迪砂的應用程式安全和開發 STIG、V5R1 合規性報告
此報告顯示迪砂的應用程式安全性和開發 STIG、在您的應用程式中發現的 V5R1 合規性問題。《應用程式安全及開發安全技術實作手冊》(STIG) 提供在整個應用程式開發生命週期中使用的安全指引。「國防資訊系統局 (DISA)」鼓勵網站在應用程式開發程序中,儘早採用這些準則。
摘要
應用安全與開發 (ASD) 安全技術實施指南 (STIG) 是作為提高國防部 (DoD) 資訊系統安全性的工具而發布的。
涵蓋的資訊
應用程式安全性和開發 STIG 提供了保護透過網路連接的企業應用程式的指南,包括用戶端應用程式、HTML 和使用各種 Web 技術的基於瀏覽器的應用程式。STIG 對於所有由國防部開發、架構和管理的連接到國防部網路的應用程式和系統都是強制性的。它可以幫助管理人員和開發人員配置和維護應用程式安全控制。
涵蓋實體
DoDI 8500.01 要求所有 DoD 資訊技術必須符合網路安全政策、標準和架構。DISA 負責建立和維護控制相關識別碼 (CCI)、安全需求指南 (SRG)、安全技術實施指南 (STIG) 和行動程式碼風險指南,確保它們遵守國防部網路安全原則、標準和驗證程序。這是由 DoDI 8500.01 授權的。
AppScan 與應用程式安全與開發 STIG
AppScan 合規性報告將協助您了解並定位因掃描的應用程式目前安全狀況而導致的合規性問題。這份相符性報告使用 STIG 需求 ID,來參照 STIG 需求。此外,相符性報告還包含出現在 STIG 中的 STIG 需求嚴重性層次:
- I 類 (CAT I) - 任何漏洞,利用該漏洞將直接立即導致機密性、可用性或完整性喪失。
- 類別 II (CAT II) - 任何漏洞,利用此類漏洞可能會導致機密性、可用性或完整性喪失。
- 種類 III (CAT III) - 任何漏洞,此漏洞的存在會導致用來防範喪失機密性、可用性或完整性的措施降級。
註: 本合規報告中的調查結果按類別層級組織(並在每個類別層級內按時間順序排序),但不會按時間順序出現在每個類別層級範圍之外。
| 區段 | 說明 |
|---|---|
| V-222425、SV-222425r508029_rule:CAT I | 應用程式必須根據適用的存取控制策略對資訊和系統資源的邏輯存取執行核准的授權。 |
| V-222430、SV-222430r849431_規則:CAT I | 應用程式必須在沒有過多帳戶權限的情況下執行。 |
| V-222522、SV-222522r508029_rule:CAT I | 應用程式必須唯一地識別和驗證組織使用者(或代表組織使用者的流程)。 |
| V-222542、SV-222542r508029_rule:CAT I | 應用程式必須僅儲存密碼的加密表示形式。 |
| V-222596、SV-222596r849486_rule:CAT I | 應用程式必須保護傳輸資訊的機密性和完整性。 |
| V-222601、SV-222601r849491_規則:CAT I | 應用程式不得在隱藏欄位中儲存敏感資訊。 |
| V-222602、SV-222602r561263_rule:CAT I | 應用程式必須防止跨站腳本 (XSS) 漏洞。 |
| V-222604、SV-222604r508029_rule:CAT I | 應用程式必須防止命令注入。 |
| V-222607、SV-222607r508029_rule:CAT I | 應用程式不能容易受到 SQL 注入攻擊。 |
| V-222608、SV-222608r508029_rule:CAT I | 應用程式不能容易受到面向 XML 的攻擊。 |
| V-222609、SV-222609r864578_rule:CAT I | 應用程式不得存在輸入處理漏洞。 |
| V-222612、SV-222612r864579_rule:CAT I | 應用程式不能容易受到溢出攻擊。 |
| V-222662、SV-222662r864444_rule:CAT I | 必須更改預設密碼。 |
| V-222642、SV-222642r849509_rule:CAT I | 設計者將確保應用程式不包含嵌入的身份驗證資料。 |
| V-222388、SV-222388r849416_規則:CAT II | 當會話終止時,應用程式必須清除暫存和 cookie。 |
| V-222391、SV-222391r849419_規則:CAT II | 需要使用者存取身份驗證的應用程式必須為使用者發起的通訊會話提供註銷功能。 |
| V-222396、SV-222396r508029_規則:CAT II | 應用程式必須實施 DoD 批准的加密,以保護遠端存取會話的機密性。 |
| V-222397、SV-222397r508029_規則:CAT II | 應用程式必須實現加密機制來保護遠端存取會話的完整性。 |
| V-222406、SV-222406r508029_規則:CAT II | 當 SessionIndex 與隱私資料綁定時,應用程式必須確保訊息已加密。 |
| V-222429、SV-222429r849430_規則:CAT II | 應用程式必須防止非特權使用者執行特權功能,包括停用、規避或更改已實施的安全保護措施/對策。 |
| V-222513、SV-222513r864575_規則:CAT II | 應用程式必須能夠阻止安裝修補程式、服務包或應用程式元件,而無需驗證軟體元件是否已使用組織認可和批准的憑證進行數位簽署。 |
| V-222515、SV-222515r508029_規則:CAT II | 必須進行應用程式漏洞評估。 |
| V-222517、SV-222517r849455_規則:CAT II | 應用程式必須採用拒絕所有、例外允許(白名單)策略以允許執行授權的軟體程式。 |
| V-222518、SV-222518r508029_規則:CAT II | 必須將應用程式配置為停用非必要功能。 |
| V-222523、SV-222523r508029_規則:CAT II | 應用程式必須使用多因素(Alt.Token)對特權帳戶進行網路存取的身份驗證。 |
| V-222524、SV-222524r849458_規則:CAT II | 應用程式必須接受個人身份驗證 (PIV) 憑證。 |
| V-222525、SV-222525r849459_規則:CAT II | 應用程式必須以電子方式驗證個人身份驗證 (PIV) 憑證。 |
| V-222576、SV-222576r508029_規則:CAT II | 應用程式必須在會話 cookie 上設定安全標誌。 |
| V-222577、SV-222577r508029_規則:CAT II | 應用程式不得公開會話 ID。 |
| V-222579、SV-222579r508029_規則:CAT II | 應用程式必須使用系統產生的會話標識符來防止會話固定。 |
| V-222581、SV-222581r508029_規則:CAT II | 應用程式不得使用嵌入 URL 的會話 ID。 |
| V-222582、SV-222582r508029_規則:CAT II | 應用程式不得重複使用或回收會話 ID。 |
| V-222593、SV-222593r864576_rule:CAT II | 基於 XML 的應用程式必須使用 XML 過濾器、解析器選項或網關來緩解 DoS 攻擊。 |
| V-222594、SV-222594r561257_rule:CAT II | 應用程式必須限制對其自身或其他資訊系統發動拒絕服務 (DoS) 攻擊的能力。 |
| V-222600、SV-222600r849490_規則:CAT II | 應用程式不得向用戶洩露不必要的資訊。 |
| V-222603、SV-222603r508029_規則:CAT II | 應用程式必須防止跨站點請求偽造 (CSRF) 漏洞。 |
| V-222606、SV-222606r508029_規則:CAT II | 應用程式必須驗證所有輸入。 |
| V-222610、SV-222610r508029_規則:CAT II | 應用程式必須產生錯誤訊息,提供零糾正措施所需的信息,而不洩露可能被對手利用的信息。 |
| V-222614、SV-222614r849497_規則:CAT II | 與安全性相關的軟體更新和修補程式必須保持最新。 |
| V-222642、SV-222642r508029_規則:CAT II | 應用程式不得包含嵌入的身份驗證資料。 |
| V-222656、SV-222656r864438_rule:CAT II | 應用程式不得存在錯誤處理漏洞。 |
| V-222667、SV-222667r864449_規則:CAT II | 必須實施針對 DoS 攻擊的保護措施。 |