界: Encapsulation
カプセル化とは、強い境界線を引くことです。Web ブラウザの場合は、自分のモバイル コードが他のモバイル コードに悪用されないようにすることを意味します。サーバー上では、検証されたデータと検証されていないデータ、あるユーザーのデータと別のユーザーのデータ、またはユーザーが見ることを許可されたデータと許可されていないデータの区別などを意味する場合があります。
ColdFusion Bad Practices: Leftover Debug Code
Abstract
<cfdump>
タグにより、配布されている Web アプリケーションにある機密情報が漏洩する可能性があります。Explanation
配布されるアプリケーションで実際に使用したり有効にしたりする予定のないコードを使用し、デバッグやテストの目的のために変数の値を出力するのは一般的な方法です。この種のデバッグコードが誤ってアプリケーションに残された場合、アプリケーションは意図しない方法で攻撃者に情報を提供してしまう場合があります。デバッグステートメントすべてが機密情報や個人情報の漏洩につながるわけでありませんが、デバッグステートメントが存在していることは、多くの場合、その周辺のコードが無視されており、メンテナンスされていない状態である可能性を示します。
ColdFusion において忘れられているデバッグコードで最も一般的な例が、
ColdFusion において忘れられているデバッグコードで最も一般的な例が、
<cfdump>
タグです。製品開発段階においては <cfdump>
の使用は許可されますが、製品版の Web アプリケーションに含まれているコードに責任を負う開発者は <cfdump>
タグの使用を許可する必要があるかどうか細心の注意を払って検討する必要があります。References
[1] Standards Mapping - Common Weakness Enumeration CWE ID 215
[2] Standards Mapping - Common Weakness Enumeration Top 25 2019 [4] CWE ID 200
[3] Standards Mapping - Common Weakness Enumeration Top 25 2020 [7] CWE ID 200
[4] Standards Mapping - Common Weakness Enumeration Top 25 2021 [20] CWE ID 200
[5] Standards Mapping - FIPS200 SI
[6] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data
[7] Standards Mapping - OWASP Application Security Verification Standard 4.0 8.3.4 Sensitive Private Data (L1 L2 L3), 14.3.2 Unintended Security Disclosure Requirements (L1 L2 L3)
[8] Standards Mapping - OWASP Top 10 2021 A05 Security Misconfiguration
[9] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 3.6 - Sensitive Data Retention
[10] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 3.6 - Sensitive Data Retention
[11] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 3.6 - Sensitive Data Retention
[12] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3120 CAT II
[13] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3120 CAT II
[14] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3120 CAT II
[15] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3120 CAT II
[16] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3120 CAT II
[17] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3120 CAT II
[18] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3120 CAT II
[19] Standards Mapping - Web Application Security Consortium Version 2.00 Information Leakage (WASC-13)
desc.semantic.cfml.coldfusion_badpractices_leftover_debug_code