国防信息系统局(DISA)的应用安全和开发安全技术实施指南(STIG),V6R3合规报告
此报告显示了在您的应用程序中发现的与DISA的Application Security and Development STIG,第6版,第3次发布不符的问题。《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
摘要
应用安全与开发 (ASD) 安全技术实施指南 (STIG) 被发布为一种工具,以提高国防部 (DoD) 信息系统的安全性。
涵盖的信息
应用程序安全和开发STIG旨在应用于通过网络连接的所有企业应用程序。这包括安装在台式计算机上的客户端应用程序,这些程序与远程系统建立网络连接,以及由众多网络技术和架构组成的HTML和基于浏览器的应用程序,包括Java、JavaScript、.NET、云、基于RESTful的和面向SOA的Web服务。
本指南是所有由国防部开发、架构和管理的企业应用程序和系统连接到国防部网络的必备要求。企业应用程序(EA)被定义为一种应用程序或软件,组织使用它来协助执行其使命或实现其目标或任务。虽然一些EA可能托管在具有不同程度冗余或容错的单一系统上,但许多EA通常是复杂的、可扩展的、任务关键的,并分布在多个系统上。管理人员也可以根据他们自己的标准或操作情况,选择将某个应用程序指定为关键任务,并认为其值得获得EA状态。STIG并不打算应用于脚本、管理或其他用途的防火墙或其他具有应用管理接口的网络设备,当相关产品STIG或技术SRG已经存在时。这些要求旨在协助应用程序开发项目经理、应用程序设计师/开发人员、信息系统安全经理(ISSM)、信息系统安全官员(ISSO)和系统管理员(SA)配置和维护其应用程序的安全控制。
受监管的实体
根据国防部指令(DoDI)8500.01的要求,“所有接收、处理、存储、显示或传输国防部信息的IT系统必须配置为符合适用的国防部网络安全政策、标准和架构”,并指派国防信息系统局(DISA)“开发和维护控制关联标识符(CCIs)、安全需求指南(SRGs)、安全技术实施指南(STIGs)、以及实现并符合国防部网络安全政策、标准、架构、安全控制和验证程序的移动代码风险类别和使用指南,得到NSA/CSS的支持,利用利益相关者的输入,并尽可能使用自动化。”本文件根据DoDI 8500.01的授权提供。
AppScan 和应用程序安全与开发 STIG
这份 AppScan 合规报告将帮助您了解和定位由于当前被扫描应用程序的安全态势可能存在的合规问题。此合规性报告使用 STIG 需求标识来引用 STIG 需求。此外,此合规性报告还包含 STIG 中出现的 STIG 需求严重性级别:
- 类别 I (CAT I) - 任何漏洞,其利用将直接且立即导致机密性、可用性或完整性丧失。
- II类(CAT II)- 任何可能导致机密性、可用性或完整性丧失的漏洞。
- III类(CAT III)- 任何存在的漏洞都会削弱保护机密性、可用性或完整性的措施。
| 区段 | 描述 |
|---|---|
| V-222425, SV-222425r508029_rule: CAT I | 应用程序必须根据适用的访问控制策略,强制执行对信息和系统资源的逻辑访问的批准授权。 |
| V-222430, SV-222430r849431_rule: CAT I | 应用程序必须在不需要过多账户权限的情况下运行。 |
| V-222522, SV-222522r508029_rule: CAT I | 应用程序必须唯一地识别和验证组织用户(或代表组织用户的进程)。 |
| V-222542, SV-222542r508029_rule: CAT I | 应用程序必须仅存储密码的加密表示。 |
| V-222596, SV-222596r849486_rule: CAT I | 应用程序必须保护传输信息的保密性和完整性。 |
| V-222601, SV-222601r849491_rule: CAT I | 应用程序不得在隐藏字段中存储敏感信息。 |
| V-222602, SV-222602r561263_rule: CAT I | 应用程序必须防止跨站脚本(XSS)漏洞。 |
| V-222604, SV-222604r508029_rule: CAT I | 应用程序必须防止命令注入。 |
| V-222607, SV-222607r508029_rule: CAT I | 应用程序必须不易受SQL注入攻击。 |
| V-222608, SV-222608r508029_rule: CAT I | 应用程序必须不易受到XML相关攻击的影响。 |
| V-222609, SV-222609r864578_rule: CAT I | 应用程序不得存在输入处理漏洞。 |
| V-222612, SV-222612r864579_rule: CAT I | 应用程序必须避免受到溢出攻击的影响。 |
| V-222662, SV-222662r864444_rule: CAT I | 默认密码必须更改。 |
| V-222642, SV-222642r849509_rule: CAT I | 设计者将确保应用程序不包含嵌入式认证数据。 |
| V-222388, SV-222388r849416_rule: CAT II | 应用程序在会话结束时必须清除临时存储和 cookies。 |
| V-222391, SV-222391r849419_rule: CAT II | 需要用户访问身份验证的应用程序必须提供用户发起通信会话的注销功能。 |
| V-222396, SV-222396r508029_rule: CAT II | 应用程序必须实施美国国防部批准的加密来保护远程访问会话的机密性。 |
| V-222397, SV-222397r508029_rule: CAT II | 应用程序必须实施加密机制以保护远程访问会话的完整性。 |
| V-222406, SV-222406r508029_rule: CAT II | 应用程序必须确保当 SessionIndex 与隐私数据相关联时,消息是加密的。 |
| V-222429, SV-222429r849430_rule: CAT II | 应用程序必须防止非特权用户执行特权功能,包括禁用、规避或更改已实施的安全保障/对策。 |
| V-222513, SV-222513r864575_rule: CAT II | 应用程序必须具备阻止安装补丁、服务包或应用程序组件的能力,除非经过验证,软件组件已使用组织认可和批准的证书进行数字签名。 |
| V-222515, SV-222515r508029_rule: CAT II | 必须进行应用程序漏洞评估。 |
| V-222517, SV-222517r849455_rule: CAT II | 该应用程序必须采用拒绝所有、例外允许(白名单)策略,以允许执行授权的软件程序。 |
| V-222518, SV-222518r508029_rule: CAT II | 应用程序必须配置为禁用非必要功能。 |
| V-222523, SV-222523r508029_rule: CAT II | 应用程序必须使用多因素(Alt.令牌)用于网络访问特权账户的身份验证。 |
| V-222524, SV-222524r849458_rule: CAT II | 应用程序必须接受个人身份验证(PIV)凭证。 |
| V-222525, SV-222525r849459_rule: CAT II | 应用程序必须电子验证个人身份验证(PIV)凭证。 |
| V-222576, SV-222576r508029_rule: CAT II | 应用程序必须在会话cookie上设置安全标志。 |
| V-222577, SV-222577r508029_rule: CAT II | 应用程序不得暴露会话ID。 |
| V-222579, SV-222579r508029_rule: CAT II | 应用程序必须使用系统生成的会话标识符,以防止会话固定攻击。 |
| V-222581, SV-222581r508029_rule: CAT II | 应用程序不得使用嵌入在URL中的会话ID。 |
| V-222582, SV-222582r508029_rule: CAT II | 应用程序不得重用或回收会话ID。 |
| V-222593, SV-222593r864576_rule: CAT II | 基于XML的应用程序必须通过使用XML过滤器、解析器选项或网关来缓解DoS攻击。 |
| V-222594, SV-222594r561257_rule: CAT II | 应用程序必须限制发起拒绝服务(DoS)攻击的能力,无论是针对自身还是其他信息系统。 |
| V-222600, SV-222600r849490_rule: CAT II | 应用程序不得向用户披露不必要的信息。 |
| V-222603, SV-222603r508029_rule: CAT II | 应用程序必须防止跨站请求伪造(CSRF)漏洞。 |
| V-222606, SV-222606r508029_rule: CAT II | 应用程序必须验证所有输入。 |
| V-222610, SV-222610r508029_rule: CAT II | 应用程序必须生成错误消息,这些消息应提供必要的信息以便采取纠正措施,同时不泄露可能被对手利用的信息。 |
| V-222614, SV-222614r849497_rule: CAT II | 安全相关的软件更新和补丁必须及时更新。 |
| V-222642, SV-222642r508029_rule: CAT II | 应用程序不得包含嵌入的身份验证数据。 |
| V-222656, SV-222656r864438_rule: CAT II | 应用程序不得存在错误处理漏洞。 |
| V-222667, SV-222667r864449规则:CAT II | 必须实施防御DoS攻击的保护措施。 |
相关信息
要了解更多关于 DoD 应用程序安全和开发 STIG 的信息,请访问:安全技术实施指南 (STIGs) – DoD 网络交换