Source to Sink
SourceからSinkまで
説明
ソース(入力元)メソッドまたはユーザーが制御可能なパラメーターが、シンク(実行先)メソッドの呼び出しに使用されています。
ソースとは、信頼できないユーザーから送信される可能性のある、信頼できないデータ入力を指します。シンクとは、攻撃者がアクセス可能な場合に攻撃に悪用される恐れのある危険なメソッドを指します。
ソースおよびシンクは、インジェクション、安全でない直接オブジェクト参照(IDOR)、または不正なデータアクセスなどの脆弱性が存在しないかレビューする必要があります。
推奨事項
推奨事項は特定された脆弱性のクラスによって異なります。
リンク
標準
- OWASP_MASVS_L1:
- MSTG_PLATFORM_2
- OWASP_MASVS_L2:
- MSTG_PLATFORM_2
- PCI_STANDARDS:
- REQ_6_2
- REQ_6_3
- REQ_11_3
- HIPAA_CONTROLS:
- SECURITY212
- SECURITY213
- SECURITY255
- OWASP_MASVS_v2_1:
- MASVS_CODE_4