1437 見つかった項目

脆弱性

EJB Bad Practices: Use of AWT/Swing

Java/JSP

Abstract

プログラムは AWT/Swing を使用しているので、Enterprise JavaBeans 仕様に違反しています。

Explanation

Enterprise JavaBeans 仕様に従い、bean を提供する場合は、bean が移植性を持ち、あらゆる EJB コンテナで整合性のある動作をするように作成された一連のプログラミングガイドラインに従う必要があります [1]。

この場合、プログラムは次の EJB ガイドラインに違反しています。

「enterprise bean は、情報を画面に出力する、またはキーボードから情報を入力するために、AWT 機能を使用してはなりません。」

この仕様が正当化される要件は次のとおりです。

「サーバーは、アプリケーションとサーバーに接続されたキーボード/ディスプレイとの直接相互作用を許可しません。」

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 575

desc.structural.java.ejb_bad_practices_use_of_awt_swing

EJB Bad Practices: Use of Class Loader

Java/JSP

Abstract

プログラムはクラスローダーを使用しているので、Enterprise JavaBeans 仕様に違反しています。

Explanation

Enterprise JavaBeans 仕様に従い、bean を提供する場合は、bean が移植性を持ち、あらゆる EJB コンテナで整合性のある動作をするように作成された一連のプログラミングガイドラインに従う必要があります [1]。

この場合、プログラムは次の EJB ガイドラインに違反しています。

「enterprise bean はクラスローダーの作成、コンテキストクラスローダーの設定、セキュリティマネージャの設定、新規セキュリティマネージャの作成、JVM の停止、または入力、出力、エラーストリームの変更を行ってはなりません。」

この仕様が正当化される要件は次のとおりです。

「これらの関数は Enterprise Beans コンテナー専用です。enterprise bean にこれらの関数の使用を許可すると、セキュリティを危険にさらすだけでなく、ランタイム環境を適切に管理するコンテナーの能力が低減するおそれがあります。」

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 578

desc.structural.java.ejb_bad_practices_use_of_classloader

EJB Bad Practices: Use of java.io

Java/JSP

Abstract

プログラムは java.io パッケージを使用しているので、Enterprise JavaBeans 仕様に違反しています。

Explanation

Enterprise JavaBeans 仕様に従い、bean を提供する場合は、bean が移植性を持ち、あらゆる EJB コンテナで整合性のある動作をするように作成された一連のプログラミングガイドラインに従う必要があります [1]。

この場合、プログラムは次の EJB ガイドラインに違反しています。

「enterprise bean は、Java I/O パッケージを使用して File System 内のファイルとディレクトリにアクセスする際には注意が必要です。」

この仕様が正当化される要件は次のとおりです。

「File System API はデータアクセスを行うための業務コンポーネントに適していません。ファイルがすべてのインスタンスからアクセスできない場合や、インスタンスごとにコンテンツが異なる場合があり、ファイルの更新を調整することが困難になる可能性があります。業務コンポーネントには、データを格納するために JDBC などのリソースマネージャ API を使用してください。」

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 576

desc.structural.java.ejb_bad_practices_use_of_java_io

EJB Bad Practices: Use of Sockets

Java/JSP

Abstract

プログラムはソケットを使用しているので、Enterprise JavaBeans 仕様に違反しています。

Explanation

Enterprise JavaBeans 仕様に従い、bean を提供する場合は、bean が移植性を持ち、あらゆる EJB コンテナで整合性のある動作をするように作成された一連のプログラミングガイドラインに従う必要があります [1]。

この場合、プログラムは次の EJB ガイドラインに違反しています。

「enterprise bean は、ソケットで接続リクエストを行う、ソケットで接続を確立する、またはソケットをマルチキャストに使用してはなりません。」

この仕様が正当化される要件は次のとおりです。

「Enterprise Beans アーキテクチャにより、enterprise bean インスタンスはネットワークソケットクライアントにすることができますが、ネットワークサーバーにすることはできません。インスタンスをネットワークサーバーにすることを許可すると、Enterprise Beans クライアントに使用される enterprise bean の基本関数に抵触します。」

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] Standards Mapping - Common Weakness Enumeration CWE ID 577

desc.structural.java.ejb_bad_practices_use_of_sockets

EJB Bad Practices: Use of Synchronization Primitives

Java/JSP

Abstract

プログラムはスレッド同期プリミティブを使用して Enterprise JavaBeans 仕様に違反しています。

Explanation

Enterprise JavaBeans 仕様に従い、bean を提供する場合は、bean が移植性を持ち、あらゆる EJB コンテナで整合性のある動作をするように作成された一連のプログラミングガイドラインに従う必要があります [1]。

この場合、プログラムは次の EJB ガイドラインに違反しています。

「bean 管理同時性を備えたシングルトンセッション bean でない限り、enterprise bean は複数のインスタンスの実行を同期させるために、スレッド同期プリミティブを使用してはなりません。」

この仕様が正当化される要件は次のとおりです。

「Enterprise Bean コンテナの中には単一の JVM を使用してすべての Enterprise Bean のインスタンスを実行するものもあれば、複数の JVM にインスタンスを配布するものもあるため、このルールでランタイムのセマンティクスを確実に一定に保つ必要があります。」

References

[1] Jakarta Enterprise Beans 4.0 Eclipse Foundation

[2] THI01-J. Do not invoke ThreadGroup methods CERT

[3] Standards Mapping - Common Weakness Enumeration CWE ID 574

desc.structural.java.ejb_bad_practices_use_of_synchronization_primitives

Encoding Confusion: BiDi Control Characters

Universal

Abstract

ソースコード内の双方向制御文字は、トロイの木馬によるソース攻撃につながる可能性があります。

Explanation

Unicode 双方向オーバーライド制御文字を含むソースコードは、インサイダー脅威攻撃の兆候になる可能性があります。このような攻撃は、C、C++、C#、Go、Java、JavaScript、Python、Rust などのプログラミング言語のサプライチェーンを利用して行われます。この攻撃の亜種のいくつかは、すでに Nicholas Boucher と Ross Anderson の両氏によって公開されています (Early Returns、Commenting-Out、および Stretched Strings)。
例 1: 次のコードは、C ソースコードファイルにある制御文字を示しており、Early Return 攻撃につながります。


#include <stdio.h>

int main() {
	/* Nothing to see here; newline RLI /*/ return 0 ;
	printf("Do we get here?\n");
	return 0;
}

Example 1 の RLI (Right-to-Left Isolate) Unicode 双方向制御文字により、コードは次のように表示されます。


#include <stdio.h>

int main() {
	/* Nothing to see here; newline; return 0 /*/
	printf("Do we get here?\n");
	return 0;
}

特に注目すべきは、脆弱なエディター/ビューアーでコードレビューを実行する開発者は、脆弱なコンパイラーが何を処理するかを視覚的に確認できないことです。具体的には、プログラムフローを変更するアーリーリターンステートメントです。

References

[1] Nicholas Boucher, and R. Anderson Trojan Source: Invisible Vulnerabilities

[2] Standards Mapping - Common Weakness Enumeration CWE ID 451

[3] Standards Mapping - OWASP Top 10 2017 A1 Injection

[4] Standards Mapping - OWASP Top 10 2021 A03 Injection

[5] Standards Mapping - Smart Contract Weakness Classification SWC-130

desc.regex.universal.encoding_confusion_bidi_control_characters

Experimental API

Scala

Abstract

アプリケーションは試験的なライブラリを使用します。

Explanation

このライブラリは試験用です。作業の目的が不明な場合は、実運用環境で使用しないでください。

desc.semantic.scala.experimental_api

Expression Language Injection: Spring

Java/JSP

Abstract

未検証の SpEL 式の評価はリモートでのコード実行に繋がる可能性があります。

Explanation

Spring Expression Language (略して SpEL) は、実行時にオブジェクトグラフのクエリおよび操作をサポートする強力な式言語です。言語構文は Unified EL に似ていますが、より多くの機能を提供しています。中でも注目すべきはメソッド起動と基本文字列テンプレート機能です。
未検証の式を評価できるため、攻撃者に任意のコードの実行を許可することになります。

例 1: アプリケーションは、ユーザーによって制御される未検証データを使用して、SpEL 式を作成し、評価します。


String expression = request.getParameter("input");
SpelExpressionParser parser = new SpelExpressionParser();
SpelExpression expr = parser.parseRaw(expression);

例 2: アプリケーションは、二重 SpEL 評価を実行する Spring タグでユーザーによって制御される未検証データを使用します。


    <spring:message text="" code="${param['message']}"></spring:message>

References

[1] Dan Amodio Remote Code with Expression Language Injection

[2] Expression Language Injection OWASP

[3] CVE-2011-2730 Red Hat

[4] Standards Mapping - Common Weakness Enumeration CWE ID 94, CWE ID 95, CWE ID 917

[5] Standards Mapping - Common Weakness Enumeration Top 25 2019 [18] CWE ID 094

[6] Standards Mapping - Common Weakness Enumeration Top 25 2020 [17] CWE ID 094

[7] Standards Mapping - Common Weakness Enumeration Top 25 2021 [25] CWE ID 077

[8] Standards Mapping - Common Weakness Enumeration Top 25 2022 [17] CWE ID 077, [25] CWE ID 094

[9] Standards Mapping - Common Weakness Enumeration Top 25 2023 [16] CWE ID 077, [23] CWE ID 094

[10] Standards Mapping - Common Weakness Enumeration Top 25 2024 [11] CWE ID 094, [13] CWE ID 077

[11] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[12] Standards Mapping - FIPS200 SI

[13] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[14] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[15] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[16] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.2.4 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.5 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.8 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[17] Standards Mapping - OWASP Mobile 2014 M1 Weak Server Side Controls

[18] Standards Mapping - OWASP Mobile 2024 M4 Insufficient Input/Output Validation

[19] Standards Mapping - OWASP Top 10 2004 A6 Injection Flaws

[20] Standards Mapping - OWASP Top 10 2007 A2 Injection Flaws

[21] Standards Mapping - OWASP Top 10 2010 A1 Injection

[22] Standards Mapping - OWASP Top 10 2013 A1 Injection

[23] Standards Mapping - OWASP Top 10 2017 A1 Injection

[24] Standards Mapping - OWASP Top 10 2021 A03 Injection

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.6

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.2

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.1

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.1

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.1

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.1

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.1

[32] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[33] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[34] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[35] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation

[36] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection, Control Objective B.3.1 - Terminal Software Attack Mitigation, Control Objective B.3.1.1 - Terminal Software Attack Mitigation, Control Objective C.3.2 - Web Software Attack Mitigation

[37] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 094

[38] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3570 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3570 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3570 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3570 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3570 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3570 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3570 CAT I

[45] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-002560 CAT I

[46] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-002560 CAT I

[47] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-002560 CAT I

[48] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-002560 CAT I

[49] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-002560 CAT I

[50] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-002560 CAT I

[51] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-002560 CAT I

[52] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-002560 CAT I

[53] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-002560 CAT I

[54] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-002560 CAT I

[55] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-002560 CAT I

[56] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-002560 CAT I

[57] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-002560 CAT I

[58] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[59] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-002530 CAT II, APSC-DV-002560 CAT I

[60] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.dataflow.java.expression_language_injection_spring

External Content: Content Delivery Network

C#/VB.NET/ASP.NET

Abstract

ユーザーに直接基本的なコードを提供するのに CDN に依存していると、悪意のあるコードが実行される可能性があります。

Explanation

CDN を使用して、アプリケーション独自の JavaScript を提供すると、アプリケーション独自のサーバーから JavaScript を提供する場合と比較して、多くの利点があります。パフォーマンスが向上したり、保守するコード量が削減されたりするなど、アプリケーションの所有者にとっての利点があります。しかし、アプリケーションは、CDN がブラウザに安全なコンテンツを配信することを前提としています。攻撃者が CDN を乗っ取っている場合、CDN はユーザーのブラウザに悪意のあるコードを配信します。ユーザーのブラウザは、アプリケーションが制御できないコードまたは悪意があることを検出できないコードを実行してしまいます。

例 1: 次の ASPX コードには、Microsoft CDN を参照する Microsoft の jQuery コードが含まれています。


...
<script src="http://ajax.microsoft.com/ajax/jquery/jquery-1.4.2.min.js" type="text/javascript"></script>
...

例 2: 次の ASPX コードを使用すると、すべての ASP.NET フレームワークスクリプトのリクエストを Microsoft Ajax CDN に自動的にリダイレクトできます。


...
<asp:ScriptManager
   ID="ScriptManager1"
   EnableCdn="true"
   Runat="Server" />
...

Example 2 では、ScriptManager コントロールが、ASPX ページを設定して、適切な CDN にスクリプトのリクエストを自動的にリダイレクトしています。

References

[1] Content Deliver Network and its Regulation The Journal of China Universities of Posts and Telecommunications

[2] Managed Content Security Delivery radware

[3] Standards Mapping - Common Weakness Enumeration CWE ID 94, CWE ID 98

[4] Standards Mapping - Common Weakness Enumeration Top 25 2019 [18] CWE ID 094

[5] Standards Mapping - Common Weakness Enumeration Top 25 2020 [17] CWE ID 094

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [25] CWE ID 094

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [23] CWE ID 094

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [11] CWE ID 094

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-001167

[10] Standards Mapping - FIPS200 SI

[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 SC-18 Mobile Code (P2)

[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 SC-18 Mobile Code

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.2.5 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.2.8 Sanitization and Sandboxing Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.9 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 10.3.2 Deployed Application Integrity Controls (L1 L2 L3), 12.3.3 File Execution Requirements (L1 L2 L3), 12.3.6 File Execution Requirements (L2 L3), 14.2.4 Dependency (L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[16] Standards Mapping - OWASP Top 10 2004 A1 Unvalidated Input

[17] Standards Mapping - OWASP Top 10 2007 A3 Malicious File Execution

[18] Standards Mapping - OWASP Top 10 2010 A1 Injection

[19] Standards Mapping - OWASP Top 10 2013 A1 Injection

[20] Standards Mapping - OWASP Top 10 2017 A1 Injection

[21] Standards Mapping - OWASP Top 10 2021 A03 Injection

[22] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.1

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.3

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.8

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.8

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.8

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.8

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.8

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[31] Standards Mapping - SANS Top 25 2009 Risky Resource Management - CWE ID 094

[32] Standards Mapping - SANS Top 25 2010 Risky Resource Management - CWE ID 098

[33] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3600 CAT II

[34] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3600 CAT II

[35] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3600 CAT II

[36] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3600 CAT II

[37] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3600 CAT II

[38] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3600 CAT II

[39] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3600 CAT II

[40] Standards Mapping - Security Technical Implementation Guide Version 4.2 APSC-DV-003300 CAT II

[41] Standards Mapping - Security Technical Implementation Guide Version 4.3 APSC-DV-003300 CAT II

[42] Standards Mapping - Security Technical Implementation Guide Version 4.4 APSC-DV-003300 CAT II

[43] Standards Mapping - Security Technical Implementation Guide Version 4.5 APSC-DV-003300 CAT II

[44] Standards Mapping - Security Technical Implementation Guide Version 4.6 APSC-DV-003300 CAT II

[45] Standards Mapping - Security Technical Implementation Guide Version 4.7 APSC-DV-003300 CAT II

[46] Standards Mapping - Security Technical Implementation Guide Version 4.8 APSC-DV-003300 CAT II

[47] Standards Mapping - Security Technical Implementation Guide Version 4.9 APSC-DV-003300 CAT II

[48] Standards Mapping - Security Technical Implementation Guide Version 4.10 APSC-DV-003300 CAT II

[49] Standards Mapping - Security Technical Implementation Guide Version 4.11 APSC-DV-003300 CAT II

[50] Standards Mapping - Security Technical Implementation Guide Version 4.1 APSC-DV-003300 CAT II

[51] Standards Mapping - Security Technical Implementation Guide Version 5.1 APSC-DV-003300 CAT II

[52] Standards Mapping - Security Technical Implementation Guide Version 5.2 APSC-DV-003300 CAT II

[53] Standards Mapping - Security Technical Implementation Guide Version 5.3 APSC-DV-003300 CAT II

[54] Standards Mapping - Security Technical Implementation Guide Version 6.1 APSC-DV-003300 CAT II

[55] Standards Mapping - Web Application Security Consortium Version 2.00 Improper Input Handling (WASC-20)

desc.semantic.dotnet.external_content_content_delivery_network

File Based Cross-Zone Scripting

Abstract

ファイルにアプリケーションのコンテキスト内で信頼されていないスクリプトを実行する可能性があるならば、そのファイルをロードするのは危険です。

Explanation

File Based Cross Zone Scripting が発生するのは、次の条件のいずれかに一致した場合です。

1. アプリケーション内でスクリプトの実行を許可する可能性があるファイルがロードされた場合

2. ロードされたスクリプトの発生元が実行中のアプリケーションと同じであると見なされた場合

この両方の条件に一致すると、特に、第三者が情報の発生元がアプリケーションの境界内かどうかに基づいて信頼性を判定している場合、一連の攻撃が可能になります。

例 1: 次のコードは Android WebView を使用してファイルをローカルにロードします。


...
myWebView.loadUrl("file:///android_asset/www/index.html");
...

Example 1 の Android WebView レンダラーは、「file://」で開始する URL を使用する loadUrl() でロードされたものはすべて同じ発生元として扱います。

攻撃者がファイルからのロード時に File Based Cross-Zone Scripting の脆弱性を利用する場合、いくつかの典型的な方法があります。
- ローカルファイルが攻撃者によって操作され、スクリプトがファイル内に挿入される。
これは、ファイルが存在する場所のファイル権限、またはファイルが保存されてロードされた場所の Race Condition に依存します。

- ファイルが外部リソースをコールアウトする。
これは、ロードされたファイルが外部リソースからスクリプトを取得する場合に発生します。

例 2: 次のコードは、外部リソースを参照して実行する JavaScript を決定しています。


  <script src="http://www.example.com/js/fancyWidget.js"></script>

Example 2 では、セキュアではないプロトコルが使用されているため、悪意のある行為者による決定したスクリプトの改ざんが許可される可能性があります。または、他の攻撃が実行されてマシンが攻撃者のサイトに誘導される可能性があります。

- ロードされるファイルに Cross-Site Scripting の脆弱性が含まれている場合がある。
ロードされるファイルにコードの挿入が可能な場合、挿入されたコードがアプリケーションのコンテキストで実行できる可能性があります。このためには、JavaScript を挿入できる必要はなく、HTML を挿入できれば、改ざんや DoS (サービス妨害) 攻撃もできるようになります。

References

[1] Erika Chin and David Wagner Bifocals: Analyzing WebView Vulnerabilities in Android Applications

[2] Standards Mapping - Common Weakness Enumeration CWE ID 79, CWE ID 80

[3] Standards Mapping - Common Weakness Enumeration Top 25 2019 [2] CWE ID 079

[4] Standards Mapping - Common Weakness Enumeration Top 25 2020 [1] CWE ID 079

[5] Standards Mapping - Common Weakness Enumeration Top 25 2021 [2] CWE ID 079

[6] Standards Mapping - Common Weakness Enumeration Top 25 2022 [2] CWE ID 079

[7] Standards Mapping - Common Weakness Enumeration Top 25 2023 [2] CWE ID 079

[8] Standards Mapping - Common Weakness Enumeration Top 25 2024 [1] CWE ID 079

[9] Standards Mapping - DISA Control Correlation Identifier Version 2 CCI-002754

[10] Standards Mapping - FIPS200 SI

[11] Standards Mapping - General Data Protection Regulation (GDPR) Indirect Access to Sensitive Data

[12] Standards Mapping - NIST Special Publication 800-53 Revision 4 SI-10 Information Input Validation (P1)

[13] Standards Mapping - NIST Special Publication 800-53 Revision 5 SI-10 Information Input Validation

[14] Standards Mapping - OWASP Application Security Verification Standard 4.0 5.3.3 Output Encoding and Injection Prevention Requirements (L1 L2 L3), 5.3.6 Output Encoding and Injection Prevention Requirements (L1 L2 L3)

[15] Standards Mapping - OWASP Mobile 2014 M7 Client Side Injection

[16] Standards Mapping - OWASP Mobile Application Security Verification Standard 2.0 MASVS-CODE-4, MASVS-PLATFORM-2

[17] Standards Mapping - OWASP Top 10 2004 A4 Cross Site Scripting

[18] Standards Mapping - OWASP Top 10 2007 A1 Cross Site Scripting (XSS)

[19] Standards Mapping - OWASP Top 10 2010 A2 Cross-Site Scripting (XSS)

[20] Standards Mapping - OWASP Top 10 2013 A3 Cross-Site Scripting (XSS)

[21] Standards Mapping - OWASP Top 10 2017 A7 Cross-Site Scripting (XSS)

[22] Standards Mapping - OWASP Top 10 2021 A03 Injection

[23] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1 Requirement 6.5.4

[24] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2 Requirement 6.3.1.1, Requirement 6.5.1

[25] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0 Requirement 6.5.7

[26] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0 Requirement 6.5.7

[27] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1 Requirement 6.5.7

[28] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2 Requirement 6.5.7

[29] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2.1 Requirement 6.5.7

[30] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0 Requirement 6.2.4

[31] Standards Mapping - Payment Card Industry Data Security Standard Version 4.0.1 Requirement 6.2.4

[32] Standards Mapping - Payment Card Industry Software Security Framework 1.0 Control Objective 4.2 - Critical Asset Protection

[33] Standards Mapping - Payment Card Industry Software Security Framework 1.1 Control Objective 4.2 - Critical Asset Protection

[34] Standards Mapping - Payment Card Industry Software Security Framework 1.2 Control Objective 4.2 - Critical Asset Protection

[35] Standards Mapping - SANS Top 25 2009 Insecure Interaction - CWE ID 079

[36] Standards Mapping - SANS Top 25 2010 Insecure Interaction - CWE ID 079

[37] Standards Mapping - SANS Top 25 2011 Insecure Interaction - CWE ID 079

[38] Standards Mapping - Security Technical Implementation Guide Version 3.1 APP3510 CAT I, APP3580 CAT I

[39] Standards Mapping - Security Technical Implementation Guide Version 3.4 APP3510 CAT I, APP3580 CAT I

[40] Standards Mapping - Security Technical Implementation Guide Version 3.5 APP3510 CAT I, APP3580 CAT I

[41] Standards Mapping - Security Technical Implementation Guide Version 3.6 APP3510 CAT I, APP3580 CAT I

[42] Standards Mapping - Security Technical Implementation Guide Version 3.7 APP3510 CAT I, APP3580 CAT I

[43] Standards Mapping - Security Technical Implementation Guide Version 3.9 APP3510 CAT I, APP3580 CAT I

[44] Standards Mapping - Security Technical Implementation Guide Version 3.10 APP3510 CAT I, APP3580 CAT I