소나큐브는 다양한 룰을 포함하고 있다. 이 페이지는 행안부의 보안취약점에 대응하는 SonaQube 대응룰을 정리한다.
소나큐브 룰 = https://rules.sonarsource.com
No. | 행자부 SW 보안약점 | Rules | 지원여부 | |
---|---|---|---|---|
크로스사이트 스크립트 | CWE-79, RSPEC-5131 | |||
1 | 입력데이터 검증 및 표현 | SQL 삽입 | CWE-89 | |
SQL 삽입공격: JDO | CWE-89 | |||
SQL 삽입공격: Persistence | CWE-89 | |||
SQL 삽입공격: myBatis Data Map | CWE-89 | |||
상대 디렉토리 경로 조작 | CWE-23 | |||
절대 디렉토리 경로 조작 | CWE-36 | |||
운영체제 명령어 삽입 | CWE-78 | |||
LDAP 삽입 | CWE-90 | |||
LDAP 처리 | CWE-90 | |||
자원 삽입 | CWE-99 | |||
HTTP 응답분할 | CWE-113 | |||
시스템 또는 구성 설정의 외부 제어 | CWE-15 | |||
크로스 사이트 스크립트 공격 취약점 : DOM | CWE-80 | |||
동적으로 생성되어 수행되는 명령어 삽입 | CWE-95 | |||
프로세스 제어 | CWE-114 | |||
정수형 오버플로우 | CWE-190 | |||
무제한 파일 업로드 | CWE-434 | |||
안전하지 않은 리플렉션 | CWE-470 | |||
무결성 점검 없는 코드 다운로드 | CWE-494 | |||
SQL 삽입공격 : Hibernate | CWE-564 | |||
신뢰되지 않는 URL 주소로 자동접속 연결 | CWE-601 | |||
XPath 삽입 | CWE-643 | |||
XQuery 삽입 | CWE-652 | |||
3 | 크로스사이트 스크립트 | CWE-79, RSPEC-5131 | ||
보안기능 결정에 사용되는 부적절한 입력값 | ||||
16 | 보안기능 | 적절한 인증 없는 중요기능 허용 | CWE-306 | 미지원 |
17 | 부적절한 인가 | CWE-285 | ||
18 | 중요한 자원에 대한 잘못된 권한 설정 | CWE-732 | 미지원 | |
19 | 취약한 암호화 알고리즘 사용 | CWE-327 | ||
20 | 중요정보 평문저장 | CWE-312 | ||
21 | 취약한 암호화 알고리즘 사용 | CWE-327 | ||
22 | 하드코드된 비밀번호 | CWE-798, CWE-259 | ||
23 | 충분하지 않은 키 길이 사용 | CWE-326 | ||
24 | 적절하지 않은 난수값 사용 | CWE-330 | ||
25 | 하드코드된 암호화 키 | CWE-798, CWE-259 | ||
26 | 취약한 비밀번호 허용 | CWE-521 | ||
27 | 사용자 하드디스크 저장되는 쿠키를 통한 정보노출 | CWE-539 | 미지원 | |
28 | 주석문 안에 포함된 시스템 주요정보 | |||
29 | 솔트 없이 일방향 해쉬 함수 사용 | |||
30 | 무결성 검사없는 코드 다운로드 | CWE-494 | 미지원 | |
31 | 반복된 인증시도 제한 기능 부재 | CWE-307 | 미지원 | |
32 | 시간 및 상태 | 경쟁조건: 검사시점과 사용시점 (TOCTOU) | CWE-367 | 미지원 |
33 | 종료되지 않은 반복문 또는 재귀 함수 | CWE-835 | 미지원 | |
34 | 에러처리 | 오류 메시지를 통한 정보노출 | CWE-209 | 미지원 |
35 | 오류 상황 대응 부재 | CWE-390 | 미지원 | |
36 | 부적절한 예외 처리 | CWE-754 | ||
37 | 코드오류 | Null Pointer 역참조 | ||
38 | 부적절한 자원 해제 | CWE-404 | 미지원 | |
39 | 해제된 자원 사용 | CWE-416 | 미지원 | |
40 | 초기화되지 않은 변수 사용 | CWE-457 | 미지원 | |
41 | 캡슐화 | 잘못된 세션에 의한 데이터 정보노출 | CWE-488, CWE-543 | 미지원 |
42 | 제거되지 않고 남은 디버그 코드 | CWE-489 | 미지원 | |
43 | 시스템 데이터 정보노출 | CWE-497 | 미지원 | |
44 | Public 메소드부터 반환된 Private 배열 | CWE-495 | 미지원 | |
45 | Private 배열에 Public 데이터 할당 | CWE-496 | 미지원 | |
46 | API 오용 | DNS Lookup에 의존한 보안결정 | CWE-247 | 미지원 |
47 | 취약한 API 사용 | CWE-676 | 미지원 |