GitLab Advanced SAST 규칙: Java
GitLab v19.1Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
요약
GitLab Advanced SAST가 Java 코드의 취약점을 탐지하는 데 사용하는 규칙입니다.
GitLab Advanced SAST가 Java 코드의 취약점을 탐지하는 데 사용하는 규칙입니다.
| 규칙 ID | 규칙 설명 | CWE | OWASP Top 10 |
|---|---|---|---|
| java-android-crypto-webview-ignore-ssl-certificate-errors-atomic | 인증서 유효성 검사 오류 | CWE-295 | A3:2017, A02:2021 |
| java-android-misconfiguration-webview-debugging-atomic | 활성 디버그 코드 | CWE-489 | A6:2017, A05:2021 |
| java-android-misconfiguration-webview-external-storage-atomic | 위험한 메서드 또는 함수 노출 | CWE-749 | A1:2017, A03:2021 |
| java-commons-ssrf-httpclient-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |
| java-groovy-cmdi-groovyshell-taint | 코드 생성의 부적절한 제어('코드 인젝션') | CWE-94 | A1:2017, A03:2021 |
| java-hibernate-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-jackson-deserialization-objectmapper-atomic | Java 안전하지 않은 Jackson 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-jackson-deserialization-objectmapper-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-jdbc-sqli-formatted-string-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-jdbc-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-jdbi-sqli-handle-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-jdo-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-jms-deserialization-getobject-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-jpa-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-lang-accesscontrol-dangerous-permissions-atomic | 중요 리소스에 대한 잘못된 권한 할당 | CWE-732 | A5:2017, A01:2021 |
| java-lang-accesscontrol-overly-permissive-file-permission-atomic | 중요 리소스에 대한 잘못된 권한 할당 | CWE-732 | A5:2017, A01:2021 |
| java-lang-accesscontrol-saml-ignore-comments-atomic | 취약한 인증 | CWE-1390 | A5:2017, A01:2021 |
| java-lang-accesscontrol-webview-allow-file-access-atomic | 파일 이름 또는 경로의 외부 제어 | CWE-73 | A5:2017, A01:2021 |
| java-lang-cmdi-FileDisclosureRequestDispatcher-taint | 외부 주체가 접근 가능한 파일 또는 디렉터리 | CWE-552 | A5:2017, A01:2021 |
| java-lang-cmdi-env-injection-taint | OS 명령어에 사용되는 특수 요소의 부적절한 중화('OS 명령어 인젝션') | CWE-78 | A1:2017, A03:2021 |
| java-lang-cmdi-processbuilder-taint | OS 명령어에 사용되는 특수 요소의 부적절한 중화('OS 명령어 인젝션') | CWE-78 | A1:2017, A03:2021 |
| java-lang-cmdi-runtime-taint | OS 명령어에 사용되는 특수 요소의 부적절한 중화('OS 명령어 인젝션') | CWE-78 | A1:2017, A03:2021 |
| java-lang-cmdi-smtp-client-taint | 명령어에 사용되는 특수 요소의 부적절한 중화 | CWE-77 | A1:2017, A03:2021 |
| java-lang-codei-scriptinjection-taint | 코드 생성의 부적절한 제어('코드 인젝션') | CWE-94 | A1:2017, A03:2021 |
| java-lang-codei-unsafe-reflection-taint | 클래스 또는 코드 선택에 외부 제어 입력 사용('안전하지 않은 리플렉션') | CWE-470 | A1:2017, A03:2021 |
| java-lang-cors-permissive-cors-injection-taint | 신뢰할 수 없는 도메인에 대한 허용적 크로스 도메인 정책 | CWE-942 | A1:2017, A03:2021 |
| java-lang-crlfi-cookie-http-response-splitting-taint | HTTP 헤더의 CRLF 시퀀스 부적절한 중화('HTTP 응답 분할') | CWE-113 | A1:2017, A03:2021 |
| java-lang-crlfi-cookie-request-param-to-header-taint | HTTP 헤더의 CRLF 시퀀스 부적절한 중화('HTTP 응답 분할') | CWE-113 | A1:2017, A03:2021 |
| java-lang-crlfi-logs-injection-taint | 로그에 대한 부적절한 출력 중화 | CWE-117 | A1:2017, A03:2021 |
| java-lang-crypto-blowfish-keysize-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-ciperintegrity-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-cipher-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-cipherdesedeinsecure-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-cipherpaddingoracle-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-custom-messagedigest-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-defaulthttpclient-atomic | 인증서 유효성 검사 오류 | CWE-295 | A3:2017, A02:2021 |
| java-lang-crypto-des-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-disallow-old-tls-versions-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-ftp-insecure-transport-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-gcm-nonce-reuse-atomic | 암호화에서 논스, 키 쌍 재사용 | CWE-323 | A3:2017, A02:2021 |
| java-lang-crypto-hazelcast-symmetric-encryption-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-hostnameverifier-atomic | 인증서 유효성 검사 오류 | CWE-295 | A3:2017, A02:2021 |
| java-lang-crypto-http-components-request-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-httpget-http-request-taint | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-insecure-random-taint | 암호학적으로 취약한 의사 난수 생성기(PRNG) 사용 | CWE-338 | A3:2017, A02:2021 |
| java-lang-crypto-insufficient-keysize-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-jwt-none-algorithm-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-null-cipher-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-rc2-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-rc4-atomic | 취약하거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| java-lang-crypto-rsanopadding-atomic | OAEP 없이 RSA 알고리즘 사용 | CWE-780 | A3:2017, A02:2021 |
| java-lang-crypto-smtp-insecure-atomic | 호스트 불일치 인증서의 부적절한 유효성 검사 | CWE-297 | A3:2017, A02:2021 |
| java-lang-crypto-socket-request-unsafe-protocols-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-telnet-request-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-tls-unsafe-renegotiation-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-crypto-weak-messagedigest-atomic | 취약한 해시 사용 | CWE-328 | A3:2017, A02:2021 |
| java-lang-crypto-weaktls-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-weaktlsprotocolsslcontext-atomic | 불충분한 암호화 강도 | CWE-326 | A3:2017, A02:2021 |
| java-lang-crypto-x509trustmanager-atomic | 인증서 유효성 검사 오류 | CWE-295 | A3:2017, A02:2021 |
| java-lang-deserialization-objectinputstream-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-lang-deserialization-server-dangerous-object-deserialization-atomic | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-lang-file-disclosure-model-and-view-taint | 외부 주체가 접근 가능한 파일 또는 디렉터리 | CWE-552 | A5:2017, A01:2021 |
| java-lang-hpp-taint | 명령어의 인수 구분자 부적절한 중화('인수 인젝션') | CWE-88 | A1:2017, A03:2021 |
| java-lang-ldapi-anonymous-atomic | 중요 기능에 대한 인증 누락(LDAP) | CWE-306 | A2:2017, A07:2021 |
| java-lang-ldapi-taint | LDAP 쿼리에 사용되는 특수 요소의 부적절한 중화('LDAP 인젝션') | CWE-90 | A1:2017, A03:2021 |
| java-lang-misconfiguration-bad-hex-conversion-atomic | 잘못된 유형 변환 또는 캐스트 | CWE-704 | A6:2017, A04:2021 |
| java-lang-misconfiguration-cookie-http-url-connection-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-lang-misconfiguration-cookie-httponly-atomic | 'HttpOnly' 플래그가 없는 민감한 쿠키 | CWE-1004 | A6:2017, A05:2021 |
| java-lang-misconfiguration-cookie-insecure-atomic | 'Secure' 속성이 없는 HTTPS 세션의 민감한 쿠키 | CWE-614 | A6:2017, A05:2021 |
| java-lang-misconfiguration-cookie-samesite-taint | 부적절한 SameSite 속성을 가진 민감한 쿠키 | CWE-1275 | A05:2017, A01:2021 |
| java-lang-misconfiguration-external-general-entities-true-atomic | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-misconfiguration-normalizeaftervalidation-atomic | 잘못된 동작 순서: 정규화 전에 유효성 검사 | CWE-180 | A6:2017, A04:2021 |
| java-lang-misconfiguration-properties-input-taint | 시스템 또는 구성 설정의 외부 제어 | CWE-15 | A6:2017, A04:2021 |
| java-lang-misconfiguration-session-manipulation-taint | 신뢰 경계 위반 | CWE-501 | A04:2021, A6:2017 |
| java-lang-misconfiguration-strings-modify-after-validation-taint | 데이터의 안전하지 않은 값으로 축소 | CWE-182 | A6:2017, A04:2021 |
| java-lang-overflow-integer-overflow-taint | 정수 오버플로 또는 래핑 | CWE-190 | A6:2017, A04:2021 |
| java-lang-overflow-integer-underflow-taint | 정수 언더플로 또는 래핑 | CWE-191 | A6:2017, A04:2021 |
| java-lang-pathtraversal-file-low-taint | 제한된 디렉터리로의 경로명 부적절한 제한('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| java-lang-pathtraversal-file-special-taint | 제한된 디렉터리로의 경로명 부적절한 제한('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| java-lang-pathtraversal-file-taint | 제한된 디렉터리로의 경로명 부적절한 제한('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| java-lang-sqli-connection-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-lang-sqli-external-config-control-taint | 시스템 또는 구성 설정의 외부 제어 | CWE-15 | A5:2017, A01:2021 |
| java-lang-sqli-second-order-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-lang-ssrf-thirdparty-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |
| java-lang-ssrf-url-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |
| java-lang-ssti-el-taint | 표현 언어 문에 사용되는 특수 요소의 부적절한 중화('표현 언어 인젝션') | CWE-917 | A1:2017, A03:2021 |
| java-lang-ssti-templateinjection-taint | 템플릿 엔진에 사용되는 특수 요소의 부적절한 중화 | CWE-1336 | A1:2017, A03:2021 |
| java-lang-xpathi-taint | XPath 표현식 내 데이터의 부적절한 중화('XPath 인젝션') | CWE-643 | A1:2017, A03:2021 |
| java-lang-xss-reflected-taint | 웹 페이지 생성 중 입력의 부적절한 중화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| java-lang-xss-reqparam-to-servlet-writer-taint | 웹 페이지 생성 중 입력의 부적절한 중화('크로스 사이트 스크립팅') | CWE-79 | A1:2017, A03:2021 |
| java-lang-xss-stored-taint | 웹 페이지 생성 중 입력의 부적절한 중화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| java-lang-xxe-documentbuilderfactory-parse-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-documentbuilderfactory-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-external-parameter-entities-true-atomic | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-saxparserfactory-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-transformerfactory-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xml-input-factory-atomic | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xml-streamreader-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xmldecoder-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xmlinputfactory-atomic | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xmlreader-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| java-lang-xxe-xslttransform-taint | XML 인젝션(블라인드 XPath 인젝션이라고도 함) | CWE-91 | A1:2017, A03:2021 |
| java-mongodb-nosqli-injection-taint | 데이터 쿼리 로직의 특수 요소 부적절한 중화 | CWE-943 | A1:2017, A03:2021 |
| java-opensymphony-ognli-taint | 표현 언어 문에 사용되는 특수 요소의 부적절한 중화('표현 언어 인젝션') | CWE-917 | A1:2017, A03:2021 |
| java-pebble-ssti-literaltemplate-taint | 템플릿 엔진에 사용되는 특수 요소의 부적절한 중화 | CWE-1336 | A1:2017, A03:2021 |
| java-seam-cmdi-loginjection-taint | 동적으로 평가된 코드의 지시어 부적절한 중화('Eval 인젝션') | CWE-95 | A1:2017, A03:2021 |
| java-snakeyaml-deserialization-yaml-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| java-spring-crypto-ftp-request-taint | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-spring-crypto-http-request-resttemplate-taint | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-spring-crypto-jwt-decode-atomic | 암호화 서명의 부적절한 검증 | CWE-347 | A8:2017, A08:2021 |
| java-spring-crypto-unirest-http-request-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| java-spring-csrf-spring-csrf-disabled-atomic | 크로스 사이트 요청 위조(CSRF) | CWE-352 | A5:2017, A01:2021 |
| java-spring-csrf-unrestricted-requestmapping-atomic | 크로스 사이트 요청 위조(CSRF) | CWE-352 | A5:2017, A01:2021 |
| java-spring-misconfiguration-cookie-httponly-atomic | 'HttpOnly' 플래그가 없는 민감한 쿠키 | CWE-1004 | A06:2017, A05:2021 |
| java-spring-misconfiguration-cookie-samesite-atomic | 부적절한 SameSite 속성을 가진 민감한 쿠키 | CWE-1275 | A05:2017, A01:2021 |
| java-spring-misconfiguration-cookie-secure-atomic | 'Secure' 속성이 없는 HTTPS 세션의 민감한 쿠키 | CWE-614 | A06:2017, A05:2021 |
| java-spring-misconfiguration-frameoptions-atomic | 렌더링된 UI 레이어 또는 프레임의 부적절한 제한 | CWE-1021 | A06:2017, A04:2021 |
| java-spring-misconfiguration-nooppasswordencoder-atomic | 비밀번호의 평문 저장 | CWE-256 | A2:2017, A04:2021 |
| java-spring-openredirect-unvalidatedredirect-taint | 신뢰할 수 없는 사이트로의 URL 리다이렉션('오픈 리다이렉트') | CWE-601 | A1:2017, A03:2021 |
| java-spring-ssti-expressionparser-taint | 표현 언어 문에 사용되는 특수 요소의 부적절한 중화('표현 언어 인젝션') | CWE-917 | A1:2017, A03:2021 |
| java-torque-sqli-basepeer-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-turbine-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-vertex-sqli-taint | SQL 명령어에 사용되는 특수 요소의 부적절한 중화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| java-wicket-xss-escape-false-taint | 웹 페이지 생성 중 입력의 부적절한 중화('크로스 사이트 스크립팅') | CWE-79 | A1:2017, A03:2021 |