Mises à jour des règles

Mises à jour des règles dans AppScan® Source version 10.8.0

Remarque :
  1. Nouvelles règles
  2. Réduction du bruit dans la règle
Langue CWE Description
ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet. 2
CWE-79 Eventuelle attaque XSS pour l'expression en ligne dans le code. 2
C# CWE-601 Redirection de demande avec des données contrôlées par l'utilisateur potentielles dans des variables. 2
CWE-185 Injection d'expression régulière.2
CWE-78 Ajusté pour réduire les constatations erronées pour l'injection OS.
HTML CWE-79 Nouvelles règles pour les extensions de fichier :
  • htm
  • html
  • rhtml
  • xhtml
  • cshtml
  • vbhtml
CWE-319
CWE-524
CWE-525
CWE-598
CWE-1021
CWE-1022
IaC CWE-798 Ajusté pour réduire les constatations erronées pour les constructions de code TypeScript.
CWE-1051 Ajusté pour réduire les constatations erronées pour les schémas IP dans des fichiers HTML.
CWE-1328 Ajusté pour réduire les constatations erronées pour les références d'image Docker.
IaC Terraform CWE-410 Configuration de l'équilibrage de charge non sécurisée.1
Java CWE-337 Seed prévisible pour l'instance SecureRandom dans le code Java.2
CWE-918 Server-Side Request Forgery dans RestTemplate().exchange. 2
CWE-185 Injection d'expression régulière dans le code Java.2
CWE-244 Mot de passe stocké dans l'objet de chaîne Java.2
JavaScript CWE-79 Utilisation non sécurisée de document.referrer.2
CWE-209 Ajusté pour réduire les résultats pollués.
CWE-359 Ajusté pour réduire les résultats pollués.
CWE-1022 Ajusté pour réduire les constatations erronées pour les constatations window.open.
PHP CWE-79 Données contrôlées par l'utilisateur dans PHP converties en HTML.2
Python Django CWE-79
  • Collecte actuelle de fichiers HTML à réviser pour Python
  • Nouvelles règles ajoutées.
CWE-89
CWE-200
CWE-201
CWE-212
CWE-352
CWE-497
CWE-522
CWE-523
CWE-795
CWE-918
CWE-1021
CWE-1188
CWE-1295
Secrets CWE-798 Informations d'authentification de base codées en dur.1
CWE-798 Recherche de mots de passe codés en dur trouvés dans les chaînes de requête d'URL.
CWE-284 Ajusté pour réduire les constatations erronées dans les constatations d'exposition de jeton des signatures d'accès partagé Azure.
VB.NET CWE-502 Désérialisation possible.2
Visual Basic CWE-78 Ajusté pour réduire les résultats pollués.
CWE-328 Ajusté pour réduire les résultats pollués.

Mises à jour des règles dans AppScan® Source version 10.7.0

  1. Nouvelles règles
  2. Nouvelles règles de correction automatique
  3. Corrections de règles
Langue CWE Modification
Informations générales CWE-319 Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées.
.NET ASP.NET CWE-1188 Etat de session sans cookie activé dans la configuration de projet ASP.NET.2
C# CWE-319 Schéma de communications ouvertes détecté.2
CWE-328 Algorithme de chiffrement faible détecté.2
CWE-327 Le générateur JWT sans vérification de signature est détecté.2
VB.NET CWE-1173 La validation de la requête HTTP est désactivée dans le code VB.2
CWE-328 Utilisation d'un algorithme cryptographique faible dans le code VB.2
Angular CWE-94 Vulnérabilité potentielle d'injection de code dans une machine virtuelle sandbox.1
CWE-312 Le stockage local évite les appels setItem liés à l'ordre de tri.
Onglet de propriétés AngularJS et AllFolders CWE-477 Appel obsolète détecté : (ng-bind-html-unsafe).2
Sommet CWE-943 Injection SOQL.2
CWE-943 Injection SOSL.2
CWE-328 Algorithme de hachage faible choisi.2
CWE-79 Attaque par script intersite (XSS) de script ou style.2
ASP CWE-319 Schéma de communications ouvertes détecté dans le code ASP.2
CWE-79 Vérifie que la validation est correcte à l'aide de Server.HTMLEncode.
C/C++ CWE-367 Utilisation potentiellement dangereuse de la fonction de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3
CWE-78 Injection potentielle de commande détectée. Couverture étendue.3
CWE-250 Appel CreateFile qui semble enfreindre le principe du moindre privilège.2
CWE-250 CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE.2
CWE-757 Utilisation non sécurisée du protocole (SSL/TLS) détectée.2
CWE-295 Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2
CWE-427 Manipulation potentielle du registre du principe du moindre privilège détectée.2
CWE-611 Traitement d'entité externe non sécurisé activé.2
ColdFusion CWE-524 Mise en cache cfCache des pages sécurisées.2
CWE-502 cfWddx ne comporte pas de validation WDDX.2
CWE-862 Client non vérifié dans cfFunction.2
CWE-319 Communications non sécurisées.2
CWE-307 Validation de soumissions multiples.2
CWE-327 Algorithme non sécurisé utilisé dans la fonction de chiffrement.2
CSS CWE-79 Adapté pour éviter les constatations erronées.
Dart CWE-522 AutoComplete activé pour les champs potentiellement sensibles.2
CWE-319 Schéma de communications ouvertes détecté avec HttpServer.2
CWE-319 Communications par socket ouvertes détectées.2
CWE-319 Schéma de communications ouvertes avec URI détecté.2
CWE-79 Utilisation non sécurisée de fenêtre ouverte dans le code Dart.2
CWE-319 Schéma de communications ouvertes détecté dans la chaîne.2
CWE-79 Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2
CWE-328 Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes.
CWE-319 Adapté pour éviter les constatations erronées.
Docker CWE-770 Limitez l'UC pour éviter une attaque par refus de service (DoS).2
CWE-770 Limitez le nombre de redémarrages en cas d'échec pour éviter un refus de service (DoS).2
Go CWE-489 Débogage du package pprop pour HTTP détecté.2
CWE-1004 Code Golang contenant un http.Cookie non sécurisé.2
CWE-319 Schéma de communications ouvertes détecté dans le code Golang.2
Groovy CWE-319 Schéma de communications ouvertes détecté dans le code Groovy.2
CWE-79 Une vulnérabilité potentielle d'attaque par script intersite détectée dans le code source Groovy a ajouté des corrections automatiques supplémentaires pour toutes les instances.2
Java CWE-489 L'activation du débogage dans la sécurité Web révèle des données dans Spring.2
CWE-1390 Ignorer les commentaires dans SAML entraîne une violation de l'authentification.2
CWE-548 Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2
CWE-276 Utilisation non sécurisée d'autorisation de fichier dans Java.2
CWE-489 Une impression de trace de pile est détectée dans le code Java.2
CWE-489 L'indicateur de débogage est défini sur true dans l'application Android.2
CWE-1188 Mode de préférences partagées incorrect détecté dans le code Android.2
JavaScript CWE-359 Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3
CWE-79 Vulnérabilité XSS potentielle détectée dans jQuery.append. Des performances plus rapides dès maintenant.3
CWE-79 Il est dangereux de contourner la méthode d'échappement Mustache.2
CWE-319 Politique non sécurisée de transmission d'événements.2
CWE-200 Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage.
CWE-913 Modifié pour éviter les constatations erronées.
Scanner de code source Java CWE-918 Recherche de SSRF dans les appels RestTemplate().exchange.
CWE-303 Recherche d'appel dangereux NoOpPasswordEncoder.getInstance.
CWE-89 Recherche de cas supplémentaires pour SQLi.
CWE-22 Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire
CWE-798 Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters.
Jquery CWE-79 Modifié pour éviter les constatations erronées.
Kotlin CWE-319 Communication ouverte détectée dans le code Kotlin.2
NodeJS CWE-614 Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2
CWE-328 Algorithme non sécurisé utilisé dans le chiffrement createCipheriv.2
CWE-295 Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de node-curl.2
CWE-78 Génération de shell d'exécution détecté.2
CWE-1004 Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2
Objective-C CWE-319 Schéma de communications ouvertes détecté dans le code Objective-C.2
CWE-798 Modifié pour éviter des constatations erronées supplémentaires.
PHP CWE-10041 Cookie sensible sans indicateur HttpOnly.2
CWE-6141 Cookie sensible dans la session HTTPS sans attribut secure.2
CWE-791 Variable PHP intégrée détectée.2
CWE-981 Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2
CWE-6111 Injection d'entité externe XML détectée dans le code PHP.2
CWE-78 Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3
CWE-644 Injection d'en-tête potentielle détectée. Couverture étendue.3
CWE-327 Utilisation d'algorithme non sécurisé détectée. Contrôles et couverture étendus.3
CWE-319 Communication ouverte détectée dans la structure PHP Symfony.2
CWE-1004 Indicateur HTTPOnly manquant ou non sécurisé dans setcookie.2
CWE-319 Schéma de communications ouvertes détecté.2
CWE-544 L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.2
CWE-798 Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code.
PL/SQL CWE-331 Utilisation non sécurisée de DBMS_RANDOM.2
Python CWE-311 URL utilisant http. Couverture étendue.3
CWE-311 Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3
CWE-367 Fichier temporaire de condition d'indétermination TOCTTOU.2
CWE-319 URL utilisant http.2
CWE-78 Injection de système d'exploitation Python.2
CWE-319 Utilisation FTP non sécurisée.2
CWE-78 Injection de commande popen.2
CWE-276 Utilisation de 777 avec umask.2
CWE-319 Correction automatique pour résoudre un remplacement erroné dans certaines circonstances.
ReactNative CWE-319 Communication ouverte détectée. Contexte corrigé et correction automatique activée.3
CWE-319 Communication ouverte détectée.2
CWE-295 Désactivation de l'épinglage SSL détecté.2
RPG CWE-319 Communication ouverte détectée dans le code.2
Ruby CWE-78 Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3
CWE-78 Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3
CWE-425 Affectation de masse Ruby.2
CWE-359 Divulgation d'informations Ruby.2
Scala CWE-319 Schéma de communications ouvertes détecté dans le code Scala.2
CWE-79 Eventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2
Secrets CWE-1051 Adresse IP codée en dur détectée. Couverture étendue.3
CWE-798 Identifiants codés en dur détectés. Couverture étendue.3
CWE-798 Evite les fichiers JS minifiés.
CWE-798 Evite d'analyser les fichiers de traduction pour réduire les erreurs
Swift CWE-319 Schéma de communications ouvertes détecté dans le code Swift.2
CWE-79 Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView.2
Terraform CWE-359 Instance AWS exposant les secrets de données utilisateur détectée.2
CWE-778 Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2
CWE-732 Le compte de service par défaut est utilisé au niveau du dossier, du projet ou de l'organisation.2
CWE-671 Le service de messagerie et les co-administrateurs ne sont pas activés dans les serveurs SQL.2
CWE-923 Vérifiez que l'accès réseau par défaut du compte de stockage Azure est défini sur Refuser.2
CWE-923 Vérifiez que la règle de pare-feu GCP n'autorise pas un accès illimité.2
CWE-732 Instance Google Compute accessible au public.2
CWE-732 Compartiment de stockage Google accessible au public.2
CWE-732 Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2
CWE-1220 Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive.
TypeScript CWE-943 Recherche une éventuelle injection NoSQL MongoDB dans des fichiers TypeScript.
CWE-943 Recherche des cas supplémentaires pour SQLi.
Visual Basic CWE-319 Schéma de communications ouvertes détecté dans le code VB.2
VueJS CWE-79 Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode.
Xamarin CWE-319 Communication ouverte détectée dans Xamarin.2