DISA的应用安全和开发STIG,V5R3合规报告
该报告显示了在您的应用程序中发现的DISA应用安全和开发STIG,V5R3合规性问题。《应用程序安全和开发安全技术实施指南》(STIG) 提供在整个应用程序开发生命周期中使用的安全指导。防御信息系统局 (DISA) 鼓励站点在应用程序开发流程中尽早使用这些准则。
摘要
应用安全与开发 (ASD) 安全技术实施指南 (STIG) 是作为提高国防部 (DoD) 信息系统安全性的工具而发布的。
涵盖的信息
应用程序安全和开发 STIG 提供了保护通过网络连接的企业应用程序的指南,包括客户端应用程序、HTML 和使用各种 Web 技术的基于浏览器的应用程序。STIG 对于所有由国防部开发、架构和管理的连接到国防部网络的应用程序和系统都是强制性的。它可以帮助管理人员和开发人员配置和维护应用程序安全控制。
涵盖实体
DoDI 8500.01 要求所有 DoD 信息技术必须符合网络安全政策、标准和架构。DISA 负责创建和维护控制相关标识符 (CCI)、安全要求指南 (SRG)、安全技术实施指南 (STIG) 和移动代码风险指南,确保它们遵守国防部网络安全原则、标准和验证程序。
AppScan
AppScan合规性报告将帮助您了解和定位由于扫描的应用程序当前安全状况而导致的合规性问题。此合规性报告使用 STIG 需求标识来引用 STIG 需求。
- I 类 (CAT I) - 任何漏洞,利用该漏洞将直接立即导致机密性、可用性或完整性丧失。
- II 类 (CAT II) - 任何漏洞,利用此类漏洞可能会导致机密性、可用性或完整性丧失。
- 类别 III (CAT III) - 任何漏洞,存在此漏洞会导致用于防范失去机密性、可用性或完整性的措施降级。
Note: 本合规报告中的调查结果按类别级别组织(并在每个类别级别内按时间顺序排序),但不会按时间顺序出现在每个类别级别范围之外。
| 区段 | 描述 |
|---|---|
| V-222425、SV-222425r508029_rule:CAT I | 应用程序必须根据适用的访问控制策略对信息和系统资源的逻辑访问执行批准的授权。 |
| V-222430、SV-222430r849431_规则:CAT I | 应用程序必须在没有过多帐户权限的情况下执行。 |
| V-222522、SV-222522r508029_rule:CAT I | 应用程序必须唯一地识别和验证组织用户(或代表组织用户的进程)。 |
| V-222542、SV-222542r508029_rule:CAT I | 应用程序必须仅存储密码的加密表示形式。 |
| V-222596、SV-222596r849486_rule:CAT I | 应用程序必须保护传输信息的机密性和完整性。 |
| V-222601、SV-222601r849491_规则:CAT I | 应用程序不得在隐藏字段中存储敏感信息。 |
| V-222602、SV-222602r561263_rule:CAT I | 应用程序必须防止跨站脚本 (XSS) 漏洞。 |
| V-222604、SV-222604r508029_rule:CAT I | 应用程序必须防止命令注入。 |
| V-222607、SV-222607r508029_rule:CAT I | 应用程序不能容易受到 SQL 注入攻击。 |
| V-222608、SV-222608r508029_rule:CAT I | 应用程序不能容易受到面向 XML 的攻击。 |
| V-222609、SV-222609r864578_rule:CAT I | 应用程序不得存在输入处理漏洞。 |
| V-222612、SV-222612r864579_rule:CAT I | 应用程序不能容易受到溢出攻击。 |
| V-222662、SV-222662r864444_rule:CAT I | 必须更改默认密码。 |
| V-222642、SV-222642r849509_rule:CAT I | 设计者将确保应用程序不包含嵌入的身份验证数据。 |
| V-222388、SV-222388r849416_规则:CAT II | 当会话终止时,应用程序必须清除临时存储和 cookie。 |
| V-222391、SV-222391r849419_规则:CAT II | 需要用户访问身份验证的应用程序必须为用户发起的通信会话提供注销功能。 |
| V- | 应用程序必须实施 DoD 批准的加密,以保护远程访问会话的机密性。 |
| V-222397、SV-222397r508029_规则:CAT II | 应用程序必须实现加密机制来保护远程访问会话的完整性。 |
| V-222406、SV-222406r508029_规则:CAT II | 当 SessionIndex 与隐私数据绑定时,应用程序必须确保消息被加密。 |
| V-222429、SV-222429r849430_规则:CAT II | 应用程序必须防止非特权用户执行特权功能,包括禁用、规避或更改已实施的安全保护措施/对策。 |
| V-222513、SV-222513r864575_规则:CAT II | 应用程序必须能够阻止安装补丁、服务包或应用程序组件,而无需验证软件组件是否已使用组织认可和批准的证书进行数字签名。 |
| V-222515、SV-222515r508029_规则:CAT II | 必须进行应用程序漏洞评估。 |
| V-222517、SV-222517r849455_规则:CAT II | 应用程序必须采用拒绝所有、例外允许(白名单)策略以允许执行授权的软件程序。 |
| V-222518、SV-222518r508029_规则:CAT II | 必须将应用程序配置为禁用非必要功能。 |
| V-222523、SV-222523r508029_规则:CAT II | 应用程序必须使用多因素(Alt.Token) |
| V-222524、SV-222524r849458_规则:CAT II | 应用程序必须接受个人身份验证 (PIV) 凭据。 |
| V-222525、SV-222525r849459_规则:CAT II | 应用程序必须以电子方式验证个人身份验证 (PIV) 凭据。 |
| V-222576、SV-222576r508029_规则:CAT II | 应用程序必须在会话 cookie 上设置安全标志。 |
| V-222577、SV-222577r508029_规则:CAT II | 应用程序不得公开会话 ID。 |
| V-222579、SV-222579r508029_规则:CAT II | 应用程序必须使用系统生成的会话标识符来防止会话固定。 |
| V-222581、SV- | 应用程序不得使用嵌入 URL 的会话 ID。 |
| V-222582、SV-222582r508029_规则:CAT II | 应用程序不得重复使用或回收会话 ID。 |
| V-222593、SV-222593r864576_rule:CAT II | 基于 XML 的应用程序必须使用 XML 过滤器、解析器选项或网关来缓解 DoS 攻击。 |
| V-222594、SV-222594r561257_rule:CAT II | 应用程序必须限制对其自身或其他信息系统发起拒绝服务 (DoS) 攻击的能力。 |
| V-222600、SV-222600r849490_规则:CAT II | 应用程序不得向用户泄露不必要的信息。 |
| V-222603、SV-222603r508029_规则:CAT II | 应用程序必须防止跨站点请求伪造 (CSRF) 漏洞。 |
| V-222606、SV-222606r508029_规则:CAT II | 应用程序必须验证所有输入。 |
| V-222610、SV-222610r508029_规则:CAT II | 应用程序必须生成错误消息,提供零纠正措施所需的信息,而不泄露可能被对手利用的信息。 |
| V-222614、SV-222614r849497_规则:CAT II | 与安全相关的软件更新和补丁必须保持最新。 |
| V-222642、SV-222642r508029_规则:CAT II | 应用程序不得包含嵌入的身份验证数据。 |
| V-222656、SV-222656r864438_rule:CAT II | 应用程序不得存在错误处理漏洞。 |
| V-222667、SV- | 必须实施针对 DoS 攻击的保护措施。 |