Skip to main content

Scalaのスキャンルール

 

Contrast Scanでは、Scalaに対して以下のルールをサポートしています。

深刻度

Contrastルール

エンジンルールID

説明

重大

Too Broad CORS Policy

OPT.SCALA.SECURITY.TooBroadCORSPolicy

TooBroadCORSPolicy:HTML5 Access-Control-Allow-Originヘッダーで許可されているオリジンが多すぎ

重大

Too Much Origins Allowed

OPT.SCALA.SECURITY.TooMuchOriginsAllowed

TooMuchOriginsAllowedRule:CORSボリシー(クロスオリジンリソース共有)での広すぎる許可範囲

重大

Code Injection

OPT.SCALA.SECURITY.CodeInjection

CodeInjection:動的なコード評価における無害化されていないユーザ制御入力の回避

重大

Command Injection

OPT.SCALA.SECURITY.CommandInjection

CommandInjection:OSコマンドで使用する特殊要素の不適切な無害化(OSコマンドインジェクション)

重大

Connection String Parameter Pollution

OPT.SCALA.SECURITY.ConnectionStringParameterPollution

ConnectionStringParameterPollution::信頼できない入力で汚染された接続文字列

重大

Cross Site Scripting

OPT.SCALA.SECURITY.CrossSiteScripting

CrossSiteScripting:Webページ生成中の入力の不適切な無害化(クロスサイトスクリプティング)

重大

Http Splitting

OPT.SCALA.SECURITY.HttpSplitting

HttpSplitting:HTTPヘッダにおけるCRLFシーケンスの不適切な無害化(HTTPレスポンス分割攻撃)

重大

JSON Injection

OPT.SCALA.SECURITY.JSONInjection

JSONInjection:JSONエンティティにおける無害化されていないユーザ制御入力の使用の回避(JSONインジェクション)

重大

Ldap Injection

OPT.SCALA.SECURITY.LdapInjection

LdapInjection:LDAP検索フィルタにおける無害化されていないユーザ制御入力の回避

重大

Mail Command Injection

OPT.SCALA.SECURITY.MailCommandInjection

MailCommandInjection:メールコマンドインジェクション

重大

No SQL Injection

OPT.SCALA.SECURITY.NoSQLInjection

NoSQLInjection:データクエリロジックにおける特殊要素の不適切な無害化(NoSQLインジェクション)

重大

Process Control

OPT.SCALA.SECURITY.ProcessControl

ProcessControl:信頼できないソースから読み込まれたライブラリ

重大

Regex Injection

OPT.SCALA.SECURITY.RegexInjection

RegexInjection:悪意のある正規表現によるDoS攻撃の防止(正規表現インジェクション)

重大

Same Origin Method Execution

OPT.SCALA.SECURITY.SameOriginMethodExecution

SameOriginMethodExecution:同一オリジンメソッド実行(SOME)

重大

SQL Injection

OPT.SCALA.SECURITY.SqlInjection

SqlInjection:無害化されていないユーザ入力によって生成されるSQLコードの回避(SQLインジェクション攻撃に対して脆弱)

重大

Xml Entity Injection

OPT.SCALA.SECURITY.XmlEntityInjection

XmlEntityInjection:XMLエンティティインジェクション

重大

Accessibility Subversion

OPT.SCALA.SECURITY.AccessibilitySubversion

AccessibilitySubversionRule:Javaアクセス制限の回避(リフレクション)

重大

Anonymous Ldap Bind

OPT.SCALA.SECURITY.AnonymousLdapBind

AnonymousLdapBind:アクセス制御 - 匿名LDAPバインドの検出

重大

Password In Redirect

OPT.SCALA.SECURITY.PasswordInRedirect

PasswordInRedirect:パスワード管理 - リダイレクト内のパスワード

重大

Path Traversal

OPT.SCALA.SECURITY.PathTraversal

PathTraversal:リソースへのパス名で構成される、無害化されていないユーザ制御の入力の回避

重大

Hardcoded Crypto Key

OPT.SCALA.SECURITY.HardcodedCryptoKey

HardcodedCryptoKey:ハードコードされた暗号鍵

重大

Non Random IV With CBC Mode

OPT.SCALA.SECURITY.NonRandomIVWithCBCMode

NonRandomIVWithCBCMode:CBCモードでランダムな初期化ベクトル(IV)が使用されていない可能性

重大

Weak Cryptographic Hash

OPT.SCALA.SECURITY.WeakCryptographicHash

WeakCryptographicHash:脆弱な暗号化ハッシュ

重大

Weak Encryption

OPT.SCALA.SECURITY.WeakEncryption

WeakEncryption:脆弱な共通鍵暗号アルゴリズム

Akka Security Misconfiguration

OPT.SCALA.SECURITY.AkkaSecurityMisconfiguration

AkkaSecurityMisconfiguration: Akkaフレームワークのセキュリティ設定ミス

Play Security Misconfiguration

OPT.SCALA.SECURITY.PlaySecurityMisconfiguration

PlaySecurityMisconfiguration:Playフレームワークのセキュリティ設定ミス

Cross Site Request Forgery

OPT.SCALA.SECURITY.CrossSiteRequestForgery

CrossSiteRequestForgery:クロスサイトリクエストフォージェリ(CSRF)

External Control Of Configuration Setting

OPT.SCALA.SECURITY.ExternalControlOfConfigurationSetting

ExternalControlOfConfigurationSetting:システム設定または構成設定の外部制御

Http Parameter Pollution

OPT.SCALA.SECURITY.HttpParameterPollution

HttpParameterPollution:HTTPパラメータ汚染(HPP)

Open Redirect

OPT.SCALA.SECURITY.OpenRedirect

OpenRedirect:未検証の入力によってリダイレクト先のURLを制御することを許可しない

Resource Injection

OPT.SCALA.SECURITY.ResourceInjection

ResourceInjection:リソース識別子の不適切な制御 (リソースインジェクション)

Server Side Request Forgery

OPT.SCALA.SECURITY.ServerSideRequestForgery

ServerSideRequestForgery:信頼できない入力を使用した脆弱なサーバからのリクエストの作成(サーバサイドリクエストフォージェリ、SSRF)

Trust Boundary Violation

OPT.SCALA.SECURITY.TrustBoundaryViolation

TrustBoundaryViolation:信頼境界線違反

Unsafe Reflection

OPT.SCALA.SECURITY.UnsafeReflection

UnsafeReflection:クラスまたはコードを選択するための外部制御入力の使用(安全でないリフレクション)

XPath Injection

OPT.SCALA.SECURITY.XPathInjection

XPathInjection:XPath式内のデータの不適切な無害化(XPathインジェクション)

Xslt Injection

OPT.SCALA.SECURITY.XsltInjection

XsltInjection:XML インジェクション(別名、ブラインドXPathインジェクション)

Hardcoded Ip

OPT.SCALA.SECURITY.HardcodedIp

HardcodedIp:ソースコードにおけるIPアドレスの書き込み禁止

Information Exposure Through Error Message

OPT.SCALA.SECURITY.InformationExposureThroughErrorMessage

InformationExposureThroughErrorMessage:エラー メッセージによる機密情報の露出の回避

Cookies In Security Decision

OPT.SCALA.SECURITY.CookiesInSecurityDecision

CookiesInSecurityDecision:セキュリティ決定における検証と整合性チェックなしのCookieへの依存

User Controlled SQL Primary Key

OPT.SCALA.SECURITY.UserControlledSQLPrimaryKey

UserControlledSQLPrimaryKey:ユーザ制御の主キーのクエリ使用禁止

Hardcoded Salt

OPT.SCALA.SECURITY.HardcodedSalt

HardcodedSalt:安全でないハードコードされたソルト

Inadequate Padding

OPT.SCALA.SECURITY.InadequatePadding

InadequatePadding:不十分なパディング

Insecure Transport

OPT.SCALA.SECURITY.InsecureTransport

InsecureTransport:安全でない送信

Insufficient Key Size

OPT.SCALA.SECURITY.InsufficientKeySize

InsufficientKeySize:脆弱な暗号方式・鍵長の検出

情報

Log Forging

OPT.SCALA.SECURITY.LogForging

LogForging:ログの出力の不適切な無害化

Plaintext Storage In A Cookie Rule

OPT.SCALA.SECURITY.PlaintextStorageInACookieRule

PlaintextStorageInACookieRule:Cookieでの機密情報の平文保存

Unsafe Cookie

OPT.SCALA.SECURITY.UnsafeCookie

UnsafeCookie:適切なセキュリティプロパティを持つサーバ側のCookieの生成

Avoid Host Name Checks

OPT.SCALA.SECURITY.AvoidHostNameChecks

AvoidHostNameChecks:DNSポイズニングによる信頼性の低いクライアント側のホスト名のチェックの回避

Format String Injection

OPT.SCALA.SECURITY.FormatStringInjection

FormatStringInjection:無害化されていないユーザ入力をフォーマット文字列から除外

Serialization Injection

OPT.SCALA.SECURITY.SerializationInjection

SerializationInjection:信頼できないデータのデシリアライゼーション

Hardcoded Username Password

OPT.SCALA.SECURITY.HardcodedUsernamePassword

HardcodedUsernamePassword:ハードコードされた資格情報の使用

JSON P Hijacking

OPT.SCALA.SECURITY.JSONPHijacking

JSONPHijacking:JSONPを介した機密情報の漏洩

Password In Configuration File

OPT.SCALA.SECURITY.PasswordInConfigurationFile

PasswordInConfigurationFile:設定ファイルでの認証情報の使用

Avoid Native Calls

OPT.SCALA.SECURITY.AvoidNativeCalls

AvoidNativeCalls:Scalaからのネイティブ(JNI)コード呼び出しの回避

Plaintext Storage Of Password

OPT.SCALA.SECURITY.PlaintextStorageOfPassword

PlaintextStorageOfPassword:パスワードの平文保存

Privacy Violation

OPT.SCALA.SECURITY.PrivacyViolation

PrivacyViolation:個人情報の漏洩(プライバシー侵害)

Serializable Class Containing Sensitive Data

OPT.SCALA.SECURITY.SerializableClassContainingSensitiveData

SerializableClassContainingSensitiveData:機密データを含むシリアライズ可能クラスの検出

Detail Error Leak

OPT.SCALA.SECURITY.DetailErrorLeak

DetailErrorLeakRule:クライアントへの詳細なエラー情報の送信禁止

Execution After Redirect

OPT.SCALA.SECURITY.ExecutionAfterRedirect

ExecutionAfterRedirect:リダイレクト処理後のコードの実行(EAR)

Potential Infinite Loop

OPT.SCALA.SECURITY.PotentialInfiniteLoop

PotentialInfiniteLoop:到達不可能な終了条件を持つルール(無限ループ)

Unchecked Input In Loop Condition

OPT.SCALA.SECURITY.UncheckedInputInLoopCondition

UncheckedInputInLoopCondition:ループ条件における未チェックの入力

Insecure Randomness

OPT.SCALA.SECURITY.InsecureRandomness

InsecureRandomnes:安全でない標準的な擬似乱数生成器

 

このセクションの内容: