shikata ga nai

Private? There is no such things.

CWE-IDの構成について考えてみた

Hello there, ('ω')ノ

 

CWE-IDの関連性を試行錯誤しながらまとめていると。

以前よりは、少しすっきりとしたような。

これまで、OWASP TOP10をベースにまとめようとしていたので混乱したようで。

あくまでもOWASP TOP10は、脆弱性をメンバーとしてまとめるようなもので。

基本的には、研究コンセプトでツリー構造を形成したほうがいいような。

 

f:id:ThisIsOne:20201024170549p:plain

 

たとえば、下記の脆弱性は、Cookieの扱い(HttpOnly未設定)で。

 CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag

 

f:id:ThisIsOne:20201024171257p:plain

 

例文として赤枠で悪い例、青枠で対応策が書かれていて。

 

f:id:ThisIsOne:20201024171511p:plain

 

この脆弱性の親は、ChildOfのリンクをたどると下記の通りで。

 CWE-732: Incorrect Permission Assignment for Critical Resource

 

f:id:ThisIsOne:20201024171701p:plain

 

メンバーシップの欄を見るとOWASP Top10だと2010のメンバーだと確認できて。

2017のメンバーには含まれていないらしく。

 OWASP Top Ten 2010 Category A6 - Security Misconfiguration

 

f:id:ThisIsOne:20201024171853p:plain

 

ただ、ツリー構造を作成するにはOWASPは、あくまでもグループ名にすぎず。

その先をたどっていくと結果としては研究コンセプトのCWE-284と。

 

f:id:ThisIsOne:20201024172710p:plain

 

研究コンセプトのCWE-664からつながっていることがわかって。

 

f:id:ThisIsOne:20201024172820p:plain

 

なかなかうまくは説明できないものの、今のところこの考えでまとまりそうな。

 

Best regards, (^^ゞ

 

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain