脅威クラスおよび関連する CWE 番号

ASoC でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。

1. 動的分析
脅威クラス CWE
機能の悪用 22、74、78、79、98、200、284、288、311、326、434、441、472、489、494、497、502、522、601、618、644、829、1022、1035
API での機能レベルの権限の不備 284
API でのオブジェクト・レベルの権限の不備 284
ブルート・フォース 204、307、340
バッファー・オーバーフロー 119、120、189、825
コンテンツ・スプーフィング 74、79、327、345
資格情報/セッション予測 330
クロスサイト・リクエスト・フォージェリー 352、456、1385
クロスサイト・スクリプティング 22、73、79、89、352、829
サービス拒否攻撃 19、20、119、310、770、825
ディレクトリー索引付け 20、22、200、548
書式文字列 134
HTTP リクエスト・スマグリング 444
HTTP レスポンス分割 113
API の不適切な資産管理の脆弱性 1059
情報漏えい 22、118、200、209、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、1021、1032
安全でないインデックス作成 612
不適切な認証 264、287、566、862、863
不適切な許可 264、285、565
不適切なセッション有効期限 539、613
不十分なトランスポート層保護 296、297、298、523
整数オーバーフロー 190
LDAP インジェクション 90
メール・コマンド・インジェクション 77
API の一括割り当ての脆弱性 915
Null バイト・インジェクション 626
OS コマンド実行 20、73、74、77、78、94、264、284、326、434、502、552、915
パス・トラバーサル 22、94
予測可能なリソースの位置 306、531
リモート・ファイルのインクルード 73、94、98、99、829
正しくないサーバー設定 16、20、327、347、1275
サーバー・サイド・テンプレート・インジェクション 1336
サーバー・サイド・リクエスト・フォージェリー 918
セッションの固定 304、384
SOAP 配列の悪用 120
SQL 注入 22、79、89、94、209
SSI インジェクション 78、97
URL リダイレクターの悪用 601
XML 属性ブローアップ 400
XML エンティティーの拡張 400
XML 外部エンティティー 200、434、611
XML 注入 91
XPath インジェクション 91、643
2. 静的分析
脅威クラス CWE
機能の悪用 117、242、345、367、388、398、407、447、489、517、520、543、544、586、74、98
正しくないアプリケーション構成 16、778
ブルート・フォース 310、312、325、327、331
バッファー・オーバーフロー 120、129、131、242
コンテンツ・スプーフィング 113、425
資格情報/セッション予測 565
クロスサイト・スクリプティング 352、79
サービス拒否攻撃 382、400、404、730
書式文字列 134
HTTP リクエスト分割 113
ファイル・システムへの不適切なアクセス許可 264
不適切な入力処理 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95
不適切な出力処理 109、116、925
情報漏えい 20、201、209、250、311、300
不適切な認証 255、266、287、521、522
不適切な許可 267、288
不適切なプロセス検証 20
不適切なセッション有効期限 613
不十分なトランスポート層保護 295
整数オーバーフロー 190
LDAP インジェクション 90
メール・コマンド・インジェクション 74、79
悪意のあるコンテンツのテスト 470、489、506、507、511
OS コマンド実行 77、78
パス・トラバーサル 73
SQL 注入 89
URL リダイレクターの悪用 601
XML 注入 74、91
XPath インジェクション 643
3. モバイル分析 (非推奨)
脅威クラス CWE
M1: 脆弱なサーバー側の制御 926、927
M2: 安全でないデータ・ストレージ 275、310、359、451、522
M3: 不十分なトランスポート層保護 295、296、297、300、327、490、601、754、79、829
M4: 意図しないデータ漏えい 592、829
M5: 不適切な許可と認証 259、321、327、338、798
M7: クライアント側の注入 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927
M8: 信頼できない情報によるセキュリティーの判断 927
M9: 不適切なセッション処理 489、693
M10: バイナリー保護の欠如 489、693、829