ASoC でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
表 1. 動的分析
脅威クラス |
CWE |
機能の悪用 |
22、74、78、79、98、200、284、288、311、326、434、441、472、489、494、497、502、522、601、618、644、829、1022、1035 |
API での機能レベルの権限の不備 |
284 |
API でのオブジェクト・レベルの権限の不備 |
284 |
ブルート・フォース |
204、307、340 |
バッファー・オーバーフロー |
119、120、189、825 |
コンテンツ・スプーフィング |
74、79、327、345 |
資格情報/セッション予測 |
330 |
クロスサイト・リクエスト・フォージェリー |
352、456、1385 |
クロスサイト・スクリプティング |
22、73、79、89、352、829 |
サービス拒否攻撃 |
19、20、119、310、770、825 |
ディレクトリー索引付け |
20、22、200、548 |
書式文字列 |
134 |
HTTP リクエスト・スマグリング |
444 |
HTTP レスポンス分割 |
113 |
API の不適切な資産管理の脆弱性 |
1059 |
情報漏えい |
22、118、200、209、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、1021、1032 |
安全でないインデックス作成 |
612 |
不適切な認証 |
264、287、566、862、863 |
不適切な許可 |
264、285、565 |
不適切なセッション有効期限 |
539、613 |
不十分なトランスポート層保護 |
296、297、298、523 |
整数オーバーフロー |
190 |
LDAP インジェクション |
90 |
メール・コマンド・インジェクション |
77 |
API の一括割り当ての脆弱性 |
915 |
Null バイト・インジェクション |
626 |
OS コマンド実行 |
20、73、74、77、78、94、264、284、326、434、502、552、915 |
パス・トラバーサル |
22、94 |
予測可能なリソースの位置 |
306、531 |
リモート・ファイルのインクルード |
73、94、98、99、829 |
正しくないサーバー設定 |
16、20、327、347、1275 |
サーバー・サイド・テンプレート・インジェクション |
1336 |
サーバー・サイド・リクエスト・フォージェリー |
918 |
セッションの固定 |
304、384 |
SOAP 配列の悪用 |
120 |
SQL 注入 |
22、79、89、94、209 |
SSI インジェクション |
78、97 |
URL リダイレクターの悪用 |
601 |
XML 属性ブローアップ |
400 |
XML エンティティーの拡張 |
400 |
XML 外部エンティティー |
200、434、611 |
XML 注入 |
91 |
XPath インジェクション |
91、643 |
表 2. 静的分析
脅威クラス |
CWE |
機能の悪用 |
117、242、345、367、388、398、407、447、489、517、520、543、544、586、74、98 |
正しくないアプリケーション構成 |
16、778 |
ブルート・フォース |
310、312、325、327、331 |
バッファー・オーバーフロー |
120、129、131、242 |
コンテンツ・スプーフィング |
113、425 |
資格情報/セッション予測 |
565 |
クロスサイト・スクリプティング |
352、79 |
サービス拒否攻撃 |
382、400、404、730 |
書式文字列 |
134 |
HTTP リクエスト分割 |
113 |
ファイル・システムへの不適切なアクセス許可 |
264 |
不適切な入力処理 |
112、130、15、185、20、390、425、434、538、569、602、624、74、79、95 |
不適切な出力処理 |
109、116、925 |
情報漏えい |
20、201、209、250、311、300 |
不適切な認証 |
255、266、287、521、522 |
不適切な許可 |
267、288 |
不適切なプロセス検証 |
20 |
不適切なセッション有効期限 |
613 |
不十分なトランスポート層保護 |
295 |
整数オーバーフロー |
190 |
LDAP インジェクション |
90 |
メール・コマンド・インジェクション |
74、79 |
悪意のあるコンテンツのテスト |
470、489、506、507、511 |
OS コマンド実行 |
77、78 |
パス・トラバーサル |
73 |
SQL 注入 |
89 |
URL リダイレクターの悪用 |
601 |
XML 注入 |
74、91 |
XPath インジェクション |
643 |
表 3. モバイル分析 (非推奨)
脅威クラス |
CWE |
M1: 脆弱なサーバー側の制御 |
926、927 |
M2: 安全でないデータ・ストレージ |
275、310、359、451、522 |
M3: 不十分なトランスポート層保護 |
295、296、297、300、327、490、601、754、79、829 |
M4: 意図しないデータ漏えい |
592、829 |
M5: 不適切な許可と認証 |
259、321、327、338、798 |
M7: クライアント側の注入 |
112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927 |
M8: 信頼できない情報によるセキュリティーの判断 |
927 |
M9: 不適切なセッション処理 |
489、693 |
M10: バイナリー保護の欠如 |
489、693、829 |