Goのスキャンルール
Contrast Scanでは、Goに対して以下のルールをサポートしています。
深刻度 | Contrastルール | エンジンルールID | 説明 |
|---|---|---|---|
重大 | Insecure SSL | OPT.GO.SECURITY.InsecureSSL | InsecureSSL:安全でないSSLの設定 |
重大 | Too Much Origins Allowed | OPT.GO.SECURITY.TooMuchOriginsAllowed | TooMuchOriginsAllowed:CORSポリシー(クロスオリジンリソース共有)での広すぎる許可範囲 |
重大 | Anonymous Ldap Bind | OPT.GO.SECURITY.AnonymousLdapBind | AnonymousLdapBind:アクセス制御 - 匿名LDAPバインドの検出 |
重大 | Forbidden Call | OPT.GO.SECURITY.ForbiddenCall | ForbiddenCall:危険な関数の呼び出しの検出 |
重大 | Code Injection | OPT.GO.SECURITY.CodeInjection | CodeInjection:動的なコード評価における無害化されていないユーザ制御入力の回避 |
重大 | Command Injection | OPT.GO.SECURITY.CommandInjection | CommandInjection:OSコマンドで使用する特殊要素の不適切な無害化(OSコマンドインジェクション) |
重大 | Connection String Parameter Pollution | OPT.GO.SECURITY.ConnectionStringParameterPollution | ConnectionStringParameterPollution::信頼できない入力で汚染された接続文字列 |
重大 | Cross Site Scripting | OPT.GO.SECURITY.CrossSiteScripting | CrossSiteScripting:Webページ生成中の入力の不適切な無害化(クロスサイトスクリプティング) |
重大 | Http Splitting | OPT.GO.SECURITY.HttpSplitting | HttpSplitting:HTTPヘッダにおけるCRLFシーケンスの不適切な無害化(HTTPレスポンス分割攻撃) |
重大 | Ldap Injection | OPT.GO.SECURITY.LdapInjection | LdapInjection:LDAP検索フィルタにおける無害化されていないユーザ制御入力の回避 |
重大 | Mail Command Injection | OPT.GO.SECURITY.MailCommandInjection | MailCommandInjection:メールコマンドインジェクション |
重大 | No SQL Injection | OPT.GO.SECURITY.NoSQLInjection | NoSQLInjection:データクエリロジックにおける特殊要素の不適切な無害化(NoSQLインジェクション) |
重大 | Process Control | OPT.GO.SECURITY.ProcessControl | ProcessControl::信頼できないソースからの実行可能ファイルまたはライブラリのロードの禁止 |
重大 | Regex Injection | OPT.GO.SECURITY.RegexInjection | RegexInjection:悪意のある正規表現によるDoS攻撃の防止(正規表現インジェクション) |
重大 | Same Origin Method Execution | OPT.GO.SECURITY.SameOriginMethodExecution | SameOriginMethodExecution:同一オリジンメソッド実行(SOME) |
重大 | Path Traversal | OPT.GO.SECURITY.PathTraversal | PathTraversal:リソースへのパス名で構成される、無害化されていないユーザ制御の入力の回避 |
重大 | SQL Injection | OPT.GO.SECURITY.SqlInjection | SqlInjection:無害化されていないユーザ入力によって生成されるSQLコードの回避(SQLインジェクション攻撃に対して脆弱) |
重大 | XPath Injection | OPT.GO.SECURITY.XPathInjection | XPathInjection:無害化されていないユーザ入力で生成されるXPath式の回避 |
重大 | Password In Redirect | OPT.GO.SECURITY.PasswordInRedirect | PasswordInRedirect:パスワード管理 - リダイレクト内のパスワード |
重大 | Hardcoded Crypto Key | OPT.GO.SECURITY.HardcodedCryptoKey | HardcodedCryptoKey:ハードコードされた暗号鍵 |
重大 | Non Random IV With CBC Mode | OPT.GO.SECURITY.NonRandomIVWithCBCMode | NonRandomIVWithCBCMode:CBCモードでランダムな初期化ベクトル(IV)が使用されていない可能性 |
重大 | Weak Cryptographic Hash | OPT.GO.SECURITY.WeakCryptographicHash | WeakCryptographicHash:脆弱な暗号化ハッシュのデータの完全性の欠如 |
重大 | Weak Encryption | OPT.GO.SECURITY.WeakEncryption | WeakEncryption:脆弱な共通鍵暗号アルゴリズム |
高 | Insufficient Session Expiration | OPT.GO.SECURITY.InsufficientSessionExpiration | InsufficientSessionExpiration:セッションの有効期限の間隔が制限を超えていないことの確認 |
高 | Cookies In Security Decision | OPT.GO.SECURITY.CookiesInSecurityDecision | CookiesInSecurityDecision:セキュリティ決定における検証と整合性チェックなしのCookieへの依存 |
高 | Cross Site Request Forgery | OPT.GO.SECURITY.CrossSiteRequestForgery | CrossSiteRequestForgery:クロスサイトリクエストフォージェリ(CSRF) |
高 | Http Parameter Pollution | OPT.GO.SECURITY.HttpParameterPollution | HttpParameterPollution:HTTPパラメータ汚染(HPP) |
高 | JSON Injection | OPT.GO.SECURITY.JSONInjection | JSONInjection:JSONエンティティにおける無害化されていないユーザ制御入力の使用の回避(JSONインジェクション) |
高 | Log Forging | OPT.GO.SECURITY.LogForging | LogForging:ログの出力の不適切な無害化 |
高 | Open Redirect | OPT.GO.SECURITY.OpenRedirect | OpenRedirect:信頼できないサイトへのURLリダイレクト(オープンリダイレクト) |
高 | Resource Injection | OPT.GO.SECURITY.ResourceInjection | ResourceInjection:リソース識別子の不適切な制御(リソースインジェクション) |
高 | Server Side Request Forgery | OPT.GO.SECURITY.ServerSideRequestForgery | ServerSideRequestForgery:信頼できない入力を使用した脆弱なサーバからのリクエストの作成(サーバサイドリクエストフォージェリ、SSRF) |
高 | Trust Boundary Violation | OPT.GO.SECURITY.TrustBoundaryViolation | TrustBoundaryViolation:信頼境界線違反 |
高 | Unsafe Reflection | OPT.GO.SECURITY.UnsafeReflection | UnsafeReflection:クラスまたはコードを選択するための外部制御入力の使用(安全でないリフレクション) |
高 | Xslt Injection | OPT.GO.SECURITY.XsltInjection | XsltInjection:XML インジェクション(別名、ブラインドXPathインジェクション) |
高 | User Controlled SQL Primary Key | OPT.GO.SECURITY.UserControlledSQLPrimaryKey | UserControlledSQLPrimaryKey:ユーザ制御の主キーのクエリ使用禁止 |
高 | Hardcoded Ip | OPT.GO.SECURITY.HardcodedIp | HardcodedIp:ソースコードにおけるIPアドレスの書き込み禁止 |
高 | Hardcoded Salt | OPT.GO.SECURITY.HardcodedSalt | HardcodedSalt:安全でないハードコードされたソルト |
高 | Insecure Transport | OPT.GO.SECURITY.InsecureTransport | InsecureTransport:安全でない送信 |
高 | Insufficient Key Size | OPT.GO.SECURITY.InsufficientKeySize | InsufficientKeySize:脆弱な暗号方式・鍵長の検出 |
高 | Server Insecure Transport | OPT.GO.SECURITY.ServerInsecureTransport | ServerInsecureTransport:HTTPサーバにおける安全でない送信 |
低 | Password In Comments | OPT.GO.SECURITY.PasswordInComments | PasswordInComments:システムまたはシステムコード内に平文でのパスワード/パスワードの詳細の保存を検出(システムのセキュリティを脅かす可能性あり) |
中 | Plaintext Storage In A Cookie | OPT.GO.SECURITY.PlaintextStorageInACookie | PlaintextStorageInACookieRule:Cookieに機密情報の平文保存 |
中 | Unsafe Cookie | OPT.GO.SECURITY.UnsafeCookie | UnsafeCookie:適切なセキュリティプロパティを持つサーバ側のCookieの生成 |
中 | Unreachable Code | OPT.GO.RELIABILITY.UnreachableCode | UnreachableCode:到達不能(デッド)コード |
中 | Avoid Native Calls | OPT.GO.SECURITY.AvoidNativeCalls | AvoidNativeCalls:GOからCネイティブコードの呼び出しの回避 |
中 | Execution After Redirect | OPT.GO.SECURITY.ExecutionAfterRedirect | ExecutionAfterRedirect:リダイレクト処理後のコードの実行(EAR) |
中 | Avoid Host Name Checks | OPT.GO.SECURITY.AvoidHostNameChecks | AvoidHostNameChecks:DNSポイズニングによる信頼性の低いクライアント側のホスト名のチェックの回避 |
中 | Format String Injection | OPT.GO.SECURITY.FormatStringInjection | FormatStringInjection:無害化されていないユーザ入力をフォーマット文字列から除外 |
中 | Potential Blocker Stmt | OPT.GO.SECURITY.PotentialBlockerStmt | PotentialBlockerStmt:リソースの枯渇につながる可能性のあるステートメントの見直し |
中 | Potential Infinite Loop | OPT.GO.SECURITY.PotentialInfiniteLoop | PotentialInfiniteLoop:到達不可能な終了条件を持つルール(無限ループ) |
中 | Profiling Endpoint Exposed | OPT.GO.SECURITY.ProfilingEndpointExposed | ProfilingEndpointExposed:プロファイリングにより自動的にエンドポイントが公開 |
中 | Unchecked Input In Loop Condition | OPT.GO.SECURITY.UncheckedInputInLoopCondition | UncheckedInputInLoopCondition:ループ条件における未チェックの入力 |
中 | Hardcoded Username Password | OPT.GO.SECURITY.HardcodedUsernamePassword | HardcodedUsernamePassword:ハードコードされた資格情報の使用 |
中 | JSON P Hijacking | OPT.GO.SECURITY.JSONPHijacking | JSONPHijacking:JSONPを介した機密情報の漏洩 |
中 | Password In Configuration File | OPT.GO.SECURITY.PasswordInConfigurationFile | PasswordInConfigurationFile:設定ファイルでの認証情報の使用 |
中 | Plaintext Storage Of Password | OPT.GO.SECURITY.PlaintextStorageOfPassword | PlaintextStorageOfPassword:パスワードの平文保存 |
中 | Privacy Violation | OPT.GO.SECURITY.PrivacyViolation | PrivacyViolation:個人情報の漏洩(プライバシー侵害) |
中 | Serializable Type Containing Sensitive Data | OPT.GO.SECURITY.SerializableTypeContainingSensitiveData | SerializableTypeContainingSensitiveData:機密データを含むシリアライズ可能な型 |
中 | Insecure Randomness | OPT.GO.SECURITY.InsecureRandomness | InsecureRandomnes:安全でない標準的な擬似乱数生成器 |