Page tree

소나큐브는 다양한 룰을 포함하고 있다. 이 페이지는 행안부의 보안취약점에 대응하는 SonaQube 대응룰을 정리한다. 

소나큐브 룰 = https://rules.sonarsource.com

No.

행자부 SW 보안약점

Rules지원여부


크로스사이트 스크립트

CWE-79, RSPEC-5131
1입력데이터 검증 및 표현

SQL 삽입

CWE-89

SQL 삽입공격: JDOCWE-89

SQL 삽입공격: Persistence

CWE-89

SQL 삽입공격: myBatis Data Map

CWE-89

상대 디렉토리 경로 조작CWE-23

절대 디렉토리 경로 조작CWE-36

운영체제 명령어 삽입

CWE-78

LDAP 삽입CWE-90

LDAP 처리CWE-90

자원 삽입

CWE-99

HTTP 응답분할

CWE-113

시스템 또는 구성 설정의 외부 제어

CWE-15

크로스 사이트 스크립트 공격 취약점 : DOMCWE-80

동적으로 생성되어 수행되는 명령어 삽입

CWE-95

프로세스 제어CWE-114

정수형 오버플로우CWE-190

무제한 파일 업로드CWE-434

안전하지 않은 리플렉션CWE-470

무결성 점검 없는 코드 다운로드CWE-494

SQL 삽입공격 : HibernateCWE-564

신뢰되지 않는 URL 주소로 자동접속 연결

CWE-601

XPath 삽입

CWE-643

XQuery 삽입

CWE-652
3

크로스사이트 스크립트

CWE-79, RSPEC-5131

보안기능 결정에 사용되는 부적절한 입력값

CWE-807







16보안기능적절한 인증 없는 중요기능 허용CWE-306미지원
17부적절한 인가CWE-285
18중요한 자원에 대한 잘못된 권한 설정CWE-732미지원
19취약한 암호화 알고리즘 사용CWE-327
20중요정보 평문저장CWE-312
21취약한 암호화 알고리즘 사용CWE-327
22하드코드된 비밀번호CWE-798, CWE-259
23충분하지 않은 키 길이 사용CWE-326
24적절하지 않은 난수값 사용CWE-330
25하드코드된 암호화 키CWE-798, CWE-259
26취약한 비밀번호 허용CWE-521
27사용자 하드디스크 저장되는 쿠키를 통한 정보노출CWE-539 미지원
28주석문 안에 포함된 시스템 주요정보

CWE-615


29솔트 없이 일방향 해쉬 함수 사용

CWE-759


30무결성 검사없는 코드 다운로드

CWE-494 

미지원
31반복된 인증시도 제한 기능 부재

CWE-307 

미지원
32시간 및 상태경쟁조건: 검사시점과 사용시점 (TOCTOU)

CWE-367 

미지원
33종료되지 않은 반복문 또는 재귀 함수

CWE-835 

미지원
34에러처리오류 메시지를 통한 정보노출

CWE-209 

미지원
35오류 상황 대응 부재

CWE-390 

미지원
36부적절한 예외 처리CWE-754
37코드오류Null Pointer 역참조

CWE-476


38부적절한 자원 해제

CWE-404

미지원
39해제된 자원 사용

CWE-416

미지원
40초기화되지 않은 변수 사용

CWE-457

미지원
41캡슐화잘못된 세션에 의한 데이터 정보노출

CWE-488, CWE-543 

미지원
42제거되지 않고 남은 디버그 코드

CWE-489 

미지원
43시스템 데이터 정보노출

CWE-497 

미지원
44Public 메소드부터 반환된 Private 배열

CWE-495 

미지원
45Private 배열에 Public 데이터 할당

CWE-496 

미지원
46API 오용DNS Lookup에 의존한 보안결정

CWE-247 

미지원
47취약한 API 사용

CWE-676 

미지원
  • No labels