Mises à jour des règles

Mises à jour récentes des règles dans AppScan 360°.

14 juillet 2025

  1. Nouvelle règle.
Langage CWE Description
Python CWE-78 Vérifie l'absence d'utilisation dangereuse de os.system. 1
CWE-79 Amélioration de la clarté de la règle pour Python Django.
Secrets CWE-1051 Suppression des schémas erronés pour la vérification des adresses IP codées en dur.
CWE-798 Suppression des schémas erronés pour les informations d'identification codées en dur :
  • Contournement des schémas erronés dans le code Rust.
  • Ajout de vérifications dans Secrets - Creds - Key : règle de paire de valeurs pour éliminer les constatations sans guillemets pour les fichiers Python.
  • Ajout d'une vérification pour filtrer les mots de passe erronés tels que 1234, wrongpassword, testpassword et noreply.
  • Ajustement d'autres extraits pour éliminer les constatations telles que les mots de passe avec 1234.
  • Actuellement, la règle de paire clé:valeur recherche le contexte jusqu'à la fin de la ligne. Ainsi, il faut supprimer les caractères de fin de ligne qui contiennent , ou ".

13 juin 2025

Ajouts de marquage pour Java :
  • 68 nouvelles sources
  • 10 nouveaux collecteurs
Langage CWE Description
Secrets Certains schémas erronés ont été supprimés en tant que constatation.
Code source Java CWE-111 Ajout d'une vérification de l'absence d'utilisations dangereuses de DllImport.
CWE-918 Ajout d'une vérification de l'URL openStream avec des données potentielles contrôlées par l'utilisateur.

7 mai 2025

Toutes les mises à jour de règles dans cette version sont de nouvelles règles.

Langage CWE Description
Examen de code source C# CWE-94 Vérification de CSharpScript.EvaluateAsync.
CWE-532 Vérification de l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe.
CWE-111 Vérification de l'absence d'utilisations dangereuses de DllImport.
Examen de code source Java CWE-532 Vérification de l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe.
CWE-102 Recherche des noms de formulaires en double dans les fichiers XML de validation Struts.
CWE-104 Recherche d'une classe qui étend un ActionForm sans validation.
PHP CWE-111 Vérification des utilisations de FFI::cdef contenant des appels dangereux.
Python CWE-111 Vérification des utilisations de ctypes.DLL n'utilisant pas un chemin complet pour l'argument.

1 avril 2025

  1. Nouvelles règles
Langage CWE Description
Tous les langages CWE-798 Réduction du bruit améliorée
C# CWE-328 La correction automatique applique des appels de fonction plus modernes
CWE-1333 Vérification des délais appliqués aux objets RegEx1
CWE-89 Nouvelles captures de SQLi via la création de la requête String.Append
Informations de sécurité mises à jour pour Microsoft.CodeAnalysis.CSharp.Scripting et Microsoft.AspNetCore.Mvc.ViewFeatures
ColdFusion CWE-328 Réglage de la vérification pour améliorer les performances
HTML CWE-319 Éviter le bruit de type localhost dans l'URL
IaC CWE-770 Deux nouveaux correctifs automatiques
CWE-311 Vérification supplémentaire des paramètres TLS appropriés dans Amazon Load Balancer
Java CWE-479 Correction automatique mise à jour
JavaScript CWE-598 Recherche de défauts URLSearchParams dans les fichiers JavaScript.1
Python CWE-502 Recherche d'une réflexion dangereuse dans Java1

11 décembre 2024

Langue CWE Description
C# CWE-78 Ajusté pour réduire les constatations erronées pour l'injection OS.
IaC CWE-798 Ajusté pour réduire les constatations erronées pour les constructions de code TypeScript.
CWE-1051 Ajusté pour réduire les constatations erronées pour les schémas IP dans des fichiers HTML.
CWE-1328 Ajusté pour réduire les constatations erronées pour les références d'image Docker.
HTML CWE-79 Nouvelles règles pour les extensions de fichier :
  • htm
  • html
  • rhtml
  • xhtml
  • cshtml
  • vbhtml
CWE-319
CWE-524
CWE-525
CWE-598
CWE-1021
CWE-1022
JavaScript CWE-209 Ajusté pour réduire les résultats pollués.
CWE-359 Ajusté pour réduire les résultats pollués.
CWE-1022 Ajusté pour réduire les constatations erronées pour les constatations window.open.
Secrets CWE-798 Recherche de mots de passe codés en dur trouvés dans les chaînes de requête d'URL.
CWE-284 Ajusté pour réduire les constatations erronées dans les constatations d'exposition de jeton des signatures d'accès partagé Azure.
Visual Basic CWE-78 Ajusté pour réduire les résultats pollués.
CWE-328 Ajusté pour réduire les résultats pollués.

3 décembre 2024

Remarque :
  1. Nouvelles règles
  2. Réduction du bruit dans la règle
Langue CWE Description
ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet. 2
CWE-79 Eventuelle attaque XSS pour l'expression en ligne dans le code. 2
C# CWE-601 Redirection de demande avec des données contrôlées par l'utilisateur potentielles dans des variables. 2
CWE-185 Injection d'expression régulière.2
IaC Terraform CWE-410 Configuration de l'équilibrage de charge non sécurisée.1
Java CWE-337 Seed prévisible pour l'instance SecureRandom dans le code Java.2
CWE-918 Server-Side Request Forgery dans RestTemplate().exchange. 2
CWE-185 Injection d'expression régulière dans le code Java.2
CWE-244 Mot de passe stocké dans l'objet de chaîne Java.2
JavaScript CWE-79 Utilisation non sécurisée de document.referrer.2
PHP CWE-79 Données contrôlées par l'utilisateur dans PHP converties en HTML.2
Python Django CWE-79
  • Collecte actuelle de fichiers HTML à réviser pour Python
  • Nouvelles règles ajoutées.
CWE-89
CWE-200
CWE-201
CWE-212
CWE-352
CWE-497
CWE-522
CWE-523
CWE-795
CWE-918
CWE-1021
CWE-1188
CWE-1295
Secrets CWE-798 Informations d'authentification de base codées en dur.1
VB.NET CWE-502 Désérialisation possible.2

17 septembre 2024

Remarque :
  1. Nouvelles règles
  2. Règles de correction automatique nouvelles ou étendues
Langue CWE Modification
Infrastructure en tant que code (IaC) CWE-250 Utilisation non sécurisée de la commande apt-get détectée dans Dockerfile. 1
CWE-1328 Utilisation non sécurisée de la version de l'image de base détectée dans Dockerfile. 1
CWE-276 Le profil de sécurité par défaut est désactivé. 2
JavaScript CWE-1022 Fuite d'informations de référent. 2
Kotlin CWE-922 Accès incorrect au stockage des données détecté dans le code Kotlin. 2
PHP CWE-98 L'instruction allow_url_fopen est activée. 2
CWE-98 L'instruction allow_url_include est activée. 2
CWE-94 L'instruction cgi.force_redirect a été désactivée. 2
CWE-614 Cookie sensible dans la session HTTPS sans attribut Secure. 2
Python CWE-732 Utilisation non sécurisée de ALLOWED_HOSTS dans les paramètres Django. 1
CWE-539 Paramètres CSRF ou de cookie de session non sécurisés dans Django. 1
CWE-1021 Attaque par détournement de clic (clickjacking) potentielle via X_FRAME_OPTIONS. 1
CWE-79 Vulnérabilité XSS potentielle due à l'utilisation de filtres safe ou safeseq dans les modèles Django. 1
CWE-79 Vulnérabilité XSS potentielle dans Django HttpResponse. 1
CWE-150 Extension de la couverture pour les objets d'environnement autoescape false. 2
CWE-539 Paramètres CSRF ou de cookie de session non sécurisés dans Django. 2
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés. 2
CWE-78 Utilisation non sécurisée d'une méthode system. 2
Rouille CWE-295 Eventuel déchiffrement des messages CMS sans vérification de certificat détectée. 2
CWE-327 Eventuelle utilisation d'une cryptographie sur les courbes elliptiques faibles détectée. 2
CWE-326 Eventuelle longueur de clé RSA faible détectée. 2

4 septembre 2024

Mises à jour générales :

  • L'examen permet désormais d'éviter tous les fichiers minifiés.

  • Prise en charge des flux de données .NET pour System.Data.SQLite.
Remarque :
  1. Nouvelles règles
  2. Nouvelles règles de correction automatique
  3. Corrections de règles
Langue CWE Modification
.NET ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet ASP.NET.2
C# CWE-319 Schéma de communications ouvertes détecté.2
CWE-328 Algorithme de chiffrement faible détecté.2
CWE-327 Le générateur JWT sans vérification de signature est détecté.2
VB.NET CWE-1173 La validation de la requête HTTP est désactivée dans le code VB.2
CWE-328 Utilisation d'un algorithme cryptographique faible dans le code VB.2
Angular CWE-94 Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1
AngularJS CWE-477 Appel obsolète détecté : (ng-bind-html-unsafe).2
Sommet CWE-943 Injection SOQL.2
CWE-943 Injection SOSL.2
CWE-328 Algorithme de hachage faible choisi.2
CWE-79 Attaque par script intersite (XSS) de script ou style.2
ASP CWE-319 Schéma de communications ouvertes détecté dans le code ASP.2
C/C++ CWE-367 Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3
CWE-78 Injection potentielle de commande détectée. Couverture étendue.3
CWE-250 Appel CreateFile qui semble enfreindre le principe du moindre privilège.2
CWE-250 CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE.2
CWE-757 Utilisation non sécurisée du protocole (SSL/TLS) détectée.2
CWE-295 Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2
CWE-427 Manipulation potentielle du registre du principe du moindre privilège détectée.2
CWE-611 Traitement d'entité externe non sécurisé activé.2
ColdFusion CWE-524 Mise en cache cfCache des pages sécurisées.2
CWE-502 cfWddx ne comporte pas de validation WDDX.2
CWE-862 Client non vérifié dans cfFunction.2
CWE-319 Communications non sécurisées.2
CWE-307 Validation de soumissions multiples.2
CWE-327 Algorithme non sécurisé utilisé dans la fonction de chiffrement.2
Dart CWE-522 AutoComplete activé pour les champs potentiellement sensibles.2
CWE-319 Schéma de communications ouvertes détecté avec HttpServer.2
CWE-319 Communications par socket ouvertes détectées.2
CWE-319 Schéma de communication ouverte avec URI détecté.2
CWE-79 Utilisation non sécurisée de fenêtre ouverte dans le code Dart.2
CWE-319 Schéma de communications ouvertes détecté dans la chaîne.2
CWE-79 Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2
Docker CWE-770 Limitez l'UC pour éviter une attaque par refus de service (DoS).2
CWE-770 Limitez le nombre de redémarrages en cas d'échec pour éviter un refus de service (DoS).2
Go CWE-489 Débogage du package pprof pour HTTP détecté.2
CWE-1004 Code Golang contenant un http.Cookie non sécurisé.2
CWE-319 Schéma de communications ouvertes détecté dans le code Golang.2
Groovy CWE-319 Schéma de communications ouvertes détecté dans le code Groovy.2
CWE-79 Une vulnérabilité potentielle d'attaque par script intersite détectée dans le code source Groovy a ajouté des corrections automatiques supplémentaires pour toutes les instances.2
Java CWE-489 L'activation du débogage dans la sécurité Web révèle des données dans Spring.2
CWE-1390 Ignorer les commentaires dans SAML entraîne une violation de l'authentification.2
CWE-548 Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2
CWE-276 Utilisation non sécurisée d'autorisation de fichier dans Java.2
CWE-489 Une impression de trace de pile est détectée dans le code Java.2
CWE-489 L'indicateur de débogage est défini sur true dans l'application Android.2
CWE-1188 Mode de préférences partagées incorrect détecté dans le code Android.2
JavaScript CWE-359 Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3
CWE-79 Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.3
CWE-79 Il est dangereux de contourner la méthode d'échappement Mustache.2
CWE-319 Politique non sécurisée de transmission d'événements.2
Kotlin CWE-319 Communication ouverte détectée dans le code Kotlin.2
NodeJS CWE-614 Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2
CWE-328 Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.2
CWE-295 Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.2
CWE-78 Génération de shell d'exécution détecté.2
CWE-1004 Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2
Objective-C CWE-319 Schéma de communications ouvertes détecté dans le code Objective-C.2
PHP CWE-10041 Cookie sensible sans indicateur HttpOnly.2
CWE-6141 Cookie sensible dans la session HTTPS sans attribut secure.2
CWE-791 Variable PHP intégrée détectée.2
CWE-981 Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2
CWE-6111 Injection d'entité externe XML détectée dans le code PHP.2
CWE-78 Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3
CWE-644 Injection d'en-tête potentielle détectée. Couverture étendue.3
CWE-327 Utilisation d'algorithme non sécurisé détectée. Contrôles et couverture étendus.3
CWE-319 Communication ouverte détectée dans la structure PHP Symfony.2
CWE-1004 Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.2
CWE-319 Schéma de communications ouvertes détecté.2
CWE-544 L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.2
PL/SQL CWE-331 Utilisation non sécurisée de DBMS_RANDOM.2
Python CWE-311 URL utilisant http. Couverture étendue.3
CWE-311 Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3
CWE-367 Fichier temporaire de condition d'indétermination TOCTTOU.2
CWE-319 URL utilisant http.2
CWE-78 Injection de système d'exploitation Python.2
CWE-319 Utilisation FTP non sécurisée.2
CWE-78 Injection de commande popen.2
CWE-276 Utilisation de 777 avec umask.2
ReactNative CWE-319 Communication ouverte détectée. Contexte corrigé et correction automatique activée.3
CWE-319 Communication ouverte détectée.2
CWE-295 Désactivation de l'épinglage SSL détecté.2
RPG CWE-319 Communication ouverte détectée dans le code.2
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3
CWE-78 Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3
CWE-425 Affectation de masse Ruby.2
CWE-359 Divulgation d'informations Ruby.2
Scala CWE-319 Schéma de communications ouvertes détecté dans le code Scala.2
CWE-79 Eventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2
Secrets CWE-1051 Adresse IP codée en dur détectée. Couverture étendue.3
CWE-798 Identifiants codés en dur détectés. Couverture étendue.3
Swift CWE-319 Schéma de communications ouvertes détecté dans le code Swift.2
CWE-79 Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.2
Terraform CWE-359 Instance AWS exposant les secrets de données utilisateur détectée.2
CWE-778 Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2
CWE-732 Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.2
CWE-671 Le service de messagerie et les co-administrateurs ne sont pas activés dans les serveurs SQL.2
CWE-923 Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.2
CWE-923 Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.2
CWE-732 Instance Google Compute accessible au public.2
CWE-732 Compartiment de stockage Google accessible au public.2
CWE-732 Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2
Visual Basic CWE-319 Schéma de communications ouvertes détecté dans le code VB.2
Xamarin CWE-319 Communication ouverte détectée dans Xamarin.2

6 août 2024

Langue CWE Modification
Informations générales CWE-319 Meilleure gestion des règles de communication ouverte pour toutes les langues afin de réduire les résultats pollués.
Angular CWE-312 Le stockage local évite les appels setItem liés à l'ordre de tri.
ASP CWE-79 Vérifie que la validation est correcte à l'aide de Server.HTMLEncode.
CSS

CWE-79

 Ajusté pour réduire les résultats pollués.
Dart CWE-328 Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes.
CWE-319

Ajusté pour réduire les résultats pollués.
Examen de code source Java CWE-918 Recherche de SSRF dans les appels RestTemplate().exchange.
CWE-303 Recherche d'appels dangereux NoOpPasswordEncoder.getInstance.
CWE-89 Trouvez des cas supplémentaires pour SQLi.
CWE-22 Recherche d'autres emplacements pour d'éventuels problèmes de traversée de chemin.
CWE-798 Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters.
JavaScript CWE-200 Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage.
CWE-913 Modifié pour réduire les résultats pollués.
JQuery CWE-79 Modifié pour réduire les résultats pollués.
Objective-C CWE-798 Modifié pour réduire certains résultats pollués supplémentaires.
PHP CWE-798 Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code.
Python CWE-319 Correction automatique pour résoudre un remplacement erroné dans certaines circonstances.
Analyse des secrets. CWE-798 Evite les fichiers JS minifiés.
Evite d'analyser les fichiers de traduction pour réduire les erreurs
TerraForm CWE-1220 Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive.
TypeScript CWE-943 Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript.
Recherche des cas supplémentaires pour SQLi.
VueJS CWE-79 Ajusté pour réduire la génération d'un résultat trouvé dans une déclaration de méthode.