Skip to main content

ASP.NETのスキャンルール

 

Contrast Scanでは、ASP.NETに対して以下のルールをサポートしています。

深刻度

Contrastルール

エンジンルールID

説明

重大

Dangerous App Setting 

OPT.ASPNET.DangerousAppSetting 

DangerousAppSetting:危険なアプリケーションの設定

重大

Too Broad CORS Policy 

OPT.ASPNET.TooBroadCORSPolicy 

TooBroadCORSPolicy:CORSポリシー(クロスオリジンリソース共有)での広すぎる許可範囲

重大

CBII 

OPT.ASPNET.CBII 

CBII:コードビハインドのファイルの使用

重大

Respect MVC 

OPT.ASPNET.CBNC 

CBNC:MVCの重要性

重大

Enable View State Mac 

OPT.ASPNET.EnableViewStateMac 

EnableViewStateMac:EnableViewStateMacの設定禁止 {'OWASP-2021': ['A5'], 'PCI-DSS': ['6.5.1']}

重大

Cross Site Scripting

OPT.ASPNET.CrossSiteScripting 

CrossSiteScripting:Webページ生成中の入力の不適切な無害化(クロスサイトスクリプティング)

Avoid Enabled Debug Mode 

OPT.ASPNET.AvoidEnabledDebugMode 

AvoidEnabledDebugMode:ASP.NETの設定ミス:デバッグ用バイナリの作成

Clickjacking Protection 

OPT.ASPNET.ClickjackingProtection 

ClickjackingProtection:クリックジャッキング攻撃に対する保護の未設定

Re DoS In Regular Expression Validator 

OPT.ASPNET.ReDoSInRegularExpressionValidator 

ReDoSInRegularExpressionValidator:RegularExpressionValidatorの正規表現がDos攻撃に使われる可能性

Session Hijacking Misconfiguration 

OPT.ASPNET.SessionHijackingMisconfiguration 

SessionHijackingMisconfiguration:セッションハイジャック攻撃を容易にする設定ミス

Trace Enabled 

OPT.ASPNET.TraceEnabled 

TraceEnabled:トレース情報が有効でリモートアクセスが可能

Unprotected Roles In Cookies 

OPT.ASPNET.UnprotectedRolesInCookies 

UnprotectedRolesInCookies:クッキー内に保護されていないロールが存在

WCF Audit Misconfiguration 

OPT.ASPNET.WCFAuditMisconfiguration 

WCFAuditMisconfiguration:WCFにおけるセキュリティイベントの設定ミスの確認

WCF Transport Security 

OPT.ASPNET.WCFTransportSecurity 

WCFTransportSecurity:WCFでトランスポートセキュリティモードの使用禁止

Avoid Impersonation 

OPT.ASPNET.AvoidImpersonation 

AvoidImpersonation:ASP.NETの設定でなりすましの回避

HTTP Verb Tampering 

OPT.ASPNET.HTTPVerbTampering 

HTTPVerbTampering:HTTPの動詞改ざんを許可する承認ルールの設定ミス

Header Validation Misconfiguration 

OPT.ASPNET.HeaderValidationMisconfiguration 

HeaderValidationMisconfiguration:HTTPレスポンスヘッダ内のも検証データ(HTTPレスポンス分割攻撃)

Path Relative Stylesheet Import 

OPT.ASPNET.PathRelativeStylesheetImport 

PathRelativeStylesheetImport:相対パスでのスタイルシートのインポート

Target Blank Vulnerability 

OPT.ASPNET.TargetBlankVulnerability 

TargetBlankVulnerability:外部サイトへのリンクの適切ではない無害化

Credentials Misconfiguration 

OPT.ASPNET.CredentialsMisconfiguration 

CredentialsMisconfiguration:Web.configファイルにおけるパスワードの漏洩

Prevent MIME Sniffing 

OPT.ASPNET.PreventMIMESniffing 

PreventMIMESniffing:MIMEスニッフィングの防止

Don't use masterpage files 

OPT.ASPNET.MP 

MP:マスターページのファイルの使用禁止

Form Without Captcha 

OPT.ASPNET.FormWithoutCaptcha 

FormWithoutCaptcha:CAPTCHAなしのフォーム

Authentication Forms Without SSL 

OPT.ASPNET.AuthenticationFormsWithoutSSL 

AuthenticationFormsWithoutSSL:フォームによる認証時のSSLの有効化

Avoid Disabled Validate Request 

OPT.ASPNET.AvoidDisabledValidateRequest 

AvoidDisabledValidateRequest:コードインジェクション攻撃を防ぐためページ内のValidateRequestの値をtrueに設定が必要

Avoid Disabled Validate Request Config 

OPT.ASPNET.AvoidDisabledValidateRequestConfig 

AvoidDisabledValidateRequestConfig:コードインジェクション攻撃を防ぐためページ内のvalidateRequest属性をtrueに設定が必要

Avoid Send Cookies Unencrypted HTTP 

OPT.ASPNET.AvoidSendCookiesUnencryptedHTTP 

AvoidSendCookiesUnencryptedHTTP:クッキーの送信は HTTPでのみ有効化

Avoid Send Cookies Without SSL 

OPT.ASPNET.AvoidSendCookiesWithoutSSL 

AvoidSendCookiesWithoutSSL:SSLを使用しないクッキー送信は禁止

Directory Browsing 

OPT.ASPNET.DirectoryBrowsing 

DirectoryBrowsing:ディレクトリの閲覧が有効

Forms Authenticacion Timeout 

OPT.ASPNET.FormsAuthenticacionTimeout 

FormsAuthenticacionTimeout:認証クッキーの有効期限が必要

Service Metadata Visibility 

OPT.ASPNET.ServiceMetadataVisibility 

ServiceMetadataVisibility:サービスメタデータの漏洩

WCF Avoid Enabled Debug 

OPT.ASPNET.WCFAvoidEnabledDebug 

WCFAvoidEnabledDebug:WCFのデバッグ情報の有効化の禁止

Avoid Empty Files 

OPT.ASPNET.AvoidEmptyFiles 

AvoidEmptyFiles:空のファイル作成の回避

Avoid Enabled View State Mode Page 

OPT.ASPNET.AvoidEnabledViewStateModePage 

AvoidEnabledViewStateModePage:ページレベルでのViewStateModeの有効化の回避

Avoid Use Style Of Controls 

OPT.ASPNET.AvoidUseStyleOfControls 

AvoidUseStyleOfControls:タグ属性によるスタイルではなくCssClass属性の使用

Enable Custom Error Page 

OPT.ASPNET.EnableCustomErrorPage 

EnableCustomErrorPage:ASP.NETの設定ミス:カスタムエラーページの欠落

Avoid Content Delivery Network 

OPT.ASPNET.AvoidContentDeliveryNetwork 

AvoidContentDeliveryNetwork:JavaScriptコードでのコンテンツデリバリネットワーク(CDN)の使用禁止

Specify Integrity Attribute 

OPT.ASPNET.SpecifyIntegrityAttribute 

SpecifyIntegrityAttribute:<script>要素と<link>要素にはintegrity属性の設定が必要

Credentials In Connection String 

OPT.ASPNET.CredentialsInConnectionString 

CredentialsInConnectionString:接続文字列内の認証情報の保護が不十分

Persist Security Info True 

OPT.ASPNET.PersistSecurityInfoTrue 

PersistSecurityInfoTrue:接続文字列で「Persist Security Info」の有効化

このセクションの内容: