Mises à jour des règles

Mises à jour des règles dans AppScan® Source version 10.10.0

Langue CWE Description
C# CWE-89 Réduction du bruit en détection SQLi.
CSS CWE-79 Réduction du bruit détecté lors de la vérification des variables codées en dur dans les fichiers .css.
Go CWE-79 Réduction du bruit produit lors de la vérification fprintf.
Docker IaC CWE-22 Vérification de l'ajout de chemins sensibles dans DockerFile.
Kubernetes IaC CWE-209 Ajout d'une vérification du code de trace de pile laissé dans les fichiers de configuration .yaml.
Java CWE-78 Recherche les appels en ligne de Runtime.getRunTime().
CWE-757 Amélioration de la liste des éléments considérés comme non sécurisés et défectueux.
CWE-916 Vérification du nombre d'itérations faibles pour PBEKeySpec et PBEParameterSpec.
CWE-1188 Vérification du déni de service avec le constructeur StringBuilder à l'aide de valeurs importantes ou contrôlées par l'utilisateur.
CWE-209 Vérification de l'utilisation de System.out et System.err dans le code (appels de débogage qui devraient être supprimés du code de production).
PDP CWE-89 Ajout d'une vérification de validation pour sqlite_escape_string.
Python CWE-78 Vérifie l'absence d'utilisation dangereuse de os.system.
CWE-79 Amélioration de la clarté de la règle pour Python Django.
Secrets CWE-798 Certains schémas erronés ont été supprimés en tant que constatation.
CWE-798 Recherche des informations d'identification codées en dur dans les fichiers web.config.
CWE-1051 Vérification des adresses IP codées en dur ajustée pour éviter les chaînes qui semblent être des adresses IP, mais qui ne le sont pas.
CWE-1051 Suppression des schémas erronés pour la vérification des adresses IP codées en dur.
CWE-798 Suppression des schémas erronés pour les informations d'identification codées en dur :
  • Contournement des schémas erronés dans le code Rust.
  • Ajout de vérifications dans Secrets - Creds - Key : règle de paire de valeurs pour éliminer les constatations sans guillemets pour les fichiers Python.
  • Ajout d'une vérification pour filtrer les mots de passe erronés tels que 1234, wrongpassword, testpassword et noreply.
  • Ajustement d'autres extraits pour éliminer les constatations telles que les mots de passe avec 1234.
  • Actuellement, la règle de paire clé:valeur recherche le contexte jusqu'à la fin de la ligne. Ainsi, il faut supprimer les caractères de fin de ligne qui contiennent , ou ".
CWE-1051 Réduction du bruit : la vérification des adresses IP codées en dur permet d'éviter les numéros de version probables
CWE-798 Réduction du bruit dans la détection des secrets Atlassian.
CWE-798 Réduction du bruit dans les paires clé/valeur des secrets.
CWE-798 Couverture supplémentaire pour rechercher les mots de passe contenant 1234 dans la chaîne en tant que partie intégrante du mot de passe codé en dur.

Mises à jour des règles dans AppScan® Source version 10.9.0

Remarque :
  1. Nouvelles règles
Langue CWE Description
Tous les langages CWE-798 Réduction du bruit améliorée
C# CWE-1333 Vérification des délais appliqués aux objets RegEx1
CWE-89 Nouvelles captures de SQLi via la création de la requête String.Append
Informations de sécurité mises à jour pour Microsoft.CodeAnalysis.CSharp.Scripting et Microsoft.AspNetCore.Mvc.ViewFeatures
Examen de code source C# CWE-94 Rechercher CSharpScript.EvaluateAsync.1
CWE-532 Vérifier l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe.1
CWE-111 Vérifier l'absence d'utilisations dangereuses de DllImport.1
ColdFusion CWE-328 Réglage de la vérification pour améliorer les performances
HTML CWE-319 Éviter le bruit de type localhost dans l'URL
IaC CWE-311 Vérification supplémentaire des paramètres TLS appropriés dans Amazon Load Balancer
Examen de code source Java CWE-532 Vérifier l'enregistrement des informations personnelles identifiables (PII), telles que les noms d'utilisateur ou les mots de passe.1
CWE-102 Recherchez les noms de formulaires en double dans les fichiers XML de validation Struts.1
CWE-104 Recherchez une classe qui étend un ActionForm sans validation.1
JavaScript CWE-598 Recherche de défauts URLSearchParams dans les fichiers JavaScript.1
PHP CWE-111 Vérifiez les utilisations de FFI::cdef contenant des appels dangereux.1
Python CWE-502 Recherche d'une réflexion dangereuse dans Java1
CWE-111 Vérifiez les utilisations de ctypes.DLL n'utilisant pas un chemin complet pour l'argument.1

Mises à jour des règles dans AppScan® Source version 10.8.0

Remarque :
  1. Nouvelles règles
  2. Réduction du bruit dans la règle
Langue CWE Description
ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet. 2
CWE-79 Eventuelle attaque XSS pour l'expression en ligne dans le code. 2
C# CWE-601 Redirection de demande avec des données contrôlées par l'utilisateur potentielles dans des variables. 2
CWE-185 Injection d'expression régulière.2
CWE-78 Ajusté pour réduire les constatations erronées pour l'injection OS.
HTML CWE-79 Nouvelles règles pour les extensions de fichier :
  • htm
  • html
  • rhtml
  • xhtml
  • cshtml
  • vbhtml
CWE-319
CWE-524
CWE-525
CWE-598
CWE-1021
CWE-1022
IaC CWE-798 Ajusté pour réduire les constatations erronées pour les constructions de code TypeScript.
CWE-1051 Ajusté pour réduire les constatations erronées pour les schémas IP dans des fichiers HTML.
CWE-1328 Ajusté pour réduire les constatations erronées pour les références d'image Docker.
IaC Terraform CWE-410 Configuration de l'équilibrage de charge non sécurisée.1
Java CWE-337 Seed prévisible pour l'instance SecureRandom dans le code Java.2
CWE-918 Server-Side Request Forgery dans RestTemplate().exchange. 2
CWE-185 Injection d'expression régulière dans le code Java.2
CWE-244 Mot de passe stocké dans l'objet de chaîne Java.2
JavaScript CWE-79 Utilisation non sécurisée de document.referrer.2
CWE-209 Ajusté pour réduire les résultats pollués.
CWE-359 Ajusté pour réduire les résultats pollués.
CWE-1022 Ajusté pour réduire les constatations erronées pour les constatations window.open.
PHP CWE-79 Données contrôlées par l'utilisateur dans PHP converties en HTML.2
Python Django CWE-79
  • Collecte actuelle de fichiers HTML à réviser pour Python
  • Nouvelles règles ajoutées.
CWE-89
CWE-200
CWE-201
CWE-212
CWE-352
CWE-497
CWE-522
CWE-523
CWE-795
CWE-918
CWE-1021
CWE-1188
CWE-1295
Secrets CWE-798 Informations d'authentification de base codées en dur.1
CWE-798 Recherche de mots de passe codés en dur trouvés dans les chaînes de requête d'URL.
CWE-284 Ajusté pour réduire les constatations erronées dans les constatations d'exposition de jeton des signatures d'accès partagé Azure.
VB.NET CWE-502 Désérialisation possible.2
Visual Basic CWE-78 Ajusté pour réduire les résultats pollués.
CWE-328 Ajusté pour réduire les résultats pollués.

Mises à jour des règles dans AppScan® Source version 10.7.0

  1. Nouvelles règles
  2. Corrections de règles
Langue CWE Modification
Informations générales CWE-319 Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées.
.NET ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet ASP.NET.
C# CWE-319 Schéma de communications ouvertes détecté.
CWE-328 Algorithme de chiffrement faible détecté.
CWE-327 Le générateur JWT sans vérification de signature est détecté.
VB.NET CWE-1173 La validation de la requête HTTP est désactivée dans le code VB.
CWE-328 Utilisation d'un algorithme cryptographique faible dans le code VB.
Angular CWE-94 Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1
CWE-312 Le stockage local évite les appels setItem liés à l'ordre de tri.
Onglet de propriétés AngularJS et AllFolders CWE-477 Appel obsolète détecté : (ng-bind-html-unsafe).
Sommet CWE-943 Injection SOQL.
CWE-943 Injection SOSL.
CWE-328 Algorithme de hachage faible choisi.
CWE-79 Attaque par script intersite (XSS) de script ou style.
ASP CWE-319 Schéma de communications ouvertes détecté dans le code ASP.
CWE-79 Vérifie que la validation est correcte à l'aide de Server.HTMLEncode.
C/C++ CWE-367 Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé.2
CWE-78 Injection potentielle de commande détectée. Couverture étendue.2
CWE-250 Appel CreateFile qui semble enfreindre le principe du moindre privilège.
CWE-250 CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE.
CWE-757 Utilisation non sécurisée du protocole (SSL/TLS) détectée.
CWE-295 Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).
CWE-427 Manipulation potentielle du registre du principe du moindre privilège détectée.
CWE-611 Traitement d'entité externe non sécurisé activé.
ColdFusion CWE-524 Mise en cache cfCache des pages sécurisées.
CWE-502 cfWddx ne comporte pas de validation WDDX.
CWE-862 Client non vérifié dans cfFunction.
CWE-319 Communications non sécurisées.
CWE-307 Validation de soumissions multiples.
CWE-327 Algorithme non sécurisé utilisé dans la fonction de chiffrement.
CSS CWE-79 Adapté pour éviter les constatations erronées.
Dart CWE-522 AutoComplete activé pour les champs potentiellement sensibles.
CWE-319 Schéma de communications ouvertes détecté avec HttpServer.
CWE-319 Communications par socket ouvertes détectées.
CWE-319 Schéma de communications ouvertes avec URI détecté.
CWE-79 Utilisation non sécurisée de fenêtre ouverte dans le code Dart.
CWE-319 Schéma de communications ouvertes détecté dans la chaîne.
CWE-79 Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.
CWE-328 Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes.
CWE-319 Adapté pour éviter les constatations erronées.
Docker CWE-770 Limitez l'UC pour éviter une attaque par refus de service (DoS).
CWE-770 Limitez le nombre de relances en cas d'échec pour éviter un refus de service (DoS).
Go CWE-489 Débogage du package pprof pour HTTP détecté.
CWE-1004 Code Golang contenant un http.Cookie non sécurisé.
CWE-319 Schéma de communications ouvertes détecté dans le code Golang.
Groovy CWE-319 Schéma de communications ouvertes détecté dans le code Groovy.
CWE-79 Vulnérabilité d'attaque par script intersite potentielle détectée dans le code source Groovy.
Java CWE-489 L'activation du débogage dans la sécurité Web révèle des données dans Spring.
CWE-1390 Ignorer les commentaires dans SAML entraîne une violation de l'authentification.
CWE-548 Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.
CWE-276 Utilisation non sécurisée d'autorisation de fichier dans Java.
CWE-489 Une impression de trace de pile est détectée dans le code Java.
CWE-489 L'indicateur de débogage est défini sur true dans l'application Android.
CWE-1188 Mode de préférences partagées incorrect détecté dans le code Android.
JavaScript CWE-359 Stratégie non sécurisée de transmission d'événements : contexte corrigé.2
CWE-79 Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.2
CWE-79 Il est dangereux de contourner la méthode d'échappement Mustache.
CWE-319 Stratégie non sécurisée de transmission d'événements.
CWE-200 Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage.
CWE-913 Modifié pour éviter les constatations erronées.
Examen de code source Java CWE-918 Recherche de SSRF dans les appels RestTemplate().exchange.
CWE-303 Recherche d'appel dangereux NoOpPasswordEncoder.getInstance.
CWE-89 Recherche de cas supplémentaires pour SQLi.
CWE-22 Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire
CWE-798 Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters.
Jquery CWE-79 Modifié pour éviter les constatations erronées.
Kotlin CWE-319 Communication ouverte détectée dans le code Kotlin.
NodeJS CWE-614 Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou d'un indicateur de sécurité manquant.
CWE-328 Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.
CWE-295 Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.
CWE-78 Génération de shell d'exécution détectée.
CWE-1004 Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.
Objective-C CWE-319 Schéma de communications ouvertes détecté dans le code Objective-C.
CWE-798 Modifié pour éviter des constatations erronées supplémentaires.
PHP CWE-10041 Cookie sensible sans indicateur HttpOnly.
CWE-6141 Cookie sensible dans la session HTTPS sans attribut secure.
CWE-791 Variable PHP intégrée détectée.
CWE-981 Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.
CWE-6111 Injection d'entité externe XML détectée dans le code PHP.
CWE-78 Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.2
CWE-644 Injection d'en-tête potentielle détectée. Couverture étendue.2
CWE-327 Utilisation d'algorithme non sécurisé détectée. Contrôles et couverture étendus.2
CWE-319 Communication ouverte détectée dans la structure PHP Symfony.
CWE-1004 Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.
CWE-319 Schéma de communications ouvertes détecté.
CWE-544 L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.
CWE-798 Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code.
PL/SQL CWE-331 Utilisation non sécurisée de DBMS_RANDOM.
Python CWE-311 URL utilisant http. Couverture étendue.2
CWE-311 Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixée.2
CWE-367 Fichier temporaire de condition d'indétermination TOCTTOU.
CWE-319 URL utilisant http.
CWE-78 Injection de système d'exploitation Python.
CWE-319 Utilisation FTP non sécurisée.
CWE-78 Injection de commande popen.
CWE-276 Utilisation de 777 avec umask.
ReactNative CWE-319 Communication ouverte détectée. Contexte corrigé.2
CWE-319 Communication ouverte détectée.
CWE-295 Désactivation de l'épinglage SSL détecté.
RPG CWE-319 Communication ouverte détectée dans le code.
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.2
CWE-78 Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.2
CWE-425 Affectation de masse Ruby.
CWE-359 Divulgation d'informations Ruby.
Scala CWE-319 Schéma de communications ouvertes détecté dans le code Scala.
CWE-79 Vulnérabilité potentielle de script côté client via l'accès aux cookies détectée dans le code source Scala.
Secrets CWE-1051 Adresse IP codée en dur détectée. Couverture étendue.2
CWE-798 Identifiants codés en dur détectés. Couverture étendue.2
CWE-798 Evite les fichiers JS minifiés.
CWE-798 Evite d'analyser les fichiers de traduction pour réduire les erreurs
Swift CWE-319 Schéma de communications ouvertes détecté dans le code Swift.
CWE-79 Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.
Terraform CWE-359 Instance AWS exposant les secrets de données utilisateur détectée.
CWE-778 Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.
CWE-732 Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.
CWE-671 Le service de messagerie et les co-administrateurs ne sont pas activés dans les SQL Server.
CWE-923 Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.
CWE-923 Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.
CWE-732 Instance Google Compute accessible au public.
CWE-732 Compartiment de stockage Google accessible au public.
CWE-732 Autorisations d'accès non sécurisées pour le compartiment Amazon S3.
CWE-1220 Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive.
TypeScript CWE-943 Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript.
CWE-943 Recherche des cas supplémentaires pour SQLi.
Visual Basic CWE-319 Schéma de communications ouvertes détecté dans le code VB.
VueJS CWE-79 Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode.
Xamarin CWE-319 Communication ouverte détectée dans Xamarin.