Rapport de conformité DISA sur la sécurité des applications et le développement STIG, V6R1

Ce rapport affiche les problèmes de conformité STIG sur la sécurité des applications et le développement, V6R1, trouvés sur votre application. Le Guide d'implémentation technique de la sécurité des applications et du développement (STIG) fournit des conseils de sécurité à utiliser tout au long du cycle de développement des applications. L'Agence des systèmes d'information de la Défense (DISA) encourage les sites à utiliser ces directives dès que possible dans le processus de développement des applications.

Résumé

Le Guide d'implémentation technique de la sécurité des applications et du développement (ASD STIG) est publié comme un outil pour améliorer la sécurité des systèmes d'information du Département de la Défense (DoD).

Informations couvertes

Le STIG sur la sécurité des applications et du développement fournit des directives pour sécuriser les applications d'entreprise connectées via un réseau. Cela inclut les applications client, HTML et basées sur un navigateur utilisant des technologies telles que Java, JavaScript, .NET, Cloud, RESTful et les services web orientés SOA. Le STIG est obligatoire pour toutes les applications et systèmes développés, architecturés et administrés par le DoD connectés aux réseaux DoD. Il aide les gestionnaires et les développeurs à configurer et maintenir les contrôles de sécurité des applications.

Entités couvertes

La Directive du Département de la Défense (DoDI) 8500.01 impose que toutes les technologies de l'information du DoD soient conformes aux politiques, normes et architectures de cybersécurité. La DISA est responsable de la création et de la maintenance des identifiants de corrélation de contrôle (CCI), des guides de sécurité (SRG), des guides d'implémentation technique de sécurité (STIG) et des directives sur les risques liés au code mobile, garantissant qu'ils respectent les principes, normes et procédures de validation de la cybersécurité du DoD. Cela est autorisé par le DoDI 8500.01.

AppScan et le STIG sur la sécurité des applications et du développement

Le rapport de conformité AppScan vous aidera à comprendre et à localiser les problèmes de conformité liés à la posture de sécurité actuelle de l'application scannée. Ce rapport de conformité utilise l'ID des exigences STIG pour faire référence aux exigences du STIG. De plus, le rapport de conformité inclut le niveau de gravité des exigences du STIG tel qu'il apparaît dans le STIG :

  • Catégorie I (CAT I) - Toute vulnérabilité dont l'exploitation entraînera directement et immédiatement une perte de confidentialité, de disponibilité ou d'intégrité.
  • Catégorie II (CAT II) - Toute vulnérabilité dont l'exploitation peut entraîner une perte de confidentialité, de disponibilité ou d'intégrité.
  • Catégorie III (CAT III) - Toute vulnérabilité dont l'existence dégrade les mesures de protection contre la perte de confidentialité, de disponibilité ou d'intégrité.
Remarque : Les résultats de ce rapport de conformité sont organisés par niveau de catégorie (et triés chronologiquement dans chaque niveau de catégorie) mais n'apparaissent pas dans un ordre chronologique en dehors du cadre de chaque niveau de catégorie.
Tableau 1. Sections et descriptions
Sections Description
V-222425, SV-222425r508029_rule: CAT I L'application doit appliquer les autorisations approuvées pour l'accès logique aux informations et aux ressources du système conformément aux politiques de contrôle d'accès applicables.
V-222430, SV-222430r849431_rule: CAT I L'application doit s'exécuter sans autorisations de compte excessives.
V-222522, SV-222522r508029_rule: CAT I L'application doit identifier et authentifier de manière unique les utilisateurs organisationnels (ou les processus agissant au nom des utilisateurs organisationnels).
V-222542, SV-222542r508029_rule: CAT I L'application ne doit stocker que des représentations cryptographiques des mots de passe.
V-222596, SV-222596r849486_rule: CAT I L'application doit protéger la confidentialité et l'intégrité des informations transmises.
V-222601, SV-222601r849491_rule: CAT I L'application ne doit pas stocker d'informations sensibles dans des champs cachés.
V-222602, SV-222602r561263_rule: CAT I L'application doit se protéger contre les vulnérabilités Cross-Site Scripting (XSS).
V-222604, SV-222604r508029_rule: CAT I L'application doit se protéger contre l'injection de commande.
V-222607, SV-222607r508029_rule: CAT I L'application ne doit pas être vulnérable à l'injection SQL.
V-222608, SV-222608r508029_rule: CAT I L'application ne doit pas être vulnérable aux attaques orientées XML.
V-222609, SV-222609r864578_rule: CAT I L'application ne doit pas être sujette aux vulnérabilités de gestion des entrées.
V-222612, SV-222612r864579_rule: CAT I L'application ne doit pas être vulnérable aux attaques par dépassement de capacité.
V-222662, SV-222662r864444_rule: CAT I Les mots de passe par défaut doivent être modifiés.
V-222642, SV-222642r849509_rule: CAT I Le concepteur doit s'assurer que l'application ne contient pas de données d'authentification intégrées.
V-222388, SV-222388r849416_rule: CAT II L'application doit effacer le stockage temporaire et les cookies lorsque la session est terminée.
V-222391, SV-222391r849419_rule: CAT II Les applications nécessitant une authentification de l'utilisateur doivent fournir une capacité de déconnexion pour la session de communication initiée par l'utilisateur.
V-222396, SV-222396r508029_rule: CAT II L'application doit implémenter un cryptage approuvé par le DoD pour protéger la confidentialité des sessions d'accès à distance.
V-222397, SV-222397r508029_rule: CAT II L'application doit implémenter des mécanismes cryptographiques pour protéger l'intégrité des sessions d'accès à distance.
V-222406, SV-222406r508029_rule: CAT II L'application doit s'assurer que les messages sont cryptés lorsque le SessionIndex est lié à des données privées.
V-222429, SV-222429r849430_rule: CAT II L'application doit empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, y compris désactiver, contourner ou modifier les contre-mesures de sécurité mises en œuvre.
V-222513, SV-222513r864575_rule: CAT II L'application doit être capable d'empêcher l'installation de correctifs, de packs de services ou de composants d'application sans vérification que le composant logiciel a été signé numériquement à l'aide d'un certificat reconnu et approuvé par l'organisation.
V-222515, SV-222515r508029_rule: CAT II Une évaluation de la vulnérabilité de l'application doit être effectuée.
V-222517, SV-222517r849455_rule: CAT II L'application doit utiliser une politique de refus par défaut, d'autorisation par exception (liste blanche) pour autoriser l'exécution des programmes logiciels autorisés.
V-222518, SV-222518r508029_rule: CAT II L'application doit être configurée pour désactiver les fonctionnalités non essentielles.
V-222523, SV-222523r508029_rule: CAT II L'application doit utiliser une authentification multifactorielle (Alt. Token) pour l'accès réseau aux comptes privilégiés.
V-222524, SV-222524r849458_rule: CAT II L'application doit accepter les justificatifs d'identité de vérification personnelle (PIV).
V-222525, SV-222525r849459_rule: CAT II L'application doit vérifier électroniquement les justificatifs d'identité de vérification personnelle (PIV).
V-222576, SV-222576r508029_rule: CAT II L'application doit définir l'indicateur de sécurité sur les cookies de session.
V-222577, SV-222577r508029_rule: CAT II L'application ne doit pas exposer les ID de session.
V-222579, SV-222579r508029_rule: CAT II Les applications doivent utiliser des identifiants de session générés par le système qui protègent contre la fixation de session.
V-222581, SV-222581r508029_rule: CAT II Les applications ne doivent pas utiliser d'ID de session intégrés dans l'URL.
V-222582, SV-222582r508029_rule: CAT II L'application ne doit pas réutiliser ou recycler les ID de session.
V-222593, SV-222593r864576_rule: CAT II Les applications basées sur XML doivent atténuer les attaques par déni de service (DoS) en utilisant des filtres XML, des options d'analyseur ou des passerelles.
V-222594, SV-222594r561257_rule: CAT II L'application doit restreindre la capacité de lancer des attaques par déni de service (DoS) contre elle-même ou d'autres systèmes d'information.
V-222600, SV-222600r849490_rule: CAT II L'application ne doit pas divulguer d'informations inutiles aux utilisateurs.
V-222603, SV-222603r508029_rule: CAT II L'application doit se protéger contre les vulnérabilités Cross-Site Request Forgery (CSRF).
V-222606, SV-222606r508029_rule: CAT II L'application doit valider toutes les entrées.
V-222610, SV-222610r508029_rule: CAT II L'application doit générer des messages d'erreur fournissant les informations nécessaires pour effectuer des actions correctives sans révéler d'informations exploitables par des adversaires.
V-222614, SV-222614r849497_rule: CAT II Les mises à jour et correctifs logiciels pertinents pour la sécurité doivent être tenus à jour.
V-222642, SV-222642r508029_rule: CAT II L'application ne doit pas contenir de données d'authentification intégrées.
V-222656, SV-222656r864438_rule: CAT II L'application ne doit pas être sujette aux vulnérabilités de gestion des erreurs.
V-222667, SV-222667r864449_rule: CAT II Des protections contre les attaques DoS doivent être mises en œuvre.