DISA STIG バージョン 6 ID (C#)
この記事では、DISA Security Technical Implementation Guide バージョン 6 ID を Klocwork C# チェッカーにマッピングします。DISA STIG の詳細については、STIG Web サイトを参照してください。
| ガイドライン | チェッカー名および説明 |
|---|---|
| Executive Orders |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222396 [APSC-DV-000160] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています CS.XSS.PERSIST クロスサイトスクリプティングの持続型脆弱性 CS.XSS.REFLECT クロスサイトスクリプティングの反射型脆弱性 |
| V-222396 [APSC-DV-000160] (MEDIUM): The application must implement DoD-approved encryption to protect the confidentiality of remote access sessions. |
CS.RCA 危険な暗号化アルゴリズムが使用されています CS.XSS.PERSIST クロスサイトスクリプティングの持続型脆弱性 CS.XSS.REFLECT クロスサイトスクリプティングの反射型脆弱性 |
| V-222397 [APSC-DV-000170] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222397 [APSC-DV-000170] (MEDIUM): The application must implement cryptographic mechanisms to protect the integrity of remote access sessions. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222542 [APSC-DV-001740] (HIGH) |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222542 [APSC-DV-001740] (HIGH): The application must only store cryptographic representations of passwords. |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222543 [APSC-DV-001750] (HIGH) |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222543 [APSC-DV-001750] (HIGH): The application must transmit only cryptographically-protected passwords. |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222555 [APSC-DV-001860] (HIGH) |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 |
| V-222555 [APSC-DV-001860] (HIGH): The application must use mechanisms meeting the requirements of applicable federal laws |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 |
| V-222568 [APSC-DV-002000] (MEDIUM) |
CS.RLK リソースリーク |
| V-222568 [APSC-DV-002000] (MEDIUM): The application must terminate all network connections associated with a communications session at the end of the session. |
CS.RLK リソースリーク |
| V-222571 [APSC-DV-002030] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222571 [APSC-DV-002030] (MEDIUM): The application must utilize FIPS-validated cryptographic modules when generating cryptographic hashes. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222572 [APSC-DV-002040] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222572 [APSC-DV-002040] (MEDIUM): The application must utilize FIPS-validated cryptographic modules when protecting unclassified information that requires cryptographic protection. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222583 [APSC-DV-002290] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222583 [APSC-DV-002290] (MEDIUM): The application must generate a unique session identifier using a FIPS 140-2/140-3 approved random number generator. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222589 [APSC-DV-002350] (HIGH) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222589 [APSC-DV-002350] (HIGH): The application must use appropriate cryptography in order to protect stored DOD information when required by the information owner or DOD policy. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222594 [APSC-DV-002400] (MEDIUM) |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 |
| V-222594 [APSC-DV-002400] (MEDIUM): The application must restrict the ability to launch Denial of Service (DoS) attacks against itself or other information systems. |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 |
| V-222603 [APSC-DV-002500] (MEDIUM) |
CS.CSRF.ATTR.NOATTR AntiForgery 属性をクラスまたはメソッドに追加する必要があります。 CS.CSRF.ATTR.POST AntiForgery 属性をクラスまたはメソッドに追加する必要があります。 CS.CSRF.VALIDATE 「POST リクエストデータアクセス」の検証は行われていません。 CS.CSRF.VSUK.CONSTASSIGN プロパティ 'ViewStateUserKey' に const 文字列が代入されます。 CS.CSRF.VSUK.NOASSIGN プロパティ 'ViewStateUserKey' は設定されません。 |
| V-222603 [APSC-DV-002500] (MEDIUM): The application must protect from Cross-Site Request Forgery (CSRF) vulnerabilities. |
CS.CSRF.ATTR.NOATTR AntiForgery 属性をクラスまたはメソッドに追加する必要があります。 CS.CSRF.ATTR.POST AntiForgery 属性をクラスまたはメソッドに追加する必要があります。 CS.CSRF.VALIDATE 「POST リクエストデータアクセス」の検証は行われていません。 CS.CSRF.VSUK.CONSTASSIGN プロパティ 'ViewStateUserKey' に const 文字列が代入されます。 CS.CSRF.VSUK.NOASSIGN プロパティ 'ViewStateUserKey' は設定されません。 |
| V-222604 [APSC-DV-002510] (HIGH) |
CS.SV.TAINTED.INJECTION C# コマンドインジェクション |
| V-222604 [APSC-DV-002510] (HIGH): The application must protect from command injection. |
CS.SV.TAINTED.INJECTION C# コマンドインジェクション |
| V-222606 [APSC-DV-002530] (MEDIUM) |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.FMTSTR 書式文字列での未検証データの使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 CS.SV.TAINTED.PATH_TRAVERSAL パストラバーサルでの未検証データの使用 |
| V-222606 [APSC-DV-002530] (MEDIUM): The application must validate all input. |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.FMTSTR 書式文字列での未検証データの使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 CS.SV.TAINTED.PATH_TRAVERSAL パストラバーサルでの未検証データの使用 |
| V-222607 [APSC-DV-002540] (HIGH) |
CS.SV.USAGERULES.PERMISSIONS 特権の昇給の使用 |
| V-222607 [APSC-DV-002540] (HIGH): The application must not be vulnerable to SQL Injection. |
CS.SV.USAGERULES.PERMISSIONS 特権の昇給の使用 |
| V-222609 [APSC-DV-002560] (HIGH) |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.FMTSTR 書式文字列での未検証データの使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 CS.SV.TAINTED.PATH_TRAVERSAL パストラバーサルでの未検証データの使用 |
| V-222609 [APSC-DV-002560] (HIGH): The application must not be subject to input handling vulnerabilities. |
CS.SV.TAINTED.ALLOC_SIZE メモリ割り当てでの未検証整数の使用 CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.FMTSTR 書式文字列での未検証データの使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 CS.SV.TAINTED.PATH_TRAVERSAL パストラバーサルでの未検証データの使用 |
| V-222612 [APSC-DV-002590] (HIGH) |
CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 |
| V-222612 [APSC-DV-002590] (HIGH): The application must not be vulnerable to overflow attacks. |
CS.SV.TAINTED.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.BINOP バイナリ演算での未検証整数の使用 CS.SV.TAINTED.CALL.INDEX_ACCESS 関数呼び出しによる配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.CALL.LOOP_BOUND 関数呼び出しによるループ条件での未検証整数の使用 CS.SV.TAINTED.DESERIALIZATION オブジェクト作成でのシリアル化解除中の未検証整数の使用 CS.SV.TAINTED.INDEX_ACCESS 配列インデックスとしての未検証整数の使用 CS.SV.TAINTED.LOOP_BOUND ループ条件での未検証整数の使用 |
| V-222625 [APSC-DV-002950] (MEDIUM) |
CS.BANNED.INVOKE 同期呼び出しよりも非同期呼び出しを優先します |
| V-222625 [APSC-DV-002950] (MEDIUM): Execution flow diagrams and design documents must be created to show how deadlock and recursion issues in web services are being mitigated. |
CS.BANNED.INVOKE 同期呼び出しよりも非同期呼び出しを優先します |
| V-222641 [APSC-DV-003100] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-222641 [APSC-DV-003100] (MEDIUM): The application must use encryption to implement key exchange and authenticate endpoints prior to establishing a communication channel for key exchange. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-265634 [APSC-DV-002010] (MEDIUM) |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| V-265634 [APSC-DV-002010] (MEDIUM): The application must implement NSA-approved cryptography to protect classified information in accordance with applicable federal laws |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| and guidance for authentication to a cryptographic module. |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 |
| and standards. |
CS.RCA 危険な暗号化アルゴリズムが使用されています |
| directives |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| policies |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| regulations |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 CS.RCA 危険な暗号化アルゴリズムが使用されています |
| standards |
CS.HCC ハードコードされた資格情報の使用 CS.HCC.PWD ハードコードされたパスワードの使用 CS.HCC.USER ハードコードされたユーザー名の使用 |