CS.INFORMATION_EXPOSURE.ALL

潜在的なセキュリティ情報の漏洩

このチェッカーは、プログラムデータの意図しない可能性のあるロギングまたはコンソールへの出力にフラグを立てます。このチェッカーは、エラーレベルまたは重大なエラーレベルでメッセージを報告する、最も広く使用されているロギングメソッドの呼び出しのインスタンス全てにフラグを立てます。これは、内部データのロギングを必要としないアプリケーション用に設計された情報レベルチェッカーです。

チェッカーはパラメーター化できます。<install>\plugin\csharp ディレクトリに配置されている、チェッカーの説明を記載した XML ファイルを変更することにより、チェッカーが認識するロギングメソッドのリストを変更できます。

脆弱コード例 1

1
2
3
4
5
6
7
8
9
10
11
   namespace Program
   {
       class Program
       {
           static int x = 10;
           static void Main(string[] args)
           {
               Console.WriteLine("internal data X: " + x);
           }
      }
  }

Klocwork は 8 行目で CS.INFORMATION_EXPOSURE.ALL の欠陥を報告します。これは、内部データがコンソールの印刷メソッドに渡され、機密データが意図せずに漏洩される可能性があることを示しています。

脆弱コード例 2

1
2
3
4
5
6
7
8
9
10
11
12
13
   namespace Program
   {
       class Program
       {
           static int x = 10;
           static void Main(string[] args)
           {
               int address = 20;
               log4net.ILog log = log4net.LogManager.GetLogger("application.log");
              log.Error("Application not started :"+ address);
          }
      }
  }

Klocwork は 10 行目で CS.INFORMATION_EXPOSURE.ALL の欠陥を報告します。これは、内部データがエラーレベルのロギングメソッドに渡され、機密データが意図せずに漏洩される可能性があることを示しています。

関連チェッカー

• CS.INFORMATION_EXPOSURE.ATTR

外部参考資料

• CWE-200: 認証されていない主体への機密情報の漏洩
• OWASP A3:2017 機密データの漏えい
• OWASP A6:2017 不適切なセキュリティ設定
• OWASP A1:2021 アクセス制御の不備

セキュリティトレーニング

Secure Code Warrior が提供しているアプリケーションセキュリティトレーニング教材。

• 「Sensitive Data Exposure (機密データの漏えい)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます
• 「Security Misconfiguration (不適切なセキュリティ設定)」トレーニングビデオ - トレーニングサンプルを使用して自分のスキルをテストできます