規則更新

ASoC 中的最近規則更新。

2024-09-17

註:
  1. 新增規則
  2. 新的或擴充的自動修正規則
語言 CWE 變更
基礎架構即代碼 (IaC) CWE-250 在 Dockerfile 中偵測到使用不安全的 apt-get 指令。1
CWE-1328 在 Dockerfile 中偵測到使用不安全的基本映像檔版本。1
CWE-276 預設安全設定檔已停用。2
JavaScript CWE-1022 洩漏的轉介資訊。2
Kotlin CWE-922 在 Kotlin 程式碼中找到不當的資料儲存體存取問題。2
PHP CWE-98 allow_url_fopen 指引已啟用。2
CWE-98 allow_url_include 指引已啟用。2
CWE-94 cgi.force_redirect 指引已停用。2
CWE-614 HTTPS 階段作業中的機密 Cookie 缺少 Secure 屬性。2
Python CWE-732 在 Django 設定中使用不安全的 ALLOWED_HOSTS1
CWE-539 Django 中不安全的 CSRF 或階段作業 Cookie 設定。1
CWE-1021 透過 X_FRAME_OPTIONS 進行潛在的 ClickjackingvAttack。1
CWE-79 在 Django 範本中使用 safesafeseq 過濾器可能造成潛在的 XSS 漏洞。1
CWE-79 Django HttpResponse 中的潛在 XSS 漏洞。1
CWE-150 擴大環境物件的涵蓋範圍會自動逸出 false。2
CWE-539 Django 中不安全的 CSRF 或階段作業 Cookie 設定。2
Ruby CWE-78 反引號的使用方式不安全。2
CWE-78 不安全使用系統方法。2
鐵鏽色 CWE-295 偵測到 CMS 訊息可能解密但未進行憑證檢查。2
CWE-327 偵測到可能使用低強度的橢圓曲線 (Elliptic Curve) 加密。2
CWE-326 偵測到可能使用低強度的 RSA 金鑰長度。2

2024-09-04

一般更新:
  • 立即掃描會避免所有壓縮的檔案。

  • .NET 資料流程支援 System.Data.SQLite
註:
  1. 新增規則
  2. 新自動修正規則
  3. 規則修正
語言 CWE 變更
.NET ASP.NET CWE-1188 在 ASP.NET 專案配置中啟用了無 Cookie 階段作業狀態。2
C# CWE-319 偵測到開放通訊架構。2
CWE-328 偵測到低強度密碼演算法。2
CWE-327 偵測到未使用簽章驗證的 JWT Builder。2
VB.NET CWE-1173 在 VB 程式碼中停用了 HTTP 要求驗證。2
CWE-328 在 VB 程式碼中使用了低強度密碼演算法。2
Angular CWE-94 沙箱 VM 中有潛在程式碼注入漏洞。1
AngularJS CWE-477 找到已淘汰的呼叫:(ng-bind-html-unsafe)。2
Apex CWE-943 SOQL 注入。2
CWE-943 SOSL 注入。2
CWE-328 選擇了低強度雜湊演算法。2
CWE-79 指令碼或樣式跨網站指令碼攻擊 (XSS)。2
ASP CWE-319 在 ASP 程式碼中偵測到開放通訊架構。2
C/C++ CWE-367 使用的暫存檔命名函式可能有危險。已更正內容並啟用自動修正。3
CWE-78 偵測到潛在指令注入。已擴大掃描涵蓋範圍。3
CWE-250 CreateFile 呼叫似乎違反最低專用權原則。2
CWE-250 CreateNamedPipe 遺失 FILE_FLAG_FIRST_PIPE_INSTANCE 旗標。2
CWE-757 發現使用了不安全的 (SSL/TLS) 通訊協定。2
CWE-295 發現使用的 Curl 配置可能有危險(此類配置中使用了七個不同規則)。2
CWE-427 偵測到可能的最低專用權登錄操作原則。2
CWE-611 啟用了不安全的外部實體處理。2
ColdFusion CWE-524 cfCache 快取安全頁面。2
CWE-502 cfWddx 遺失 WDDX 驗證。2
CWE-862 cfFunction 中的用戶端未驗證。2
CWE-319 不安全通訊。2
CWE-307 多重提交驗證。2
CWE-327 加密函式中使用了不安全的演算法。2
Dart CWE-522 為可能屬於機密的欄位開啟了 AutoComplete2
CWE-319 HttpServer 偵測到開放通訊架構。2
CWE-319 偵測到開放 Socket 通訊。2
CWE-319 偵測到含有 URI 的開放通訊架構。2
CWE-79 不安全地使用了以 Dart 程式碼開啟的視窗。2
CWE-319 在字串中偵測到開放通訊架構。2
CWE-79 找到不安全的內容安全原則關鍵字。2
Docker CWE-770 限制 CPU 以防止阻斷服務 (DoS) 攻擊。2
CWE-770 限制失敗時重新啟動的次數,以防止阻斷服務 (DoS) 攻擊。2
Go CWE-489 偵測到用於 HTTP 的除錯套件 pprof2
CWE-1004 Golang 程式碼包含不安全的 http.Cookie2
CWE-319 在 Golang 程式碼中偵測到開放通訊架構。2
Groovy CWE-319 在 Groovy 程式碼中偵測到開放通訊架構。2
CWE-79 在 Groovy 原始碼中偵測到潛在的跨網站指令碼攻擊漏洞,已為所有執行個體新增額外的自動修正功能。2
Java CWE-489 在 Web 安全機制中啟用除錯功能,導致資料顯示在 Spring 中。2
CWE-1390 忽略 SAML 中的註解,導致鑑別中斷。2
CWE-548 Tomcat 配置中預設 servlet 提供的目錄清單不安全。2
CWE-276 在 Java 中偵測到不安全的檔案許可權使用情況。2
CWE-489 在 Java 程式碼中偵測到列印堆疊追蹤。2
CWE-489 Android 應用程式中的可除錯旗標設為 True。2
CWE-1188 在 Android 程式碼中偵測到不當的共用喜好設定模式。2
JavaScript CWE-359 不安全的事件傳輸原則:已更正內容,並啟用自動修正。3
CWE-79 jQuery.append 中偵測到潛在的 XSS 漏洞。效能現在更為快速。3
CWE-79 覆寫 Mustache 跳出方法是危險的做法。2
CWE-319 不安全的事件傳輸原則。2
Kotlin CWE-319 在 Kotlin 程式碼中偵測到開放通訊。2
NodeJS CWE-614 Cookie 缺少安全旗標,或是將旗標設為不安全值。2
CWE-328 在密碼編譯 createCipheriv 中使用了不安全的演算法。2
CWE-295 停用 Node-curl 的 SSL 憑證驗證配置不安全。2
CWE-78 發現了 Exec 殼層產生。2
CWE-1004 不安全的配置:缺少 HTTPOnly Cookie 屬性。2
Objective-C CWE-319 在 Objective-C 程式碼中偵測到開放通訊架構。2
PHP CWE-10041 沒有 HttpOnly 旗標的機密 Cookie。2
CWE-6141 HTTPS 階段作業中的機密 Cookie 缺少 secure 屬性。2
CWE-791 偵測到內嵌的 PHP 變數2
CWE-981 在 PHP 程式碼中偵測到潛在的檔案併入漏洞。2
CWE-6111 在 PHP 程式碼中偵測到 XML 外部實體注入。2
CWE-78 PHP 指令執行可能使用了使用者提供的資料。已擴大掃描涵蓋範圍。3
CWE-644 發現潛在的標頭注入。已擴大掃描涵蓋範圍。3
CWE-327 偵測到使用不安全的演算法,已擴大檢查。已擴大掃描涵蓋範圍。3
CWE-319 在 PHP Symfony 架構中偵測到開放通訊。2
CWE-1004 setcookie 中缺少 HTTPOnly 旗標或旗標不安全。2
CWE-319 偵測到開放通訊架構。2
CWE-544 error_reporting 指引未設為允許可能的最高層次錯誤報告2
PL/SQL CWE-331 使用不安全的 DBMS_RANDOM2
Python CWE-311 使用 http 的 URL。已擴大掃描涵蓋範圍。3
CWE-311 TOCTTOU 競爭條件暫存檔。已修正掃描涵蓋範圍,並啟用自動修正。3
CWE-367 TOCTTOU 競爭條件暫存檔。2
CWE-319 使用 http 的 URL。2
CWE-78 Python OS 注入。2
CWE-319 不安全的 FTP 用法。2
CWE-78 Popen 指令注入。2
CWE-276 使用 777 搭配 umask。2
ReactNative CWE-319 偵測到開放通訊。已更正內容並啟用自動修正。3
CWE-319 偵測到開放通訊。2
CWE-295 偵測到 SSL Pinning 停用動作。2
RPG CWE-319 在程式碼中偵測到開放通訊。2
Ruby CWE-78 反引號的使用方式不安全,規則運算式需要改進。已擴大掃描涵蓋範圍。3
CWE-78 反引號的使用方式不安全。已擴大掃描涵蓋範圍。3
CWE-425 Ruby 大量指派。2
CWE-359 Ruby 資訊揭露。2
Scala CWE-319 在 Scala 程式碼中偵測到開放通訊架構。2
CWE-79 在 Scala 原始碼中偵測到透過 Cookie 存取的潛在用戶端指令碼攻擊漏洞。2
機密 CWE-1051 偵測到寫在程式中的 IP 位址。已擴大掃描涵蓋範圍。3
CWE-798 偵測到寫在程式中的認證。已擴大掃描涵蓋範圍。3
Swift CWE-319 在 Swift 程式碼中偵測到開放通訊架構。2
CWE-79 在 iOS UIWebView 中使用 loadRequest() 時的潛在跨網站指令碼攻擊漏洞。2
Terraform CWE-359 偵測到 AWS 執行個體揭露使用者資料機密。2
CWE-778 Azure 日誌監控設定檔應定義所有必要類別。2
CWE-732 預設服務帳戶用於資料夾、專案或組織層級。2
CWE-671 SQL 伺服器中未啟用電子郵件服務和共同管理員。2
CWE-923 確認 Azure 儲存空間帳戶的預設網路存取已設為拒絕。2
CWE-923 確認 GCP 防火牆規則不允許未限制的存取。2
CWE-732 Google Compute 執行個體可公開存取。2
CWE-732 Google Storage 儲存區可公開存取。2
CWE-732 Amazon S3 儲存區的存取權不安全。2
Visual Basic CWE-319 在 VB 程式碼中偵測到開放通訊架構。2
Xamarin CWE-319 在 Xamarin 中偵測到開放通訊。2

2024-08-06

語言 CWE 變更
一般 CWE-319 更妥善處理所有語言的開放通訊規則,已減少有雜訊的發現項目。
Angular CWE-312 本端儲存空間可避免與排序方向有關的 setItem 呼叫。
ASP CWE-79 使用 Server.HTMLEncode 檢查驗證是否正確。
CSS

CWE-79

已進行調整,以減少有雜訊的發現項目。
Dart CWE-328 在呈現發現項目時更具選擇性,並避免較明顯的雜訊發現項目。
CWE-319

已進行調整,以減少有雜訊的發現項目。

Java 原始碼掃描器 CWE-918 RestTemplate().exchange 呼叫中尋找 SSRF。
CWE-303 尋找 NoOpPasswordEncoder.getInstance 危險呼叫。
CWE-89 尋找 SQLi 的其他案例。
CWE-22 在更多地方尋找可能的路徑遍訪問題
CWE-798 HashMap.put 呼叫和 setter 中尋找寫在程式中的憑證。
JavaScript CWE-200 已在 window.postMessage 呼叫中新增危險目標來源檢查功能。
CWE-913 已進行修改,以減少有雜訊的發現項目。
JQuery CWE-79 已進行修改,以減少有雜訊的發現項目。
Objective-C CWE-798 已進行修改,以減少增加有雜訊的發現項目。
PHP CWE-798 檢查值,並確定值是否真的是代表以純文字格式儲存在程式碼中之可能密碼的字串文字。
Python CWE-319 已更正自動修正功能,以解決某些情況下的錯誤取代問題。
密碼掃描 CWE-798 避免壓縮的 JS 檔案。
避免分析轉換檔以減少雜訊
TerraForm CWE-1220 輸出流量安全群組 cidr_blocks 新增的規則檢查功能設為「非強制」。
TypeScript CWE-943 在 TypeScript 檔案中尋找 NoSQL MongoDB 注入。
尋找 SQLi 的其他案例。
VueJS CWE-79 已進行調整,減少已在方法宣告中找到發現項目的情況下產生發現項目。