Menu

    ガイドラインの概要

    Avatar
    Secure Code Warrior Elves
    • 更新
    フォローする


    Secure CodeWarrior® ガイドラインは、選択した言語/フレームワークに合わせて的を絞った学習を提供します。インタラクティブな学習に入る前に、防御的なセキュリティ戦略を通じて開発者をガイドし、知識を深めます。

     

    開発者は、セキュリティ知識を強化するための一般的な緩和策と、選択した言語/フレームワークの詳細なベストプラクティスの両方を学ぶことができます。


    ガイドラインは3つの主要な部分で構成されています:

    • 一般的な紹介、説明、緩和策です。
    • 言語/フレームワークの緩和策
    • 追加のコードスニペット(該当する場合)。


    Guidelines - JP.gif

    対象となる脆弱性

    1. アクセス・コントロール - 機能レベルのアクセス・コントロールの欠落
    2. アクセス・コントロール - オブジェクト・レベルのアクセス・コントロールの欠落
    3. 認証 - 一要素認証の使用
    4. 認証 - 認証情報の保護が不十分
    5. 認証 - 不適切な認証
    6. ビジネスロジック - 検証不足
    7. ビジネス・ロジック - 論理エラー
    8. クロスサイトスクリプティング (XSS): DOMベースのクロスサイト・スクリプティング
    9. クロスサイト・スクリプティング(XSS) - ストアド・クロスサイト・スクリプティング
    10. クロスサイト・スクリプティング(XSS) - 反射型クロスサイト・スクリプティング
    11. サービス拒否 - リソース解放の失敗
    12. ファイルアップロードの脆弱性 - 無制限のファイルアップロード
    13. 不適切な資産管理 - 不適切な資産管理
    14. 情報公開 - エラー詳細
    15. 情報公開 - デバッグ情報
    16. 情報暴露 - 機密データ暴露
    17. インジェクションの欠陥 コード・インジェクション
    18. インジェクションの欠陥 CSSインジェクション
    19. インジェクションの欠陥: 信頼できないデータのデシリアライズ
    20. インジェクションの欠陥 ログ鍛造
    21. インジェクションの欠陥 OSコマンド・インジェクション
    22. インジェクションの欠陥 パストラバーサル
    23. インジェクションの欠陥 リソース・インジェクション
    24. インジェクションの欠陥 SQLインジェクション
    25. 安全でない暗号 安全でないランダム性
    26. 不十分なログとモニタリング - 不十分なログとモニタリング
    27. 不十分なトランスポート層の保護 - 機密情報の保護されないトランスポート
    28. リソース不足とレート制限 - リソース不足とレート制限
    29. 大量割り当て - 大量割り当て
    30. メモリ破損: バッファオーバーフロー
    31. メモリ破損: ダブルフリー
    32. メモリ破壊: フォーマット文字列の脆弱性
    33. メモリ破壊: ヒープオーバーフロー
    34. メモリ破損: 不正なポインタ値
    35. メモリ破損: 整数のオーバーフロー
    36. メモリ破損: ヌル参照
    37. メモリ破損: レース条件
    38. メモリ破損: スタック・オーバーフロー
    39. メモリ破損: タイプの混乱
    40. メモリ破損: 初期化されていない変数
    41. メモリ破損: フリー後の使用
    42. セキュリティの設定ミス クリックジャッキング
    43. セキュリティの設定ミス HTTP ヘッダーの不適切な設定、または欠落
    44. セキュリティの設定ミス 情報暴露
    45. セキュリティの誤設定 セキュリティ機能の無効化
    46. セキュリティの設定ミス 不適切なパーミッション
    47. 機密データの保管 パスワードの平文保管
    48. サーバーサイドリクエストフォージェリ サーバーサイドリクエストフォージェリ(SSRF)
    49. 無効なリダイレクトとフォワード 無効なリダイレクトとフォワード
    50. 脆弱なコンポーネント 既知の脆弱なコンポーネントの使用
    51. 脆弱なコンポーネント: 信頼できないソースからのコンポーネントの使用
    52. XML外部エンティティ(XXE): XML外部エンティティ(XXE)

    使用可能な言語フレームワーク

    すべての言語で50の脆弱性カテゴリーが一律にカバーされているわけではないことに注意してください。

    1. Ansible Basic
    2. Bash: Basic
    3. C: Embedded
    4. C# (.NET): Basic
    5. C# (.NET): Core
    6. C# (.NET): MVC
    7. C# (.NET):Web API
    8. C# (.NET): Web Forms
    9. C Basic
    10. C++: Basic
    11. C++: Embedded
    12. CloudFormation Basic
    13. COBOL: Mainframe
    14. Dart: Flutter
    15. Docker: Basic
    16. GO: API
    17. GO: Basic
    18. Java: Android SDK
    19. Java: Enterprise Edition (Basic)
    20. Java: Enterprise Edition (JSF)
    21. Java: Enterprise Edition (JSP)
    22. Java: Enterprise Edition API
    23. Java: Servlets
    24. Java: Spring
    25. Java: Struts
    26. JavaScript: Angular.io (2+)
    27. JavaScript:AngularJS (1.x)
    28. JavaScript: Basic
    29. JavaScript:Node.js (Express)
    30. JavaScript:Node.js API
    31. JavaScript: React
    32. JavaScript: React Native
    33. JavaScript: Vue.js
    34. Kotlin: Android SDK
    35. Kotlin: Spring API
    36. Kubernetes: Basic
    37. Objective-C: iOS SDK
    38. Perl: Dancer2
    39. PHP: Basic
    40. PHP: Laravel
    41. PHP: Symfony
    42. PL/SQL: Basic
    43. PowerShell: Basic
    44. Pseudocode: Mobile
    45. Pseudocode: Web
    46. Python: API
    47. Python: Basic
    48. Python: Django
    49. Python: Flask
    50. Python: Pyramid
    51. Ruby: Rails
    52. Rust: Basic
    53. Salesforce: Apex
    54. Scala: Play
    55. Swift: iOS SDK
    56. T-SQL: Basic
    57. Terraform: AWS
    58. Typescript: Basic
    59. Typescript:Node.js (Express)
    60. Typescript: React

    役立つリンク

    関連記事

    コメント

    0件のコメント

    サインインしてコメントを残してください。