Rapport de conformité STIG sur la sécurité et le développement des applications de DISA, V5R3
Ce rapport affiche les problèmes de sécurité des applications et de développement STIG, V5R3 de DISA détectés sur votre application. Le document Application Security and Development Security Technical Implementation Guide (STIG) propose des conseils de sécurité applicables durant le cycle complet de développement d'application. La Defense Information Systems Agency (DISA) encourage les sites à mettre en œuvre ces conseils dès le début du processus de développement d'application.
Résumé
Le Guide technique de mise en œuvre de la sécurité (STIG) de la sécurité et du développement des applications (ASD) est publié en tant qu'outil visant à améliorer la sécurité des systèmes d'information du ministère de la Défense (DoD).
Informations couvertes
Le STIG sur la sécurité et le développement des applications fournit des lignes directrices pour sécuriser les applications d'entreprise connectées via un réseau, y compris les applications clientes, HTML et les applications basées sur un navigateur utilisant diverses technologies Web. Le STIG est obligatoire pour toutes les applications et systèmes développés, architecturés et administrés par le DoD et connectés aux réseaux du DoD. Il aide les gestionnaires et les développeurs à configurer et à maintenir les contrôles de sécurité des applications.
Entités couvertes
DoDI 8500.01 exige que toutes les technologies de l'information du DoD soient alignées sur les politiques, normes et architectures de cybersécurité. DISA est responsable de la création et de la maintenance des identifiants de corrélation de contrôle (CCI), des guides d'exigences de sécurité (SRG), des guides de mise en œuvre technique de sécurité (STIG) et des directives sur les risques du code mobile, en garantissant qu'ils respectent les principes, normes et procédures de validation de cybersécurité du DoD. Ceci est autorisé par DoDI 8500.01.
AppScan et le STIG de sécurité et de développement des applications
Le rapport de conformité AppScan vous aidera à comprendre et à localiser les problèmes de conformité dus à l'état de sécurité actuel de l'application analysée. Il utilise l'ID des exigences STIG pour faire référence aux exigences STIG. De plus, le rapport de conformité inclut le niveau de gravité des exigences du STIG, telles qu'elles apparaissent dans ce document :
- Catégorie I (CAT I) - Toute vulnérabilité dont l'exploitation entraînera directement et immédiatement une perte de confidentialité, de disponibilité ou d'intégrité.
- Catégorie II (CAT II) - Toute vulnérabilité dont l'exploitation peut entraîner une perte de confidentialité, de disponibilité ou d'intégrité.
- Catégorie III (CAT III) : toute vulnérabilité dont l'existence dégrade les mesures destinées à se prémunir contre la perte de confidentialité, de disponibilité ou d'intégrité.
| Sections | Description |
|---|---|
| V-222425, SV-222425r508029_rule : CAT I | L'application doit appliquer les autorisations approuvées pour l'accès logique aux informations et aux ressources système conformément aux politiques de contrôle d'accès applicables. |
| V-222430, SV-222430r849431_rule : CAT I | L'application doit s'exécuter sans autorisations de compte excessives. |
| V-222522, SV-222522r508029_rule : CAT I | L'application doit identifier et authentifier de manière unique les utilisateurs de l'organisation (ou les processus agissant au nom des utilisateurs de l'organisation). |
| V-222542, SV-222542r508029_rule : CAT I | L'application doit uniquement stocker des représentations cryptographiques des mots de passe. |
| V-222596, SV-222596r849486_rule : CAT I | La demande doit protéger la confidentialité et l’intégrité des informations transmises. |
| V-222601, SV-222601r849491_rule : CAT I | L'application ne doit pas stocker d'informations sensibles dans des champs masqués. |
| V-222602, SV-222602r561263_rule : CAT I | L'application doit se protéger contre les vulnérabilités Cross-Site Scripting (XSS). |
| V-222604, SV-222604r508029_rule : CAT I | L'application doit protéger contre l'injection de commandes. |
| V-222607, SV-222607r508029_rule : CAT I | L'application ne doit pas être vulnérable à l'injection SQL. |
| V-222608, SV-222608r508029_rule : CAT I | L'application ne doit pas être vulnérable aux attaques orientées XML. |
| V-222609, SV-222609r864578_rule : CAT I | L’application ne doit pas être soumise à des vulnérabilités de gestion des entrées. |
| V-222612, SV-222612r864579_rule : CAT I | L'application ne doit pas être vulnérable aux attaques par débordement. |
| V-222662, SV-222662r864444_rule : CAT I | Les mots de passe par défaut doivent être modifiés. |
| V-222642, SV-222642r849509_rule : CAT I | Le concepteur s'assurera que l'application ne contient pas de données d'authentification intégrées. |
| V-222388, SV-222388r849416_rule : CAT II | L'application doit effacer le stockage temporaire et les cookies à la fin de la session. |
| V-222391, SV-222391r849419_rule : CAT II | Les applications nécessitant une authentification de l'accès utilisateur doivent fournir une capacité de déconnexion pour la session de communication initiée par l'utilisateur. |
| V-222396, SV-222396r508029_rule : CAT II | L'application doit mettre en œuvre un cryptage approuvé par le DoD pour protéger la confidentialité des sessions d'accès à distance. |
| V-222397, SV-222397r508029_rule : CAT II | L'application doit mettre en œuvre des mécanismes cryptographiques pour protéger l'intégrité des sessions d'accès à distance. |
| V-222406, SV-222406r508029_rule : CAT II | L'application doit garantir que les messages sont cryptés lorsque le SessionIndex est lié aux données de confidentialité. |
| V-222429, SV-222429r849430_rule : CAT II | L'application doit empêcher les utilisateurs non privilégiés d'exécuter des fonctions privilégiées, notamment la désactivation, le contournement ou la modification des mesures de sécurité/contre-mesures mises en œuvre. |
| V-222513, SV-222513r864575_rule : CAT II | L'application doit avoir la capacité d'empêcher l'installation de correctifs, de service packs ou de composants d'application sans vérifier que le composant logiciel a été signé numériquement à l'aide d'un certificat reconnu et approuvé par l'organisation. |
| V-222515, SV-222515r508029_rule : CAT II | Une évaluation de la vulnérabilité des applications doit être réalisée. |
| V-222517, SV-222517r849455_rule : CAT II | L'application doit utiliser une politique de refus total et d'autorisation par exception (liste blanche) pour permettre l'exécution de programmes logiciels autorisés. |
| V-222518, SV-222518r508029_rule : CAT II | L'application doit être configurée pour désactiver les fonctionnalités non essentielles. |
| V-222523, SV-222523r508029_règle : CAT II | L'application doit utiliser le multifacteur (Alt. Token) d'authentification pour l'accès réseau aux comptes privilégiés. |
| V-222524, SV-222524r849458_rule : CAT II | L'application doit accepter les informations d'identification de vérification d'identité personnelle (PIV). |
| V-222525, SV-222525r849459_rule : CAT II | L'application doit vérifier électroniquement les informations d'identification de vérification de l'identité personnelle (PIV). |
| V-222576, SV-222576r508029_rule : CAT II | L'application doit définir l'indicateur de sécurité sur les cookies de session. |
| V-222577, SV-222577r508029_rule : CAT II | L'application ne doit pas exposer les ID de session. |
| V-222579, SV-222579r508029_rule : CAT II | Les applications doivent utiliser des identifiants de session générés par le système qui protègent contre la fixation de session. |
| V-222581, SV-222581r508029_rule : CAT II | Les applications ne doivent pas utiliser d'ID de session intégrés à l'URL. |
| V-222582, SV-222582r508029_rule : CAT II | L'application ne doit pas réutiliser ou recycler les ID de session. |
| V-222593, SV-222593r864576_rule : CAT II | Les applications basées sur XML doivent atténuer les attaques DoS en utilisant des filtres XML, des options d'analyseur ou des passerelles. |
| V-222594, SV-222594r561257_rule : CAT II | L'application doit restreindre la capacité de lancer des attaques par déni de service (DoS) contre elle-même ou contre d'autres systèmes d'information. |
| V-222600, SV-222600r849490_rule : CAT II | L'application ne doit pas divulguer d'informations inutiles aux utilisateurs. |
| V-222603, SV-222603r508029_rule : CAT II | L’application doit se protéger contre les vulnérabilités CSRF (Cross-Site Request Forgery). |
| V-222606, SV-222606r508029_rule : CAT II | L'application doit valider toutes les entrées. |
| V-222610, SV-222610r508029_rule : CAT II | L'application doit générer des messages d'erreur qui fournissent les informations nécessaires à zéro action corrective sans révéler d'informations qui pourraient être exploitées par des adversaires. |
| V-222614, SV-222614r849497_rule : CAT II | Les mises à jour logicielles et les correctifs liés à la sécurité doivent être tenus à jour. |
| V-222642, SV-222642r508029_rule : CAT II | L'application ne doit pas contenir de données d'authentification intégrées. |
| V-222656, SV-222656r864438_rule : CAT II | L’application ne doit pas être soumise à des vulnérabilités de gestion d’erreurs. |
| V-222667, SV-222667r864449_rule : CAT II | Des protections contre les attaques DoS doivent être mises en œuvre. |