Hello there, ('ω')ノ

 

CWE-IDの関連性を試行錯誤しながらまとめていると。

以前よりは、少しすっきりとしたような。

これまで、OWASP TOP10をベースにまとめようとしていたので混乱したようで。

あくまでもOWASP TOP10は、脆弱性をメンバーとしてまとめるようなもので。

基本的には、研究コンセプトでツリー構造を形成したほうがいいような。

 

 

たとえば、下記の脆弱性は、Cookieの扱い（HttpOnly未設定）で。

　CWE-1004: Sensitive Cookie Without 'HttpOnly' Flag

 

 

例文として赤枠で悪い例、青枠で対応策が書かれていて。

 

 

この脆弱性の親は、ChildOfのリンクをたどると下記の通りで。

　CWE-732: Incorrect Permission Assignment for Critical Resource

 

 

メンバーシップの欄を見るとOWASP Top10だと2010のメンバーだと確認できて。

2017のメンバーには含まれていないらしく。

　OWASP Top Ten 2010 Category A6 - Security Misconfiguration

 

 

ただ、ツリー構造を作成するにはOWASPは、あくまでもグループ名にすぎず。

その先をたどっていくと結果としては研究コンセプトのCWE-284と。

 

 

研究コンセプトのCWE-664からつながっていることがわかって。

 

 

なかなかうまくは説明できないものの、今のところこの考えでまとまりそうな。

 

Best regards, (^^ゞ