脅威クラスおよび関連する CWE 番号

ASoC でテストされた問題の脅威クラスとそのクラスに関連する CWE 番号を記載する表。

表 1. モバイル分析の脅威クラス
脅威クラス CWE
M1: 脆弱なサーバー側の制御 926、927
M2: 安全でないデータ・ストレージ 275、310、359、451、522
M3: 不十分なトランスポート層防御 295、296、297、300、327、490、601、754、79、829
M4: 意図しないデータ漏えい 592、829
M5: 不適切な許可と認証 259、321、327、338、798
M7: クライアント側の注入 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927
M8: 信頼できない情報によるセキュリティーの判断 927
M9: 不適切なセッション処理 489、693
M10: バイナリー保護の欠如 489、693、829
表 2. 動的分析の脅威クラス
脅威クラス CWE
機能の悪用 10、117、16、20、200、22、284、288、434、441、456、472、489、494、497、522、601、610、618、74、77、78、79、829、98
ブルート・フォース 204、307、340
バッファー・オーバーフロー 119、120、189、825
コンテンツ・スプーフィング 327、345、359、74、79
資格情報/セッション予測 330
クロスサイト・リクエスト・フォージェリー 352、456
クロスサイト・スクリプティング 22、352、456、59、73、79、89、94
サービス拒否攻撃 119、20、310、825
ディレクトリー索引付け 20、200、22、548
書式文字列 134
HTTP リクエスト分割 444
HTTP レスポンス分割 113
情報漏えい 118、200、22、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、693
セキュリティーで保護されていないインデックス作成 612
不適切な認証 264、287、566、862、863
不適切な許可 264、285、565
不適切なセッション有効期限 539、613
不十分なトランスポート層防御 296、297、298、523
整数オーバーフロー 550
LDAP インジェクション 90
メール・コマンド・インジェクション 77
Null バイト・インジェクション 626
OS コマンド実行 20、264、470、73、77、78
パス・トラバーサル 22、94
予測可能なリソースの位置 306、531
リモート・ファイルのインクルード 73、829、94、98、99
正しくないサーバー構成 16、327
セッションの固定 304、384
SOAP 配列の悪用 120
SQL 注入 209、22、79、89、94
SSI インジェクション 78、97
URL リダイレクターの悪用 601
XML 属性ブローアップ 400
XML エンティティーの拡張 400
XML 外部エンティティー 200、611
XML インジェクション 91
XPath 注入 91
表 3. 静的分析の脅威クラス
脅威クラス CWE
機能の悪用 117、242、345、367、388、398、407、447、489、517、520、543、544、586、74、98
正しくないアプリケーション構成 16、778
ブルート・フォース 310、312、325、327、331
バッファー・オーバーフロー 120、129、131、242
コンテンツ・スプーフィング 113、425
資格情報/セッション予測 565
クロスサイト・スクリプティング 352、79
サービス拒否攻撃 382、400、404、730
書式文字列 134
HTTP リクエスト分割 113
ファイル・システムへの不適切なアクセス許可 264
不適切な入力処理 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95
不適切な出力処理 109、116、925
情報漏えい 20、201、209、250、311、300
不適切な認証 255、266、287、521、522
不適切な許可 267、288
不適切なプロセス検証 20
不適切なセッション有効期限 613
不十分なトランスポート層防御 295
整数オーバーフロー 190
LDAP インジェクション 90
メール・コマンド・インジェクション 74、79
悪意のあるコンテンツのテスト 470、489、506、507、511
OS コマンド実行 77、78
パス・トラバーサル 73
SQL 注入 89
URL リダイレクターの悪用 601
XML インジェクション 74、91
XPath 注入 643