DISA STIG バージョン 5 ID (Java)

SV.DOS.TMPFILEDEL  JVM のライフタイムの間一時ファイルが存続します

SV.DOS.TMPFILEEXIT  一時ファイルが存続します

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SPRING.AUTHC.ABSENT  重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING  重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT  保護されたリソース用の構成はありません

SPRING.AUTHZ.MISSING  認証の欠落

SV.AUTH.BYPASS.MIGHT  不正確な認証

SV.AUTH.BYPASS.MUST  不正確な認証

SV.EXPOSE.FIELD  static フィールドは悪意のあるコードによって変更される可能性があります

SV.EXPOSE.FIN  finalize() メソッドは、public ではなく protected アクセス修飾子を使用する必要があります

SV.EXPOSE.IFIELD  インスタンス フィールドは final にする必要があります

SV.EXPOSE.MUTABLEFIELD  static mutable フィールドは悪意のあるコードによってアクセスされる可能性があります

SV.EXPOSE.RET  内部表現が露出される可能性があります

SV.EXPOSE.STORE  メソッドが mutable オブジェクトへの参照を保存しています

SPRING.AUTHC.ABSENT  重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING  重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT  保護されたリソース用の構成はありません

SPRING.AUTHZ.MISSING  認証の欠落

SV.CLEXT.POLICY  クラスが 'java.security.Policy' を拡張しています

SV.PRIVILEGE.MISSING  呼び出されるメソッドは doPrivileged ブロック内にあってはなりません

SV.USE.POLICY  Policy のメソッドが直接使用されています

SV.LOG_FORGING  ログの偽造

SV.LOG_FORGING  ログの偽造

SV.EMAIL  未チェックの電子メール

SV.SSRF.URI  無効化されたユーザー入力に基づく URI です。

UMC.SYSERR  System.err メソッドの呼び出しを使用したデバッグ プリントは好ましくありません

UMC.SYSOUT  System.out メソッドの呼び出しを使用したデバッグ プリントは好ましくありません

SV.PASSWD.HC.EMPTY  空のパスワード

SV.PASSWD.HC.MINLEN  長さが 15 文字以上のハードコードされたパスワード

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.HC.EMPTY  空のパスワード

SV.PASSWD.PLAIN  プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC  プレーンテキストのパスワード

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.HC.EMPTY  空のパスワード

SV.PASSWD.PLAIN  プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC  プレーンテキストのパスワード

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.CERT.INVALID  証明書は、証明書パスを構築することで、検証する必要があります。

SV.ECV.TRUSTMANAGER  X509TrustManager インターフェイスの実装が安全ではありません。

SV.PERMS.HOME  パーミッションを設定せずに、ユーザーのホームディレクトリに作成されるファイル

SV.PERMS.WIDE  広すぎるパーミッション

SPRING.AUTHC.ABSENT  重要なリソースに対する設定の欠落

SPRING.AUTHC.MISSING  重要な機能に対する認証の欠落

SPRING.AUTHZ.ABSENT  保護されたリソース用の構成はありません

SPRING.AUTHZ.MISSING  認証の欠落

SV.AUTH.BYPASS.MIGHT  不正確な認証

SV.AUTH.BYPASS.MUST  不正確な認証

SV.PASSWD.PLAIN  プレーンテキストのパスワード

JAVA.SV.EMAIL.HOST  検証なしでホストに電子メールを送信しています。

SV.AUTH.HASH.MIGHT  脆弱な暗号化アルゴリズムの使用

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.ECV  クラスローダが直接使用されています

SV.ECV.TRUSTMANAGER  X509TrustManager インターフェイスの実装が安全ではありません。

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.KEYS.AES  暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.DH  暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.DSA  暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.EC  暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.KEYS.RSA  暗号化アルゴリズムのキー長さが不十分です

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.XSS.COOKIE  setHttpOnly フラグのない機密性の高い cookie

SV.XSS.COOKIE.SECURE  安全なプロトコルがなくても反応する cookie

JD.NEXT  'NoSuchElementException' の可能性があります

JD.SYNC.IN  一貫性のない同期化

SV.SHARED.VAR  サーブレットから static 変数への非同期アクセス

SV.STRUTS.STATIC  ステータス フォーム: static フィールド

SV.UMC.THREADS  好ましくない手法:スレッド管理の使用

RLK.NIO  NIO オブジェクトが終了時に閉じられていません

RLK.SOCK  ソケットが終了時に閉じられていません

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.IL.SESSION  セッション ID のログ記録

SV.IL.SESSION.CLIENT  HttpServletRequest.getRequestedSessionId メソッドは使用しないでください。

SV.SESSION.FIXATION.COOKIE  cookie は、セッションの固定化に対して脆弱であってはなりません

SV.SPRING.FIXATION  セッション固定化保護が無効になっています。

SV.XSS.COOKIE  setHttpOnly フラグのない機密性の高い cookie

SV.XSS.COOKIE.SECURE  安全なプロトコルがなくても反応する cookie

SV.IL.SESSION  セッション ID のログ記録

SV.IL.SESSION.CLIENT  HttpServletRequest.getRequestedSessionId メソッドは使用しないでください。

SV.SESSION.FIXATION.COOKIE  cookie は、セッションの固定化に対して脆弱であってはなりません

SV.SPRING.FIXATION  セッション固定化保護が無効になっています。

SV.XSS.COOKIE  setHttpOnly フラグのない機密性の高い cookie

SV.XSS.COOKIE.SECURE  安全なプロトコルがなくても反応する cookie

SV.RANDOM  安全ではない乱数ジェネレータの使用

ANDROID.RLK.SQLOBJ  Sql オブジェクトが終了時に閉じられていません

RLK.HIBERNATE  Hibernate オブジェクトが終了時に閉じられていません

RLK.JNDI  JNDI コンテキストが終了時に閉じられていません

RLK.JPA  {3} オブジェクトが終了時に閉じられていません。

RLK.SQLCON  Sql 接続が終了時に閉じられていません

RLK.SQLOBJ  Sql オブジェクトが終了時に閉じられていません

SV.DOS.TMPFILEDEL  JVM のライフタイムの間一時ファイルが存続します

SV.DOS.TMPFILEEXIT  一時ファイルが存続します

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.CLEXT.POLICY  クラスが 'java.security.Policy' を拡張しています

SV.USE.POLICY  Policy のメソッドが直接使用されています

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.UMC.EXIT  System.exit() および Runtime.exit() メソッドの呼び出しをサーブレット コードで使用すべきではありません

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.HC.EMPTY  空のパスワード

SV.PASSWD.PLAIN  プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC  プレーンテキストのパスワード

SV.RANDOM  安全ではない乱数ジェネレータの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.SERIAL.NOFINAL  シリアル化可能なクラスでは、メソッド readObject() および writeObject() は final である必要があります

SV.SERIAL.NOREAD  メソッド readObject() を Serializable クラスに対して定義する必要があります

SV.SERIAL.NOWRITE  メソッド writeObject() を Serializable クラスに対して定義する必要があります

SV.SERIAL.SIG  Serializable クラスのメソッド readObject() および writeObject() が正しいシグネチャを持つ必要があります

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.IL.DEV  設計情報の漏洩

SV.IL.FILE  ファイル名のリーク

SV.STRBUF.CLEAN  文字列バッファが削除されていません

SV.STRUTS.NOTRESET  ステータス フォーム:リセットが整合していません

ANDROID.LIFECYCLE.SV.GETEXTRA  未検証の外部データ

SV.HTTP_SPLIT  HTTP 応答分割

SV.XSS.COOKIE  setHttpOnly フラグのない機密性の高い cookie

SV.XSS.DB  クロスサイト スクリプティング (Stored XSS)

SV.XSS.REF  クロスサイト スクリプティング (Reflected XSS)

SV.CSRF.GET  GET リクエスト中の CSRF トークン

SV.CSRF.ORIGIN  オリジンチェックなしの要求ハンドラ

SV.CSRF.TOKEN  CSRF チェックなしの状態変更要求ハンドラ

SV.CLASSDEF.INJ  ランタイムクラス定義インジェクション

SV.CLASSLOADER.INJ  クラスローダー URL インジェクション

SV.CLEXT.CLLOADER  クラスが 'java.lang.ClassLoader' を拡張しています

SV.EMAIL  未チェックの電子メール

SV.EXEC  プロセス インジェクション

SV.EXEC.DIR  プロセス インジェクション。作業ディレクトリ

SV.EXEC.ENV  プロセス インジェクション。環境変数

SV.EXEC.LOCAL  プロセス インジェクション。ローカル引数

SV.PATH  パスまたはファイル名のインジェクション

SV.PATH.INJ  ファイル インジェクション

SV.SCRIPT  スクリプトの実行

SV.SERIAL.INON  インタフェースが 'Serializable' を拡張しています

SV.SERIAL.NOFINAL  シリアル化可能なクラスでは、メソッド readObject() および writeObject() は final である必要があります

SV.SERIAL.NON  クラスが 'Serializable' を実装しています

SV.SERIAL.NOREAD  メソッド readObject() を Serializable クラスに対して定義する必要があります

SV.SERIAL.NOWRITE  メソッド writeObject() を Serializable クラスに対して定義する必要があります

SV.SERIAL.SIG  Serializable クラスのメソッド readObject() および writeObject() が正しいシグネチャを持つ必要があります

ANDROID.LIFECYCLE.SV.FRAGMENTINJ  未検証のフラグメント クラス名

ANDROID.LIFECYCLE.SV.GETEXTRA  未検証の外部データ

CMP.CLASS  クラス名による比較が行われています

SV.CLASSDEF.INJ  ランタイムクラス定義インジェクション

SV.CLASSLOADER.INJ  クラスローダー URL インジェクション

SV.DATA.BOUND  信頼できないデータが信頼できるストレージにリークしています

SV.DATA.DB  データ インジェクション

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.EMAIL  未チェックの電子メール

SV.EXEC  プロセス インジェクション

SV.EXEC.DIR  プロセス インジェクション。作業ディレクトリ

SV.EXEC.ENV  プロセス インジェクション。環境変数

SV.HTTP_SPLIT  HTTP 応答分割

SV.INT_OVF  不正データが整数オーバーフローを引き起こす可能性があります

SV.LDAP  未検証のユーザ入力が LDAP フィルタとして使用されています

SV.PATH  パスまたはファイル名のインジェクション

SV.PATH.INJ  ファイル インジェクション

SV.SCRIPT  スクリプトの実行

SV.SQL  SQL インジェクション

SV.SSRF.URI  無効化されたユーザー入力に基づく URI です。

SV.STRUTS.NOTVALID  ステータス フォーム:検証が整合していません

SV.STRUTS.VALIDMET  ステータス フォーム: validate メソッド

SV.TAINT  不正データ

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.XPATH  未検証のユーザ入力が XPath 式として使用されています

SV.XSS.REF  クロスサイト スクリプティング (Reflected XSS)

SV.SQL  SQL インジェクション

SV.SQL.DBSOURCE  未検証のデータベースからの情報がSQL文に使用されています

SV.XPATH  未検証のユーザ入力が XPath 式として使用されています

SV.XXE.DBF  XML 外部実体攻撃の可能性

SV.XXE.SF  XML 外部実体攻撃の可能性

SV.XXE.SPF  XML 外部実体攻撃の可能性

SV.XXE.TF  XML 外部実体攻撃の可能性

SV.XXE.XIF  XML 外部実体攻撃の可能性

SV.XXE.XRF  XML 外部実体攻撃の可能性

ANDROID.LIFECYCLE.SV.FRAGMENTINJ  未検証のフラグメント クラス名

ANDROID.LIFECYCLE.SV.GETEXTRA  未検証の外部データ

CMP.CLASS  クラス名による比較が行われています

SV.CLASSDEF.INJ  ランタイムクラス定義インジェクション

SV.CLASSLOADER.INJ  クラスローダー URL インジェクション

SV.DATA.BOUND  信頼できないデータが信頼できるストレージにリークしています

SV.DATA.DB  データ インジェクション

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.EMAIL  未チェックの電子メール

SV.EXEC  プロセス インジェクション

SV.EXEC.DIR  プロセス インジェクション。作業ディレクトリ

SV.EXEC.ENV  プロセス インジェクション。環境変数

SV.HTTP_SPLIT  HTTP 応答分割

SV.INT_OVF  不正データが整数オーバーフローを引き起こす可能性があります

SV.LDAP  未検証のユーザ入力が LDAP フィルタとして使用されています

SV.PATH  パスまたはファイル名のインジェクション

SV.PATH.INJ  ファイル インジェクション

SV.SCRIPT  スクリプトの実行

SV.SQL  SQL インジェクション

SV.SSRF.URI  無効化されたユーザー入力に基づく URI です。

SV.STRUTS.NOTVALID  ステータス フォーム:検証が整合していません

SV.STRUTS.VALIDMET  ステータス フォーム: validate メソッド

SV.TAINT  不正データ

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.XPATH  未検証のユーザ入力が XPath 式として使用されています

SV.XSS.REF  クロスサイト スクリプティング (Reflected XSS)

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.INT_OVF  不正データが整数オーバーフローを引き起こす可能性があります

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

JD.INF.AREC  見かけ上の無限再帰

JD.LOCK  取得したロックを解放していません

JD.LOCK.NOTIFY  ロックが保持された状態で 'notify' メソッドが呼び出されています

JD.LOCK.SLEEP  ロックが保持された状態で 'sleep' メソッドが呼び出されています

JD.LOCK.WAIT  ロックが保持された状態で 'wait' メソッドが呼び出されています

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.HASH.NO_SALT  ソルトなしの一方向性暗号化ハッシュの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。

SV.PASSWD.HC  ハードコードされたパスワード

SV.PASSWD.HC.EMPTY  空のパスワード

SV.PASSWD.PLAIN  プレーンテキストのパスワード

SV.PASSWD.PLAIN.HC  プレーンテキストのパスワード

JD.THREAD.RUN  'Thread.run' メソッドが明示的に呼び出されています

JD.UMC.FINALIZE  'Object.finalize' メソッドが明示的に呼び出されています

JD.UMC.RUNFIN  runFinalizersOnExit() が呼び出されています

MNA.CAP  メソッド名は大文字以外で始まる必要があります

MNA.CNS  メソッド名がコンストラクタ名と同じですが、コンストラクタではありません

MNA.SUS  疑わしいメソッド名

ECC.EMPTY  Catch 節が空です

EXC.BROADTHROWS  過度に広範な範囲に対応するメソッドが宣言をスローしています

JD.CATCH  ランタイム例外のキャッチ

JD.UNCAUGHT  例外がキャッチされていません

RI.IGNOREDCALL  immutable オブジェクトに対して呼び出されたメソッドから返された値が無視されています

RI.IGNOREDNEW  新規に作成されたオブジェクトが無視されています

RR.IGNORED  戻り値が無視されています

SV.PASSWD.HC  ハードコードされたパスワード

SV.DOS.ARRINDEX  不正なインデックスが配列アクセスに使用されています

SV.DOS.ARRSIZE  不正なサイズが配列割り当てに使用されています

SV.TAINT_NATIVE  不正データがネイティブ コードに渡されています

SV.TMPFILE  一時ファイルのパス改ざん

SV.UMC.EXIT  System.exit() および Runtime.exit() メソッドの呼び出しをサーブレット コードで使用すべきではありません

SV.AUTH.HASH.MUST  脆弱な暗号化アルゴリズムの使用

SV.SENSITIVE.DATA  暗号化されていない機密データが書き込まれます

SV.SENSITIVE.OBJ  暗号化されていない機密データを持つオブジェクトが保存されます

SV.WEAK.CRYPT  破られたまたは危険な暗号化アルゴリズムの使用

SV.WEAK.TLS  脆弱な SSL/TLS プロトコルは使用しないでください。