Shikata Ga Nai

Private? There is no such things.

CWEの歩き方についてかいてみた

Hello there, ('ω')ノ

 

脆弱性診断をするには避けて通れないのがCWEで。

まずは、OWASP TOP 10から検索をして。

 

f:id:ThisIsOne:20201005172834p:plain

 

ここには見慣れたカテゴリが。

ここで、下記をクリックすると。

OWASP Top Ten 2017 Category A1 - Injection

 

f:id:ThisIsOne:20201005172758p:plain

 

Injectionの詳細が表示されて。

さらに下記をクリックすると。

Improper Neutralization of Special Elements used in a Command

 

f:id:ThisIsOne:20201005174738p:plain

 

ようやく詳細が表示されたもののParentOfとあるので、さらに細かく分かれるようで。

ちなみにChildOfと書いてあるのは、自分がどのカテゴリの子供かを指していて。

次に下記をクリックすると。

Improper Neutralization of Argument Delimiters in a Command

 

f:id:ThisIsOne:20201005173335p:plain

 

ここがツリーの底辺のようで。

 

f:id:ThisIsOne:20201005173422p:plain

 

これらの説明のあるCWEには、下部にどのカテゴリに属するかが書いてあって。

はじめは全体像がわからなかったので混乱したものの。

丁寧にリンクをたどっていくとけっこう便利だったりと。

 

f:id:ThisIsOne:20201005182145p:plain

 

Best regards, (^^ゞ