Hello there, ('ω')ノ

CWE-IDの関連性を試行錯誤しながらまとめていると。

以前よりは、少しすっきりとしたような。

これまで、OWASP TOP10をベースにまとめようとしていたので混乱したようで。

あくまでもOWASP TOP10は、脆弱性をメンバーとしてまとめるようなもので。

基本的には、研究コンセプトでツリー構造を形成したほうがいいような。

たとえば、下記の脆弱性は、Cookieの扱い（HttpOnly未設定）で。

　CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag

例文として赤枠で悪い例、青枠で対応策が書かれていて。

この脆弱性の親は、ChildOfのリンクをたどると下記の通りで。

　CWE-732: Incorrect Permission Assignment for Critical Resource

メンバーシップの欄を見るとOWASP Top10だと2010のメンバーだと確認できて。

2017のメンバーには含まれていないらしく。

　OWASP Top Ten 2010 Category A6 - Security Misconfiguration

ただ、ツリー構造を作成するにはOWASPは、あくまでもグループ名にすぎず。

その先をたどっていくと結果としては研究コンセプトのCWE-284と。

研究コンセプトのCWE-664からつながっていることがわかって。

なかなかうまくは説明できないものの、今のところこの考えでまとまりそうな。

Best regards, (^^ゞ

Hello there, ('ω')ノ

脆弱診断でOWAP ZAPやBurp Suiteを使っていると。

同じ脆弱性でも微妙にCWE-IDが違っていたりと。

また、以前作成した脆弱性項目のCWE-IDともズレがあったりと。

なかなか神経質な性格なもので、ほっておけなくてCWE-IDの親子関係から。

詳しく調べることに。

想像では、簡単に整理できそうにおもったのものの。

なかなかそうもいかず困ったもので。

再度、しっかりとCWE-IDの内容を理解しなければと。

診断士の方々はツール任せでなく、CWE-IDの内容を十分に理解したうえで。

診断結果報告書を作成しているのだろうかと。

Best regards, (^^ゞ