DISA 應用程式安全與開發 STIG,V6R1 合規報告

此報告顯示 DISA 應用程式安全與開發 STIG,V6R1 合規問題,這些問題在您的應用程式中發現。應用程式安全與開發安全技術實施指南(STIG)提供了整個應用程式開發生命週期中使用的安全指南。國防資訊系統局(DISA)鼓勵網站在應用程式開發過程的最早階段使用這些指南。

摘要

應用程式安全與開發 (ASD) 安全技術實施指南 (STIG) 發佈的目的是提高國防部 (DoD) 資訊系統的安全性。

涵蓋資訊

應用程式安全與開發 STIG 提供了保護透過網路連接的企業應用程式的指南。這包括客戶端應用程式、HTML 和基於瀏覽器的應用程式,使用的技術如 Java、JavaScript、.NET、雲端、RESTful 服務和面向 SOA 的網路服務。該 STIG 是所有國防部開發、架構設計及管理的應用程式和系統必須遵守的規範,適用於所有連接至國防部網路的應用程式與系統。它幫助管理者和開發人員配置和維護應用程式的安全控制。

涵蓋實體

國防部指令 (DoDI) 8500.01 規定所有國防部資訊技術必須符合網絡安全政策、標準和架構。DISA 負責創建和維護控制關聯識別符 (CCI)、安全需求指南 (SRG)、安全技術實施指南 (STIG) 以及移動代碼風險指南,確保它們遵循國防部的網絡安全原則、標準和驗證程序。這是由 DoDI 8500.01 授權的。

AppScan 和應用程式安全與開發 STIG

AppScan 合規報告將幫助您了解並定位由於當前應用程式的安全狀態而導致的合規問題。此合規報告使用 STIG 要求 ID 來引用 STIG 的要求。此外,合規報告還包括 STIG 的需求嚴重性等級,如下所示:

  • 第一類別 (CAT I) - 任何漏洞,利用該漏洞將直接且立即導致機密性、可用性或完整性的喪失。
  • 第二類別 (CAT II) - 任何漏洞,利用該漏洞可能導致機密性、可用性或完整性的喪失。
  • 第三類別 (CAT III) - 任何漏洞,其存在會降低保護機密性、可用性或完整性的措施。
註: 此合規報告中的發現依據類別等級組織(並在每個類別等級內按時間順序排序),但不會在類別等級之外按時間順序排列。
1. 部分和描述
部分 描述
V-222425, SV-222425r508029_rule: CAT I 應用程式必須根據適用的存取控制政策,強制執行已核准的邏輯訪問授權,用於資訊和系統資源。
V-222430, SV-222430r849431_rule: CAT I 應用程式必須在不使用過多帳戶權限的情況下執行。
V-222522, SV-222522r508029_rule: CAT I 應用程式必須唯一識別和驗證組織用戶(或代表組織用戶行事的程序)。
V-222542, SV-222542r508029_rule: CAT I 應用程式只能存儲密碼的加密表示。
V-222596, SV-222596r849486_rule: CAT I 應用程式必須保護傳輸資訊的機密性和完整性。
V-222601, SV-222601r849491_rule: CAT I 應用程式不得在隱藏欄位中存儲敏感資訊。
V-222602, SV-222602r561263_rule: CAT I 應用程式必須防範跨站腳本 (XSS) 漏洞。
V-222604, SV-222604r508029_rule: CAT I 應用程式必須防範命令注入。
V-222607, SV-222607r508029_rule: CAT I 應用程式不得對 SQL 注入攻擊存在漏洞。
V-222608, SV-222608r508029_rule: CAT I 應用程式不得對基於 XML 的攻擊存在漏洞。
V-222609, SV-222609r864578_rule: CAT I 應用程式不得存在輸入處理漏洞。
V-222612, SV-222612r864579_rule: CAT I 應用程式不得對溢位攻擊存在漏洞。
V-222662, SV-222662r864444_rule: CAT I 預設密碼必須更改。
V-222642, SV-222642r849509_rule: CAT I 設計師應確保應用程式不包含嵌入的驗證數據。
V-222388, SV-222388r849416_rule: CAT II 應用程式必須在會話結束時清除臨時存儲和 cookie。
V-222391, SV-222391r849419_rule: CAT II 需要用戶存取驗證的應用程式必須提供用戶發起的通信會話登出功能。
V-222396, SV-222396r508029_rule: CAT II 應用程式必須實施國防部批准的加密,以保護遠端存取會話的機密性。
V-222397, SV-222397r508029_rule: CAT II 應用程式必須實施加密機制,以保護遠端存取會話的完整性。
V-222406, SV-222406r508029_rule: CAT II 應用程式必須確保當 SessionIndex 與隱私數據相關時,消息是加密的。
V-222429, SV-222429r849430_rule: CAT II 應用程式必須防止非特權用戶執行特權功能,包括禁用、規避或更改已實施的安全保護措施/對策。
V-222513, SV-222513r864575_rule: CAT II 應用程式必須具有防止在未驗證軟體組件已使用組織認可且批准的證書進行數位簽名的情況下安裝補丁、服務包或應用程式組件的能力。
V-222515, SV-222515r508029_rule: CAT II 必須進行應用程式漏洞評估。
V-222517, SV-222517r849455_rule: CAT II 應用程式必須採用拒絕所有,通過例外許可(白名單)策略,以允許執行授權的軟體程序。
V-222518, SV-222518r508029_rule: CAT II 應用程式必須配置為禁用非必要功能。
V-222523, SV-222523r508029_rule: CAT II 應用程式必須對網絡存取特權帳戶使用多因素(替代令牌)驗證。
V-222524, SV-222524r849458_rule: CAT II 應用程式必須接受個人身份驗證 (PIV) 憑證。
V-222525, SV-222525r849459_rule: CAT II 應用程式必須電子驗證個人身份驗證 (PIV) 憑證。
V-222576, SV-222576r508029_rule: CAT II 應用程式必須為會話 cookie 設置安全標誌。
V-222577, SV-222577r508029_rule: CAT II 應用程式不得暴露會話 ID。
V-222579, SV-222579r508029_rule: CAT II 應用程式必須使用防止會話固定攻擊的系統生成的會話標識符。
V-222581, SV-222581r508029_rule: CAT II 應用程式不得使用嵌入 URL 的會話 ID。
V-222582, SV-222582r508029_rule: CAT II 應用程式不得重複使用或循環使用會話 ID。
V-222593, SV-222593r864576_rule: CAT II 基於 XML 的應用程式必須通過使用 XML 篩選器、解析器選項或閘道來減輕 DoS 攻擊。
V-222594, SV-222594r561257_rule: CAT II 應用程式必須限制啟動對其自身或其他資訊系統的拒絕服務 (DoS) 攻擊的能力。
V-222600, SV-222600r849490_rule: CAT II 應用程式不得向用戶透露不必要的資訊。
V-222603, SV-222603r508029_rule: CAT II 應用程式必須防止跨站請求偽造 (CSRF) 漏洞。
V-222606, SV-222606r508029_rule: CAT II 應用程式必須驗證所有輸入。
V-222610, SV-222610r508029_rule: CAT II 應用程式必須生成錯誤消息,這些錯誤消息應提供必要的信息以進行零矯正操作,而不會洩露可能被對手利用的資訊。
V-222614, SV-222614r849497_rule: CAT II 安全相關的軟體更新和補丁必須保持最新。
V-222642, SV-222642r508029_rule: CAT II 應用程式不得包含嵌入的驗證數據。
V-222656, SV-222656r864438_rule: CAT II 應用程式不得存在錯誤處理漏洞。
V-222667, SV-222667r864449_rule: CAT II 必須實施針對 DoS 攻擊的防護措施。