトリストに登録...
&br;
**V5.2 無害化とサンドボックス化要件 [#k7c537be]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.2.1|WYSIWYG エディタ等から取得した信頼できないHTML入力...
|5.2.2|非構造化データが無害化され、使用可能な文字や長さな...
|5.2.3|SMTP または IMAP インジェクションから保護するため...
|5.2.4|eval()もしくは動的コード実行機能を使用しない。代替...
|5.2.5|テンプレートインジェクション攻撃に対して、ユーザ入...
|5.2.6|信頼できないデータやファイル名やURL入力フィールド...
|5.2.7|ユーザの指定したSVGスクリプト化可能コンテンツ(特...
|5.2.8|ユーザ指定のMarkdown、CSS、XSLスタイルシート、BBCo...
&br;
**V5.3 出力エンコーディングとインジェクション防御の要件 [...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.3.1|出力エンコーディングがインタプリタとコンテキストが...
|5.3.2|どのUnicode文字でも有効かつ安全に処理されるように...
|5.3.3|HTML や他の Web クライアントコード中に存在するすべ...
|5.3.4|データ選択またはデータベースクエリ(例、SQL、HQL、...
|5.3.5|パラメータ化もしくはより安全な機構が存在しない場合...
|5.3.6|eval攻撃、リモートJavaScriptインクルード、CSPバイ...
|5.3.7|アプリケーションが LDAP インジェクションの影響を受...
|5.3.8|OSコマンドインジェクションに対して保護していること...
|5.3.9|アプリケーションが、リモートファイルインクルード (...
|5.3.10|アプリケーションがXPathインジェクション攻撃やXML ...
注:クエリのパラメータ化やSQLのエスケープだけでは必ずしも...
注: SVGフォーマットは、ほとんどすべてのコンテキストでECMA...
&br;
**V5.4 メモリ、文字列、アンマネージドコードの要件 [#t91e0...
以下の要件は、アプリケーションがシステム言語またはアンマ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.4.1|メモリセーフな文字列、安全なメモリコピー、ポインタ...
|5.4.2|フォーマット文字列は悪意のある入力を受け取らず、定...
|5.4.3|整数オーバーフローを防ぐために符号、範囲および入力...
&br;
V5.5 デシリアライゼーション防御の要件
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.5.1|シリアライズされたオブジェクトが整合性チェックを使...
|5.5.2|アプリケーションがXMLパーサを可能な限り最も制限の...
|5.5.3|信頼できないデータのデシリアライズが回避されている...
|5.5.4|ブラウザもしくはJavaScriptベースのバックエンドでJS...
&br;
*参考情報 [#h5283030]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Input Validation Testing : http...
-OWASP Cheat Sheet: Input Validation : https://www.owasp....
-OWASP Testing Guide 4.0: Testing for HTTP Parameter Poll...
-OWASP LDAP Injection Cheat Sheet : https://www.owasp.org...
-OWASP Testing Guide 4.0: Client Side Testing : https://w...
-OWASP Cross Site Scripting Prevention Cheat Sheet : http...
-OWASP DOM Based Cross Site Scripting Prevention Cheat Sh...
-OWASP Java Encoding Project : https://www.owasp.org/inde...
-OWASP Mass Assignment Prevention Cheat Sheet : https://w...
-DOMPurify - Client-side HTML Sanitization Library : http...
-XML External Entity (XXE) Prevention Cheat Sheet) : http...
自動エスケープの詳細な情報はこちらをご覧ください。
-Reducing XSS by way of Automatic Context-Aware Escaping ...
-AngularJS Strict Contextual Escaping : https://docs.angu...
-AngularJS ngBind : https://docs.angularjs.org/api/ng/dir...
-Angular Sanitization : https://angular.io/guide/security...
-Angular Template Security : https://angular.io/guide/tem...
-ReactJS Escaping : https://reactjs.org/docs/introducing-...
-Improperly Controlled Modification of Dynamically-Determ...
デシリアライゼーションの詳細情報はこちらをご覧ください。
-OWASP Deserialization Cheat Sheet : https://www.owasp.or...
-OWASP Deserialization of Untrusted Data Guide : https://...
終了行:
[[OWASP ASVS 4.0]]
*管理目標 [#g5ec3dd3]
最も一般的なWebアプリケーションのセキュリティ上の弱点は、...
検証するアプリケーションが、以下の高レベルの要件を満たす...
-入力のバリデーションと出力エンコーディングのアーキテクチ...
-入力データは強力に型付けされ、バリデーションされ、範囲や...
-出力データは、データのコンテキストに応じて、可能な限りイ...
モダンなWebアプリケーションのアーキテクチャにおいては、出...
&br;
**V5.1 入力バリデーション要件 [#d8583c74]
ポジティブホワイトリストと強力なデータ型付けを使用して適...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.1.1|アプリケーションが HTTP変数汚染攻撃に対する防御策...
|5.1.2|フレームワークが大量のパラメータ割り当て攻撃から保...
|5.1.3|すべての入力データがバリデーションされている。入力...
|5.1.4|構造化データが強く型付けされており、使用可能な文字...
|5.1.5|URLのリダイレクト先と転送先がホワイトリストに登録...
&br;
**V5.2 無害化とサンドボックス化要件 [#k7c537be]
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.2.1|WYSIWYG エディタ等から取得した信頼できないHTML入力...
|5.2.2|非構造化データが無害化され、使用可能な文字や長さな...
|5.2.3|SMTP または IMAP インジェクションから保護するため...
|5.2.4|eval()もしくは動的コード実行機能を使用しない。代替...
|5.2.5|テンプレートインジェクション攻撃に対して、ユーザ入...
|5.2.6|信頼できないデータやファイル名やURL入力フィールド...
|5.2.7|ユーザの指定したSVGスクリプト化可能コンテンツ(特...
|5.2.8|ユーザ指定のMarkdown、CSS、XSLスタイルシート、BBCo...
&br;
**V5.3 出力エンコーディングとインジェクション防御の要件 [...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.3.1|出力エンコーディングがインタプリタとコンテキストが...
|5.3.2|どのUnicode文字でも有効かつ安全に処理されるように...
|5.3.3|HTML や他の Web クライアントコード中に存在するすべ...
|5.3.4|データ選択またはデータベースクエリ(例、SQL、HQL、...
|5.3.5|パラメータ化もしくはより安全な機構が存在しない場合...
|5.3.6|eval攻撃、リモートJavaScriptインクルード、CSPバイ...
|5.3.7|アプリケーションが LDAP インジェクションの影響を受...
|5.3.8|OSコマンドインジェクションに対して保護していること...
|5.3.9|アプリケーションが、リモートファイルインクルード (...
|5.3.10|アプリケーションがXPathインジェクション攻撃やXML ...
注:クエリのパラメータ化やSQLのエスケープだけでは必ずしも...
注: SVGフォーマットは、ほとんどすべてのコンテキストでECMA...
&br;
**V5.4 メモリ、文字列、アンマネージドコードの要件 [#t91e0...
以下の要件は、アプリケーションがシステム言語またはアンマ...
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.4.1|メモリセーフな文字列、安全なメモリコピー、ポインタ...
|5.4.2|フォーマット文字列は悪意のある入力を受け取らず、定...
|5.4.3|整数オーバーフローを防ぐために符号、範囲および入力...
&br;
V5.5 デシリアライゼーション防御の要件
|50|350||||60|150|250|c
|項番|説明|L1|L2|L3|CWE No|タイトル|概要|h
|5.5.1|シリアライズされたオブジェクトが整合性チェックを使...
|5.5.2|アプリケーションがXMLパーサを可能な限り最も制限の...
|5.5.3|信頼できないデータのデシリアライズが回避されている...
|5.5.4|ブラウザもしくはJavaScriptベースのバックエンドでJS...
&br;
*参考情報 [#h5283030]
詳しくは以下の情報を参照してください。
-OWASP Testing Guide 4.0: Input Validation Testing : http...
-OWASP Cheat Sheet: Input Validation : https://www.owasp....
-OWASP Testing Guide 4.0: Testing for HTTP Parameter Poll...
-OWASP LDAP Injection Cheat Sheet : https://www.owasp.org...
-OWASP Testing Guide 4.0: Client Side Testing : https://w...
-OWASP Cross Site Scripting Prevention Cheat Sheet : http...
-OWASP DOM Based Cross Site Scripting Prevention Cheat Sh...
-OWASP Java Encoding Project : https://www.owasp.org/inde...
-OWASP Mass Assignment Prevention Cheat Sheet : https://w...
-DOMPurify - Client-side HTML Sanitization Library : http...
-XML External Entity (XXE) Prevention Cheat Sheet) : http...
自動エスケープの詳細な情報はこちらをご覧ください。
-Reducing XSS by way of Automatic Context-Aware Escaping ...
-AngularJS Strict Contextual Escaping : https://docs.angu...
-AngularJS ngBind : https://docs.angularjs.org/api/ng/dir...
-Angular Sanitization : https://angular.io/guide/security...
-Angular Template Security : https://angular.io/guide/tem...
-ReactJS Escaping : https://reactjs.org/docs/introducing-...
-Improperly Controlled Modification of Dynamically-Determ...
デシリアライゼーションの詳細情報はこちらをご覧ください。
-OWASP Deserialization Cheat Sheet : https://www.owasp.or...
-OWASP Deserialization of Untrusted Data Guide : https://...
ページ名:
