DISA的应用安全和开发STIG V6R1合规报告
此报告显示在您的应用程序中发现的DISA的应用安全和开发STIG V6R1合规问题。应用安全和开发安全技术实施指南(STIG)为整个应用开发生命周期中的安全提供了指导。国防信息系统局(DISA)鼓励各站点在应用开发过程中尽早使用这些指南。
概要
应用安全和开发(ASD)安全技术实施指南(STIG)发布为一项工具,旨在提升国防部(DoD)信息系统的安全性。
涵盖的信息
应用安全和开发STIG提供了保护通过网络连接的企业应用程序的指南。这包括使用Java、JavaScript、.NET、云、RESTful服务和面向SOA的Web服务等技术的客户端应用程序、HTML和基于浏览器的应用程序。STIG是对所有DoD开发、架构和管理的应用程序和系统连接到DoD网络的强制要求。它帮助管理者和开发者配置并维护应用的安全控制。
涵盖的实体
国防部指令(DoDI)8500.01要求所有国防部的信息技术必须与网络安全政策、标准和架构保持一致。DISA负责创建和维护控制相关标识符(CCI)、安全需求指南(SRG)、安全技术实施指南(STIG)以及移动代码风险指南,确保它们遵循国防部的网络安全原则、标准和验证程序。此授权来源于DoDI 8500.01。
AppScan与应用安全和开发STIG
AppScan合规报告将帮助您理解并定位由于扫描应用程序当前安全状况导致的合规问题。该合规报告使用STIG需求ID来引用STIG需求。此外,合规报告还包括STIG中列出的需求严重级别:
- 类别I(CAT I) - 任何漏洞的利用将直接并立即导致机密性、可用性或完整性丧失。
- 类别II(CAT II) - 任何漏洞的利用可能导致机密性、可用性或完整性丧失。
- 类别III(CAT III) - 任何漏洞的存在会降低保护机密性、可用性或完整性措施的有效性。
注:
此合规报告中的发现按照类别级别分类(在每个类别级别内按时间顺序排列),但在类别级别之外不按时间顺序排列。
| 章节 | 描述 |
|---|---|
| V-222425, SV-222425r508029_rule: CAT I | 应用程序必须根据适用的访问控制策略强制执行对信息和系统资源的批准访问。 |
| V-222430, SV-222430r849431_rule: CAT I | 应用程序必须在不授予过多账户权限的情况下执行。 |
| V-222522, SV-222522r508029_rule: CAT I | 应用程序必须唯一地识别和验证组织用户(或代表组织用户的进程)。 |
| V-222542, SV-222542r508029_rule: CAT I | 应用程序只能存储密码的加密表示形式。 |
| V-222596, SV-222596r849486_rule: CAT I | 应用程序必须保护传输信息的机密性和完整性。 |
| V-222601, SV-222601r849491_rule: CAT I | 应用程序不得在隐藏字段中存储敏感信息。 |
| V-222602, SV-222602r561263_rule: CAT I | 应用程序必须防止跨站脚本(XSS)漏洞。 |
| V-222604, SV-222604r508029_rule: CAT I | 应用程序必须防止命令注入。 |
| V-222607, SV-222607r508029_rule: CAT I | 应用程序不得易受SQL注入攻击。 |
| V-222608, SV-222608r508029_rule: CAT I | 应用程序不得易受基于XML的攻击。 |
| V-222609, SV-222609r864578_rule: CAT I | 应用程序不得易受输入处理漏洞的影响。 |
| V-222612, SV-222612r864579_rule: CAT I | 应用程序不得易受溢出攻击。 |
| V-222662, SV-222662r864444_rule: CAT I | 默认密码必须更改。 |
| V-222642, SV-222642r849509_rule: CAT I | 设计人员将确保应用程序不包含嵌入式身份验证数据。 |
| V-222388, SV-222388r849416_rule: CAT II | 应用程序在会话终止时必须清除临时存储和Cookie。 |
| V-222391, SV-222391r849419_rule: CAT II | 需要用户访问身份验证的应用程序必须提供用户发起的通信会话注销功能。 |
| V-222396, SV-222396r508029_rule: CAT II | 应用程序必须实施DoD批准的加密,以保护远程访问会话的机密性。 |
| V-222397, SV-222397r508029_rule: CAT II | 应用程序必须实施加密机制以保护远程访问会话的完整性。 |
| V-222406, SV-222406r508029_rule: CAT II | 应用程序必须确保当SessionIndex与隐私数据相关联时,消息被加密。 |
| V-222429, SV-222429r849430_rule: CAT II | 应用程序必须防止非特权用户执行包括禁用、规避或更改已实施的安全保障/对策在内的特权功能。 |
| V-222513, SV-222513r864575_rule: CAT II | 应用程序必须具备防止未经验证软件组件已使用组织认可和批准的证书进行数字签名的情况下安装补丁、服务包或应用程序组件的能力。 |
| V-222515, SV-222515r508029_rule: CAT II | 必须进行应用程序漏洞评估。 |
| V-222517, SV-222517r849455_rule: CAT II | 应用程序必须采用全部拒绝、逐项许可(白名单)的策略,允许执行授权的软件程序。 |
| V-222518, SV-222518r508029_rule: CAT II | 应用程序必须被配置为禁用非必要功能。 |
| V-222523, SV-222523r508029_rule: CAT II | 应用程序必须使用多因素(替代令牌)身份验证,以访问特权账户的网络。 |
| V-222524, SV-222524r849458_rule: CAT II | 应用程序必须接受个人身份验证(PIV)凭证。 |
| V-222525, SV-222525r849459_rule: CAT II | 应用程序必须电子验证个人身份验证(PIV)凭证。 |
| V-222576, SV-222576r508029_rule: CAT II | 应用程序必须在会话Cookie上设置安全标志。 |
| V-222577, SV-222577r508029_rule: CAT II | 应用程序不得暴露会话ID。 |
| V-222579, SV-222579r508029_rule: CAT II | 应用程序必须使用能够防止会话固定的系统生成的会话标识符。 |
| V-222581, SV-222581r508029_rule: CAT II | 应用程序不得使用URL嵌入的会话ID。 |
| V-222582, SV-222582r508029_rule: CAT II | 应用程序不得重复使用或回收会话ID。 |
| V-222593, SV-222593r864576_rule: CAT II | 基于XML的应用程序必须通过使用XML过滤器、解析器选项或网关来缓解DoS攻击。 |
| V-222594, SV-222594r561257_rule: CAT II | 应用程序必须限制其发起对自身或其他信息系统的拒绝服务(DoS)攻击的能力。 |
| V-222600, SV-222600r849490_rule: CAT II | 应用程序不得向用户披露不必要的信息。 |
| V-222603, SV-222603r508029_rule: CAT II | 应用程序必须防止跨站请求伪造(CSRF)漏洞。 |
| V-222606, SV-222606r508029_rule: CAT II | 应用程序必须验证所有输入。 |
| V-222610, SV-222610r508029_rule: CAT II | 应用程序必须生成错误消息,提供必要的零纠正措施信息,而不泄露可能被对手利用的信息。 |
| V-222614, SV-222614r849497_rule: CAT II | 安全相关的软件更新和补丁必须保持最新。 |
| V-222642, SV-222642r508029_rule: CAT II | 应用程序不得包含嵌入式身份验证数据。 |
| V-222656, SV-222656r864438_rule: CAT II | 应用程序不得易受错误处理漏洞影响。 |
| V-222667, SV-222667r864449_rule: CAT II | 必须实施防止DoS攻击的保护措施。 |