JSPのスキャンルール
Contrast Scanでは、JSPに対して以下のルールをサポートしています。
深刻度 | Contrastルール | エンジンルールID | 説明 |
|---|---|---|---|
重大 | Expression Language Injection | OPT.JSP.SEC_JSP.ExpressionLanguageInjection | ExpressionLanguageInjection:式言語(EL/OGNL)インジェクション |
重大 | Long JavaScript scripts | OPT.JSP.CFFJSP.ALJS | ALJS:長いJSスクリプトの回避 |
重大 | Duplicate pages in multiple locations | OPT.JSP.CFFJSP.DPNM | DPNM:異なる場所で重複したページの検出 |
重大 | JSP Page Name | OPT.JSP.CFFJSP.JSPPageName | JSPPageName:jspページの名前における命名規則の遵守 |
重大 | JSP Forward found | OPT.JSP.CFFJSP.NJFW | NJFW:他のjspページへの直接呼び出しの検出 |
重大 | Long script code | OPT.JSP.CFFJSP.NLSC | NLSC:長いスクリプトレットの回避 |
重大 | JSP files no in the configured folder | OPT.JSP.CFFJSP.UECD | UECD:設定されたフォルダとは異なるフォルダにあるJSPページ |
重大 | Dont Mix Jstl And Jsf Tags | OPT.JSP.PB_JSF.DontMixJstlAndJsfTags | DontMixJstlAndJsfTags:JSFタグ内でのJSTLタグのネスト、またはその逆 |
重大 | Dont Use Conditional Tags In Iterative Tags | OPT.JSP.PB_JSF.DontUseConditionalTagsInIterativeTags | DontUseConditionalTagsInIterativeTags:反復タグ内での条件タグの使用禁止 |
重大 | Avoid Architecture Classes From JSP Rule | OPT.JSP.SEC_JSP.AvoidArchitectureClassesFromJSPRule | AvoidArchitectureClassesFromJSPRule:JSPページにおけるアーキテクチャクラスのインポート禁止 |
重大 | File Inclusion Vulnerability | OPT.JSP.SEC_JSP.FileInclusionVulnerability | FileInclusionVulnerability:JSPのファイルインクルードの脆弱性 |
重大 | Database access from a JSP page | OPT.JSP.CFFJSP.ABDP | ABDP:JSPページからのデータベースアクセス |
重大 | Missing Password Field Masking | OPT.JSP.SEC_JSP.MissingPasswordFieldMasking | MissingPasswordFieldMasking:マスクされていないパスワード入力フィールド |
重大 | Unprotected Transport Credential | OPT.JSP.SEC_JSP.UnprotectedTransportCredential | UnprotectedTransportCredential:保護されていない資格情報の転送 |
高 | Path Relative Stylesheet Import | OPT.JSP.SEC_JSP.PathRelativeStylesheetImport | PathRelativeStylesheetImport:相対パスでのスタイルシートのインポート |
高 | Target Blank Vulnerability | OPT.JSP.SEC_JSP.TargetBlankVulnerability | TargetBlankVulnerability:外部サイトへのリンクの適切ではない無害化 |
高 | Unnecessary spaces, tab and line terminators | OPT.JSP.CFFJSP.AWLL | AWLL:ループ内全体で不要なスペース、タブ、行末記号が多数含まれているページ |
高 | Check URL | OPT.JSP.CFFJSP.CheckURL | CheckURL:JSPページのURLのチェック |
高 | Missing comments in JSP pages | OPT.JSP.CFFJSP.ICPJ | ICPJ:コメントが記述されていないJSPページ |
高 | Multiple CSS tags | OPT.JSP.CFFJSP.NAEE | NAEE:ループに内に含まれる要素での過多なCSSタグ |
高 | JavaScript code in JSP pages | OPT.JSP.CFFJSP.NFJS | NFJS:ページでのJavascriptコードの使用 |
高 | Java source code found | OPT.JSP.CFFJSP.NSCR | NSCR:一部のJSPページにおけるJAVAソースコードの検出 |
高 | Use of document.write | OPT.JSP.CFFJSP.NUSDW | NUSDW:document.writeコマンドを含むJSPファイルからのHTMLコードの挿入 |
高 | Commented out JavaScript code | OPT.JSP.CFFJSP.NUSJSC | NUSJSC:コメントアウトされたjavascript行の検出 |
高 | Allowed Uris | OPT.JSP.GEN_JSF.AllowedUris | AllowedUris:タグライブラリ宣言には標準のURIを含めることが必要 |
高 | Information Exposure In Get Request | OPT.JSP.SEC_JSP.InformationExposureInGetRequest | InformationExposureInGetRequest:GETで送信される文字列による情報露出 |
情報 | Duplicate imports | OPT.JSP.CFFJSP.DJIM | DJIM:JSPファイルでの重複したimport文の回避 |
低 | Form Without Captcha | OPT.JSP.SEC_JSP.FormWithoutCaptcha | FormWithoutCaptcha:CAPTCHAなしのフォーム |
低 | Managed Beans Naming Convention | OPT.JSP.NAM_JSF.ManagedBeansNamingConvention | ManagedBeansNamingConvention:マネージドBean名の命名規則の遵守 |
低 | IFrames missing src attribute | OPT.JSP.CFFJSP.IMSA | IMSA:src属性のないiframe使用の回避 |
中 | Specify Integrity Attribute | OPT.JSP.SEC_JSP.SpecifyIntegrityAttribute | SpecifyIntegrityAttribute: <script>要素と<link>要素におけるintegrity属性の指定 |
中 | Literals in JSP pages | OPT.JSP.CFFJSP.ELED | ELED:JSPページに含まれているリテラルの検出 |
中 | Empty pages | OPT.JSP.CFFJSP.ISEM | ISEM:空のページの検出 |
中 | Class attribute found | OPT.JSP.CFFJSP.NCAT | NCAT:class属性の欠落 |
中 | HTML commented code | OPT.JSP.CFFJSP.NHMC | NHMC:HTMLコメントの検出 |
中 | Inline style found | OPT.JSP.CFFJSP.NISI | NISI:スタイル情報のないJSP |
中 | Use of repoeated data in option lists | OPT.JSP.CFFJSP.NUSO | NUSO:静的情報を持つコンボリストの使用(オプションリストが不要になる) |
中 | No header comments | OPT.JSP.CFFJSP.UHCP | UHCP:ヘッダーコメントがないJSPページ |