ルールの更新

AppScan® Source バージョン 10.7.0 のルールの更新

  1. 新規ルール
  2. 新しい自動修正ルール
  3. ルール修正
言語 CWE 変更
一般 CWE-319 すべての言語のオープン通信ルールをより適切に処理し、ノイズの多い検出結果を回避する。
.NET ASP.NET CWE-1188 ASP.NET プロジェクト設定で Cookieless セッション状態が有効化されている。2
C# CWE-319 オープン通信スキームの検出。2
CWE-328 脆弱な暗号アルゴリズムの検出。2
CWE-327 署名検証のない JWT ビルダーの検出。2
VB.NET CWE-1173 VB コードで HTTP 要求検証が無効になっている。2
CWE-328 VB コードでの脆弱な暗号化アルゴリズムの使用。2
Angular CWE-94 サンドボックス VM に存在する潜在的なコードインジェクションの脆弱性。1
CWE-312 ローカルストレージが並べ替えの方向に関連する setItem 呼び出しを回避する。
Angular.js CWE-477 見つかった非推奨の呼び出し: (ng-bind-html-unsafe)。2
Apex CWE-943 SOQL インジェクション。2
CWE-943 SOSL インジェクション。2
CWE-328 脆弱なハッシュ・アルゴリズムが選択されている。2
CWE-79 スクリプトまたはスタイルのクロスサイト・スクリプティング (XSS)。2
ASP CWE-319 ASP コードで検出されたオープン通信スキーム。2
CWE-79 Server.HTMLEncode を使用して適切な検証を確認する。
C/C++ CWE-367 危険である可能性のある一時ファイル名関数の使用。コンテキストの修正および自動修正の有効化。3.
CWE-78 潜在的なコマンド・インジェクションの検出。範囲の拡大。3
CWE-250 最小権限の原則に違反していると思われる CreateFile 呼び出し。2
CWE-250 CreateNamedPipeFILE_FLAG_FIRST_PIPE_INSTANCE フラグがない。2
CWE-757 (SSL/TLS) プロトコルの安全でない使用の発見。2
CWE-295 危険の可能性のある Curl 設定の使用の発見 (このカテゴリーには 7 つの異なるルールがある)。2
CWE-427 潜在的な最小権限の原則のレジストリー操作の検出。2
CWE-611 安全でない外部エンティティー処理の有効化。2
ColdFusion CWE-524 cfCache が安全なページをキャッシング。2
CWE-502 cfWddx に WDDX 検証がない。2
CWE-862 cfFunction でクライアントが検証されない。2
CWE-319 安全でない通信。2
CWE-307 複数送信の検証。2
CWE-327 暗号化機能での安全でないアルゴリズムの使用。2
CSS CWE-79 ノイズの多い検出結果を回避するための調整。
Dart CWE-522 潜在的に機密性の高いフィールドに対して AutoComplete がオンになっている。2
CWE-319 HttpServer でのオープン通信スキームの検出。2
CWE-319 オープンソケット通信の検出。2
CWE-319 Uri を使用したオープン通信スキームの検出。2
CWE-79 DART コードで開かれているウィンドウの安全でない使用。2
CWE-319 ストリングで検出されたオープン通信スキーム。2
CWE-79 安全でないコンテンツ・セキュリティ・ポリシー・キーワードの発見。2
CWE-328 検出結果を提示する際の選択性を高め、明らかにノイズである検出結果を回避。
CWE-319 ノイズの多い検出結果を回避するための調整。
Docker CWE-770 サービス拒否 (DoS) 攻撃を防ぐために CPU を制限。2
CWE-770 サービス拒否 (DoS) 攻撃を防止するために失敗時の再起動回数を制限。2
Go CWE-489 HTTP 用のデバッグ・パッケージ pprof を検出。2
CWE-1004 Golang コードに安全でない http.Cookie が含まれている。2
CWE-319 Golang コードで検出されたオープン通信スキーム。2
Groovy CWE-319 Groovy コードで検出されたオープン通信スキーム。2
CWE-79 Groovy ソース・コードで検出された潜在的なクロスサイト・スクリプティングの脆弱性により、すべてのインスタンスに追加の自動修正が追加された。2
Java CWE-489 Web セキュリティーでデバッグを有効にすると、Spring のデータが公開される。2
CWE-1390 SAML のコメントを無視すると、認証が失敗する。2
CWE-548 tomcat 設定のデフォルト・サーブレットのディレクトリー・リストが安全ではない。2
CWE-276 Java で安全でないファイル許可の使用を検出。2
CWE-489 Java コードでプリント・スタック・トレースを検出。2
CWE-489 Android アプリケーションでデバッグ可能フラグが true に設定されている。2
CWE-1188 Android コードで検出された不適切な共用プリファレンス・モード。2
JavaScript CWE-359 安全でないイベント送信ポリシー: コンテキストの修正および自動修正の有効化。3
CWE-79 jQuery.append で潜在的な XSS の脆弱性を検出。現在はパフォーマンスが向上。3
CWE-79 Mustache エスケープ・メソッドをオーバーライドするのは危険。2
CWE-319 安全でないイベント送信ポリシー。2
CWE-200 危険なターゲット・オリジン・チェックのチェックが window.postMessage 呼び出しに追加された。
CWE-913 ノイズの多い検出結果を避けるための変更。
Java ソース・コード・スキャナー CWE-918 RestTemplate().exchange 呼び出しで SSRF を検索。
CWE-303 NoOpPasswordEncoder.getInstance の危険な呼び出しを検索。
CWE-89 SQLi の追加ケースを検索。
CWE-22 起こり得るパス・トラバーサルの問題をより多くの場所で検索
CWE-798 HashMap.put 呼び出しおよびセッターでハードコードされた資格情報を検索。
Jquery CWE-79 ノイズの多い検出結果を避けるための変更。
Kotlin CWE-319 Kotlin コードで検出されたオープン通信。2
NodeJS CWE-614 Cookie のセキュリティー・フラグが欠落している、またはフラグがセキュアでない値に設定されている。2
CWE-328 暗号化機能 createCipheriv での安全でないアルゴリズムの使用。2
CWE-295 node-curl の無効化のための SSL 証明書の検証の安全でない設定。2
CWE-78 Exec シェル生成の検出。2
CWE-1004 欠落している HTTPOnly cookie 属性の安全でない設定。2
Objective-C CWE-319 Objective-C コードで検出されたオープン通信スキーム。2
CWE-798 追加のノイズの多い検出結果を避けるための変更。
PHP CWE-100411 HttpOnly フラグのない機密 Cookie。2
CWE-61411 secure 属性のない HTTPS セッションの機密 Cookie。2
CWE-7911 組み込み PHP 変数の検出。2
CWE-9811 PHP コードで検出された潜在的なファイル・インクルージョンの脆弱性。2
CWE-61111 PHP コードで検出された XML 外部エンティティー・インジェクション。2
CWE-78 ユーザー提供データを使用する可能性のある PHP コマンド実行。範囲の拡大。3
CWE-644 潜在的なヘッダー・インジェクションの検出。範囲の拡大。3
CWE-327 安全でないアルゴリズムの使用が検出されたことにより、チェックが拡張された。範囲の拡大。3
CWE-319 PHP Symfony フレームワークで検出されたオープン通信。2
CWE-1004 setcookieHTTPOnly フラグがないか、安全でない。2
CWE-319 オープン通信スキームの検出。2
CWE-544 error_reporting ディレクティブがエラー・レポートの可能な最高レベルを許可するように設定されていない2
CWE-798 値をチェックし、コードに格納されている考え得るプレーン・テキストのパスワードを表すストリング・リテラルであるかどうかを確認する。
PL/SQL CWE-331 DBMS_RANDOM. の安全でない使用。2
Python CWE-311 http を使用する URL。範囲の拡大。3
CWE-311 TOCTTOU 競合状態の一時ファイル。範囲の固定および自動修正の有効化。3
CWE-367 TOCTTOU 競合状態の一時ファイル。2
CWE-319 http を使用する URL。2
CWE-78 Python OS インジェクション。2
CWE-319 安全でない FTP の使用。2
CWE-78 Popen コマンド・インジェクション。2
CWE-276 777 を umask とともに使用。2
CWE-319 状況次第で誤った置き換えに対処するように自動修正を修正。
ReactNative CWE-319 検出されたオープン通信。コンテキストの修正および自動修正の有効化。3.
CWE-319 検出されたオープン通信。2
CWE-295 検出された SSL Pinning の無効化。2
RPG CWE-319 コードで検出されたオープン通信。2
Ruby CWE-78 バックチックの正規表現の安全でない使用を改善する必要がある。範囲の拡大。3
CWE-78 バックチックの安全でない使用。範囲の拡大。3
CWE-425 Ruby 一括割り当て。2
CWE-359 Ruby 情報の開示。2
Scala CWE-319 Scala コードで検出されたオープン通信スキーム。2
CWE-79 Scala ソース・コードで検出された、Cookie アクセス経由の潜在的なクライアント・サイド・スクリプティング脆弱性。2
シークレット CWE-1051 ハードコーディングされた IP アドレスの検出。範囲の拡大。3
CWE-798 ハードコーディングされた資格情報の検出。範囲の拡大。3
CWE-798 最小化された JS ファイルを回避。
CWE-798 翻訳ファイルの分析を回避して、ノイズを軽減
Swift CWE-319 Swift コードで検出されたオープン通信スキーム。2
CWE-79 iOS UIWebViewloadRequest() を使用するときに潜在的なクロスサイト・スクリプティング脆弱性。2
Terraform CWE-359 ユーザー・データ・シークレットを公開する AWS インスタンスの検出。2
CWE-778 Azure ログ監視プロファイルは、すべての必須カテゴリーを定義する必要がある。2
CWE-732 デフォルトのサービス・アカウントが、フォルダー、プロジェクト、または組織レベルで使用されている。2
CWE-671 メール・サービスと共同管理者が SQL サーバーで有効になっていない。2
CWE-923 Azure ストレージ・アカウントのデフォルト・ネットワーク・アクセスが「Deny」に設定されないようにする。2
CWE-923 GCP ファイアウォール・ルールで無制限のアクセスが許可されないようにする。2
CWE-732 Google Compute インスタンスが一般にアクセス可能になっている。2
CWE-732 Google ストレージ・バケットが一般にアクセス可能になっている。2
CWE-732 Amazon S3 バケットに対する安全でないアクセス許可。2
CWE-1220 エグレス・セキュリティー・グループ cidr_blocks の新しいルール・チェックの設定が寛容すぎる。
TypeScript CWE-943 TypeScript ファイルで NoSQL MongoDB インジェクションを検索。
CWE-943 SQLi の追加ケースを検索。
Visual Basic CWE-319 VB コードで検出されたオープン通信スキーム。2
VueJS CWE-79 メソッド宣言で見つかった場合に検出結果が生成されないように調整されている。
Xamarin CWE-319 Xamarin で検出されたオープン通信。2