GitLab Advanced SAST 규칙: JavaScript
GitLab v19.1Tier: Ultimate
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
Offering: GitLab.com, GitLab Self-Managed, GitLab Dedicated
요약
GitLab Advanced SAST가 JavaScript 코드의 취약점을 탐지하는 데 사용하는 규칙 목록입니다.
GitLab Advanced SAST가 JavaScript 코드의 취약점을 탐지하는 데 사용하는 규칙 목록입니다.
| 규칙 ID | 규칙 설명 | CWE | OWASP Top 10 |
|---|---|---|---|
| javascript-axios-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-bent-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-electron-misconfiguration-allow-http-atomic | 민감한 정보의 평문 전송 | CWE-319 | A6:2017, A05:2021 |
| javascript-electron-misconfiguration-blink-integration-atomic | 최소 권한 원칙 위반 | CWE-272 | A6:2017, A05:2021 |
| javascript-electron-misconfiguration-context-isolation-atomic | 객체 프로토타입 속성의 부적절한 수정 제어('Prototype Pollution') | CWE-1321 | A6:2017, A05:2021 |
| javascript-electron-misconfiguration-disable-websecurity-atomic | 오리진 유효성 검사 오류 | CWE-346 | A6:2017, A05:2021 |
| javascript-electron-misconfiguration-experimental-features-atomic | 최소 권한 원칙 위반 | CWE-272 | A6:2017, A05:2021 |
| javascript-electron-misconfiguration-nodejs-integration-atomic | 최소 권한 원칙 위반 | CWE-272 | A6:2017, A05:2021 |
| javascript-grpc-deserialization-insecure-connection-atomic | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| javascript-handlebars-xss-noescape-taint | 웹 페이지의 스크립트 관련 HTML 태그 부적절한 무효화(기본 XSS) | CWE-80 | A7:2017, A03:2021 |
| javascript-handlebars-xss-safestring-taint | 웹 페이지 생성 중 입력의 부적절한 무효화(크로스 사이트 스크립팅) | CWE-79 | A7:2017, A03:2021 |
| javascript-helmet-misconfiguration-security-feature-disabled-atomic | 표준에 대한 보안 점검의 부적절한 구현 | CWE-358 | A6:2017, A05:2021 |
| javascript-jquery-xss-taint | 웹 페이지 생성 중 입력의 부적절한 무효화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| javascript-knex-sqli-taint | SQL 명령에 사용된 특수 요소의 부적절한 무효화(SQL 인젝션) | CWE-89 | A1:2017, A03:2021 |
| javascript-lang-cmdi-dangerous-spawn-shell-taint | OS 명령에 사용된 특수 요소의 부적절한 무효화('OS 명령 인젝션') | CWE-78 | A1:2017, A03:2021 |
| javascript-lang-cmdi-detect-child-process-cmdi-taint | OS 명령에 사용된 특수 요소의 부적절한 무효화('OS 명령 인젝션') | CWE-78 | A1:2017, A03:2021 |
| javascript-lang-cmdi-detect-dynamic-method-taint | 동적 메서드 호출 실행에 사용자 입력의 부적절한 사용 | CWE-913 | A1:2017, A03:2021 |
| javascript-lang-cmdi-detect-eval-taint | 동적으로 평가되는 코드의 지시문 부적절한 무효화('Eval 인젝션') | CWE-95 | A1:2017, A03:2021 |
| javascript-lang-cmdi-shelljs-os-command-exec-taint | OS 명령에 사용된 특수 요소의 부적절한 무효화('OS 명령 인젝션') | CWE-78 | A1:2017, A03:2021 |
| javascript-lang-codei-sandbox-taint | 코드 생성의 부적절한 제어(코드 인젝션) | CWE-94 | A1:2017, A03:2021 |
| javascript-lang-codei-user-taint | 코드 생성의 부적절한 제어('코드 인젝션') | CWE-94 | A1:2017, A03:2021 |
| javascript-lang-codei-vm2-taint | 코드 생성의 부적절한 제어(코드 인젝션) | CWE-94 | A1:2017, A03:2021 |
| javascript-lang-crlfi-header-injection-taint | HTTP 헤더의 CRLF 시퀀스 부적절한 무효화('HTTP 요청/응답 분할') | CWE-113 | A1:2017, A03:2021 |
| javascript-lang-crypto-hardcoded-jwt-secret-atomic | 하드코딩된 자격 증명 사용 | CWE-798 | A3:2017, A02:2021 |
| javascript-lang-crypto-insecure-random-generator-atomic | 암호학적으로 취약한 유사 난수 생성기(PRNG) 사용 | CWE-338 | A3:2017, A02:2021 |
| javascript-lang-crypto-jwt-not-revoked-atomic | 자격 증명 보호 미흡 | CWE-522 | A3:2017, A02:2021 |
| javascript-lang-crypto-md5-atomic | 취약한 해시 사용 | CWE-328 | A3:2017, A02:2021 |
| javascript-lang-crypto-node-aes-ecb-atomic | 손상되거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| javascript-lang-crypto-node-libcurl-ssl-verification-disable-taint | OpenSSL 인증서 유효성 검사 누락 | CWE-599 | A6:2017, A05:2021 |
| javascript-lang-crypto-pseudo-random-bytes-atomic | 암호학적으로 취약한 유사 난수 생성기(PRNG) 사용 | CWE-338 | A3:2017, A02:2021 |
| javascript-lang-crypto-sequelize-tls-atomic | 민감한 정보의 평문 전송 | CWE-319 | A3:2017, A02:2021 |
| javascript-lang-crypto-sequelize-tls-cert-validation-atomic | 부적절한 인증서 유효성 검사 | CWE-295 | A3:2017, A02:2021 |
| javascript-lang-crypto-sequelize-weak-tls-atomic | 협상 중 덜 안전한 알고리즘 선택(알고리즘 다운그레이드) | CWE-757 | A3:2017, A02:2021 |
| javascript-lang-crypto-sha1-atomic | 취약한 해시 사용 | CWE-328 | A3:2017, A02:2021 |
| javascript-lang-crypto-timing-taint | 관찰 가능한 타이밍 불일치 | CWE-208 | A3:2017, A02:2021 |
| javascript-lang-crypto-tls-reject-atomic | 부적절한 인증서 유효성 검사 | CWE-295 | A3:2017, A02:2021 |
| javascript-lang-dos-regex-taint | 잘못된 정규 표현식 | CWE-185 | A6:2017, A05:2021 |
| javascript-lang-dos-regexp-taint | 비리터럴 값을 가진 정규 표현식 | CWE-185 | A1:2017, A03:2021 |
| javascript-lang-headeri-host-header-injection-taint | 신뢰도가 낮은 소스 사용 | CWE-348 | A1:2017, A03:2021 |
| javascript-lang-js-yaml-deserialization-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| javascript-lang-lfi-require-taint | 신뢰할 수 없는 제어 영역의 기능 포함 | CWE-829 | A1:2017, A03:2021 |
| javascript-lang-misconfiguration-cookie-httpyonly-atomic | 'HttpOnly' 플래그가 없는 민감한 쿠키 | CWE-1004 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-no-domain-atomic | 자격 증명 보호 미흡 | CWE-522 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-no-maxage-atomic | 세션 만료 처리 미흡 | CWE-613 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-samesite-atomic | 부적절한 SameSite 속성이 있는 민감한 쿠키 | CWE-1275 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-secure-atomic | 'Secure' 속성 없이 HTTPS 세션에서 사용되는 민감한 쿠키 | CWE-614 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-session-default-atomic | 자격 증명 보호 미흡 | CWE-522 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-cookie-session-no-path-atomic | 자격 증명 보호 미흡 | CWE-522 | A6:2017, A05:2021 |
| javascript-lang-misconfiguration-timing-attack-atomic | 관찰 가능한 타이밍 불일치 | CWE-208 | A6:2017, A05:2021 |
| javascript-lang-openredirect-taint | 신뢰할 수 없는 사이트로의 URL 리디렉션 '오픈 리디렉트' | CWE-601 | A1:2017, A03:2021 |
| javascript-lang-overflow-read-buffer-noassert-atomic | 범위를 벗어난 읽기 | CWE-125 | A6:2017, A05:2021 |
| javascript-lang-overflow-write-buffer-noassert-atomic | 범위를 벗어난 쓰기 | CWE-787 | A6:2017, A05:2021 |
| javascript-lang-pathtraversal-admzip-path-overwrite-atomic | 제한된 디렉터리로의 경로명 제한 미흡('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| javascript-lang-pathtraversal-join-resolve-taint | 제한된 디렉터리로의 경로명 제한 미흡('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| javascript-lang-pathtraversal-taint | 경로 탐색 | CWE-22 | A5:2017, A01:2021 |
| javascript-lang-pathtraversal-tar-path-overwrite-atomic | 제한된 디렉터리로의 경로명 제한 미흡('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| javascript-lang-serializetojs-deserialization-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| javascript-lang-sqli-taint | SQL 명령에 사용된 특수 요소의 부적절한 무효화(SQL 인젝션) | CWE-89 | A1:2017, A03:2021 |
| javascript-lang-ssti-compile-taint | 템플릿 엔진에 사용된 특수 요소의 부적절한 무효화 | CWE-1336 | A1:2017, A03:2021 |
| javascript-lang-xpathi-taint | XPath 표현식 내 데이터의 부적절한 무효화(XPath 인젝션) | CWE-643 | A1:2017, A03:2021 |
| javascript-lang-xss-disable-mustache-escape-atomic | 출력의 부적절한 인코딩 또는 이스케이프 | CWE-116 | A7:2017, A03:2021 |
| javascript-lang-xss-req-params-to-resp-taint | 웹 페이지 생성 중 입력의 부적절한 무효화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| javascript-lang-xss-serialize-atomic | 웹 페이지의 스크립트 관련 HTML 태그 부적절한 무효화(기본 XSS) | CWE-80 | A7:2017, A03:2021 |
| javascript-lang-xxe-libxmljs-taint | XML 외부 엔티티 참조의 부적절한 제한('XXE') | CWE-611 | A4:2017, A05:2021 |
| javascript-lang-xxe-node-entity-expansion-taint | DTD의 재귀적 엔티티 참조 제한 미흡(XML 엔티티 확장) | CWE-776 | A4:2017, A05:2021 |
| javascript-lusca-xss-header-atomic | 표준에 대한 보안 점검의 부적절한 구현 | CWE-358 | A6:2017, A05:2021 |
| javascript-mongodb-nosqli-injection-findone-taint | 데이터 쿼리 로직의 특수 요소 부적절한 무효화 | CWE-943 | A1:2017, A03:2021 |
| javascript-mongodb-nosqli-injection-taint | 데이터 쿼리 로직의 특수 요소 부적절한 무효화 | CWE-943 | A1:2017, A03:2021 |
| javascript-mustache-xss-markup-escape-atomic | 웹 페이지 생성 중 입력의 부적절한 무효화(XSS) | CWE-79 | A7:2017, A03:2021 |
| javascript-mysql-sqli-taint | SQL 명령에 사용된 특수 요소의 부적절한 무효화(SQL 인젝션) | CWE-89 | A1:2017, A03:2021 |
| javascript-needle-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-node-codei-vm-taint | 코드 생성의 부적절한 제어(코드 인젝션) | CWE-94 | A1:2017, A03:2021 |
| javascript-node-crypto-aes-noiv-atomic | 취약한 초기화 벡터(IV) 생성 | CWE-1204 | A3:2017, A02:2021 |
| javascript-node-crypto-jwt-none-alg-atomic | 손상되거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| javascript-node-crypto-weak-crypto-alg-atomic | 손상되거나 위험한 암호화 알고리즘 사용 | CWE-327 | A3:2017, A02:2021 |
| javascript-node-csrf-express-cors-atomic | 오리진 유효성 검사 오류 | CWE-346 | A6:2017, A05:2021 |
| javascript-node-dos-layer7-taint | 루프 조건에 대한 입력 미검사 | CWE-606 | A6:2017, A05:2021 |
| javascript-node-dos-new-buffer-atomic | 제한 또는 스로틀링 없이 리소스 할당 | CWE-770 | A9:2017, A06:2021 |
| javascript-node-misconfiguration-express-cors-atomic | 신뢰할 수 없는 도메인에 대한 관대한 크로스 도메인 정책 | CWE-942 | A6:2017, A05:2021 |
| javascript-node-pathtraversal-express-hbs-lfr-taint | 경로 탐색 | CWE-23 | A5:2017, A01:2021 |
| javascript-node-pathtraversal-express-hbs-lfr-warning-taint | 상대 경로 탐색 | CWE-23 | A5:2017, A01:2021 |
| javascript-node-pathtraversal-fs-non-literal-taint | 제한된 디렉터리로의 경로명 제한 미흡('경로 탐색') | CWE-22 | A5:2017, A01:2021 |
| javascript-node-serialize-deserialization-taint | 신뢰할 수 없는 데이터의 역직렬화 | CWE-502 | A8:2017, A08:2021 |
| javascript-node-ssrf-generic-one-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |
| javascript-node-ssrf-generic-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-pg-sqli-taint | SQL 명령에 사용된 특수 요소의 부적절한 무효화('SQL 인젝션') | CWE-89 | A1:2017, A03:2021 |
| javascript-phantom-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-playwright-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-puppeteer-ssrf-evaluate-code-injection-taint | Puppeteer의 evaluate 메서드에서 잠재적 SSRF 및 RCE 탐지 | CWE-94 | A1:2017, A10:2021 |
| javascript-puppeteer-ssrf-goto-injection-taint | Puppeteer의 page.goto() 메서드에서 잠재적 SSRF 탐지 | CWE-918 | A1:2017, A10:2021 |
| javascript-puppeteer-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-react-xss-dangerouslysetinnerhtml-atomic | 웹 페이지 생성 중 입력의 부적절한 무효화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| javascript-sequelize-sqli-taint | Sequelize 쿼리에서 잠재적 SQL 인젝션 취약점 탐지 | CWE-89 | A1:2017, A03:2021 |
| javascript-serialize-to-js-deserialization-untrusted-data-taint | serialize-to-js 사용에서 잠재적 안전하지 않은 역직렬화 탐지 | CWE-502 | A8:2017, A08:2021 |
| javascript-squirrelly-xss-autoescape-atomic | 웹 페이지 생성 중 입력의 부적절한 무효화('크로스 사이트 스크립팅') | CWE-79 | A7:2017, A03:2021 |
| javascript-urllib-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A03:2021 |
| javascript-wkhtmltoimage-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |
| javascript-wkhtmltopdf-ssrf-taint | 서버 측 요청 위조(SSRF) | CWE-918 | A1:2017, A10:2021 |