Règles Semgrep pour Scala¶

scala_password_rule-ConstanteDBMotDePasse¶

Limitation inappropriée d'un chemin d'accès à un répertoire restreint ('Traversée de chemin')

Gravité : Élevée

CWE : CWE-22

Description :

L'application ouvre des fichiers en écriture en utilisant java.io.FileWriter ou java.io.FileOutputStream avec des chemins de fichiers construits à partir de paramètres de chaîne ou d'arguments de ligne de commande des paramètres de fonction Array[String]. Lorsque des paramètres non filtrés contrôlent les chemins de fichiers, les attaquants peuvent injecter des séquences de traversée de chemin (../, ../../) ou des chemins absolus pour écrire des fichiers à des emplacements arbitraires du système de fichiers en dehors des répertoires prévus. Cela permet aux attaquants de remplacer des fichiers systèmes critiques, des configurations d'application, ou du code exécutable, pouvant potentiellement aboutir à une exécution de code à distance ou à un déni de service. La gravité élevée reflète la capacité d'écriture qui peut compromettre directement l'intégrité du système.

Remédiation :

Envisagez d'utiliser org.apache.commons.io.FilenameUtils.getName() pour extraire uniquement le composant nom de fichier, empêchant toute traversée de répertoire. Il est recommandé de valider les chemins de fichiers en utilisant File.getCanonicalPath() et de vérifier que le chemin résolu commence par un répertoire de base autorisé avant toute opération d'écriture. On peut utiliser java.nio.file.Path.normalize() pour réduire les séquences de traversée, puis vérifier que le chemin normalisé est un descendant du répertoire souhaité en utilisant startsWith(). Implémentez une validation stricte par liste blanche pour les noms de fichiers autorisés et rejetez tout chemin contenant des séparateurs de répertoire ou des motifs de traversée. Pour les scénarios de téléchargement, générez des noms de fichiers aléatoires côté serveur et conservez le mappage vers les noms fournis par les utilisateurs séparément. Définissez des permissions appropriées sur les répertoires de téléchargement pour limiter les dommages potentiels des attaques de traversée.

OWASP :

A5:2017-Contrôles d'accès brisés
A01:2021-Contrôles d'accès brisés

scala_ldap_rule-EntryPoisoning¶

Résumé :

Contrôle de sécurité mal implémenté pour le standard

Gravité : Élevée

CWE : CWE-358

Description :

Configuration des SearchControls LDAP détectée avec returningObjFlag défini sur true, ce qui permet la désérialisation automatique d'objets Java à partir des entrées LDAP. Cela peut conduire à des attaques de contamination d'entrée LDAP où des entrées LDAP malveillantes contenant des objets sérialisés déclenchent une exécution de code arbitraire lorsqu'elles sont récupérées par l'application.

Remédiation :

Envisagez de définir le paramètre returningObjFlag sur false dans le constructeur de SearchControls pour empêcher la désérialisation automatique d'objets à partir des entrées LDAP. Il est recommandé d'utiliser new SearchControls(scope, countLimit, timeLimit, attributes, false, deref) à la place. Si la récupération d'objets est nécessaire, envisagez de mettre en œuvre une validation de type explicite et d'utiliser un mécanisme de désérialisation sécurisé avec une liste blanche stricte des classes autorisées.

scala_password_rule-HardcodePassword¶

Résumé :

Utilisation de mots de passe en dur

Sévérité : Élevée

CWE : CWE-259

Description :

Un mot de passe en dur a été détecté dans des appels d'API sensibles à la sécurité tels que
KeyStore.load(), PBEKeySpec(), KeyManagerFactory.init(),
PasswordCallback.setPassword(), DriverManager.getConnection(), ou
CSRFHandler.create(). L'insertion de données d'identification directement dans le code source
crée une vulnérabilité de sécurité importante, car les mots de passe deviennent accessibles
à quiconque ayant accès à la base de code, à l'historique de contrôle de version ou aux
binaires compilés. Cette pratique rend la rotation des identifiants extrêmement difficile et
empêche un audit d'accès approprié, permettant potentiellement à un accès non autorisé de
persister sans être détecté même après une violation de sécurité. Lorsque les mots de passe sont
intégrés dans le code, ils restent souvent inchangés pendant de longues périodes et peuvent être
exposés accidentellement par le partage de code, les fuites de dépôts ou la décompilation de
binaires.

Remédiation :

Envisagez de charger les mots de passe et les données d'identification sensibles à partir de
sources externes sécurisées plutôt que de les coder en dur dans votre application. Les approches
recommandées incluent l'utilisation de variables d'environnement, de fichiers de configuration
exclus du contrôle de version, ou de préférence, d'un système de gestion des clés (KMS). Un KMS
offre une gestion centralisée des secrets avec audit d'accès, capacités de rotation automatique,
et contrôles d'accès granulaires. Lorsque les identifiants sont stockés dans un KMS, vous pouvez
les faire facilement tourner en cas de violation et maintenir une trace d'audit complète de qui
a accédé à quels secrets et quand. Pour Google Cloud Platform, envisagez d'utiliser Cloud Key
Management (https://cloud.google.com/kms/docs). Pour Amazon Web Services, AWS Secrets Manager
ou AWS Systems Manager Parameter Store s'intègrent parfaitement avec le KMS
(https://aws.amazon.com/kms/). Pour les déploiements sur site ou les solutions agnostiques au
cloud, envisagez HashiCorp Vault (https://www.vaultproject.io/). La plupart des frameworks
d'application modernes offrent un support intégré pour récupérer des identifiants à partir de ces
services au moment de l'exécution. Pour les mots de passe de keystore et de chiffrement,
envisagez d'utiliser des magasins d'identifiants du système d'exploitation ou des modules de
sécurité matériels (HSM) pour une protection supplémentaire.

scala_perm_rule-OverlyPermissiveFilePermissionInline¶

Résumé :

Attribution Incorrecte de Permissions pour une Ressource Critique

Gravité : Élevée

CWE : CWE-732

Description :

La définition de permissions de fichier trop permissives via java.nio.file.Files.setPosixFilePermissions() avec des chaînes de permissions provenant de PosixFilePermissions.fromString() qui accordent des permissions de lecture, écriture ou exécution à "d'autres" (lisible/écrivable par tout le monde) expose des fichiers sensibles à un accès non autorisé. Lorsque la chaîne de permissions contient des drapeaux de permission dans les trois derniers caractères (par exemple, "rwxrwxrwx" ou "rw-rw-rw-"), elle permet à n'importe quel utilisateur sur le système d'accéder au fichier, ce qui peut conduire à des divulgations d'informations, à la falsification de données, ou à une élévation de privilèges.

Remédiation :

Envisagez de restreindre les permissions de fichier uniquement au propriétaire et au groupe qui nécessitent l'accès, en supprimant toutes les permissions pour "les autres". Il est recommandé d'utiliser des chaînes de permissions comme "rw-------" (0600) pour les fichiers sensibles auxquels seul le propriétaire doit avoir accès, ou "rw-r-----" (0640) pour les fichiers nécessitant un accès en lecture pour le groupe. Lorsque vous définissez les permissions avec PosixFilePermissions.fromString(), assurez-vous que les trois derniers caractères sont "---" pour refuser tout accès aux autres. Pour les fichiers exécutables, envisagez "rwx------" (0700) ou "rwxr-x---" (0750) au lieu de permissions exécutables pour tout le monde. Examinez la logique de création de fichiers de votre application et établissez une politique de permission par défaut sécurisée. Envisagez d'utiliser des ACL (Listes de Contrôle d'Accès) pour un contrôle plus granulaire des permissions si nécessaire. Validez toujours que les fichiers sensibles tels que les fichiers de configuration, les clés privées, et les magasins d'identifiants disposent de permissions strictes immédiatement après leur création.

scala_smtp_rule-InsecureSmtp¶

Résumé :

Validation incorrecte du certificat avec non-concordance de l'hôte

Sévérité : Élevée

CWE : CWE-297

Description :

Apache Commons Email est configuré avec SSL activé mais sans vérification de l'identité du serveur. Cela permet des attaques de type homme du milieu où un attaquant peut intercepter le trafic SMTP, capturant potentiellement des contenus d'e-mails sensibles et des identifiants d'authentification malgré la connexion SSL.

Remédiation :

Lors de l'utilisation des classes Apache Commons Email comme SimpleEmail, HtmlEmail ou MultiPartEmail avec SSL, activez toujours la vérification de l'identité du serveur en appelant setSSLCheckServerIdentity(true) après setSSLOnConnect(true). Cela garantit que le nom d'hôte du certificat SSL correspond au serveur auquel vous vous connectez, prévenant ainsi les attaques de type homme du milieu. Sans cette vérification, SSL offre un chiffrement mais pas d'authentification, laissant les connexions vulnérables à des interceptions.

OWASP :

A2:2017-Authentification brisée
A07:2021-Failles d'identification et d'authentification

OWASP :

A3:2017-Exposition de Données Sensibles
A02:2021-Failles Cryptographiques

scala_crypto_rule-WeakMessageDigest¶

Résumé :

Force de chiffrement inadéquate

Sévérité : Moyenne

CWE : CWE-326

Description :

L'application utilise MessageDigest.getInstance() ou Signature.getInstance() avec des algorithmes de hachage cryptographiquement faibles tels que MD5, MD4, MD2 ou SHA-1. Ces algorithmes sont cryptographiquement cassés et vulnérables aux attaques par collision, où un attaquant peut élaborer deux entrées différentes produisant la même sortie de hachage. Les attaques par collision contre MD5 sont devenues pratiques depuis 2004, et les attaques par collision SHA-1 ont été démontrées en 2017 avec l'attaque SHAttered. L'utilisation de ces fonctions de hachage faibles mine toute garantie de sécurité pour les signatures numériques, la vérification d'intégrité, le stockage de mots de passe ou la validation de certificats.

Remédiation :

Migrer vers des fonctions de hachage plus robustes comme SHA-256 ou des algorithmes plus forts des familles SHA-2 ou SHA-3. Remplacer les algorithmes faibles par MessageDigest.getInstance("SHA-256") pour la plupart des applications, ou utiliser "SHA-384" ou "SHA-512" pour des exigences de sécurité plus élevées. Pour les signatures numériques, utiliser Signature.getInstance("SHA256withRSA") ou Signature.getInstance("SHA256withECDSA") au lieu des algorithmes de signature basés sur SHA-1. Pour le hachage des mots de passe, utiliser des algorithmes spécialement conçus comme bcrypt, scrypt ou Argon2 plutôt que des fonctions de hachage de usage général. Pour les applications Scala, envisager d'utiliser des bibliothèques comme Tsec qui fournissent des primitives cryptographiques sûres avec des valeurs par défaut sécurisées et empêchent l'utilisation accidentelle d'algorithmes faibles. Lors de la migration depuis MD5 ou SHA-1, assurer un plan de transition pour vérifier les hachages hérités tout en générant de nouveaux hachages avec des algorithmes plus forts.

scala_crypto_rule-WeakTLSProtocol¶

Résumé :

Validation de certificat incorrecte

Gravité : Moyenne

CWE : CWE-295

Description :

L'application utilise javax.net.ssl.SSLContext.getInstance("SSL") ou instancie DefaultHttpClient(), tous deux utilisant des versions de protocoles SSL/TLS obsolètes et non sécurisées. L'identifiant de protocole générique "SSL" permet la négociation vers SSLv2 et SSLv3, qui présentent des vulnérabilités critiques connues, notamment les attaques POODLE, BEAST et CRIME qui permettent aux attaquants de déchiffrer le trafic chiffré. Ces protocoles hérités manquent de fonctionnalités de sécurité modernes telles que la confidentialité parfaite et le chiffrement authentifié, et ont été officiellement déconseillés par l'IETF. L'utilisation de ces configurations expose le trafic de l'application à des attaques de type homme du milieu et à des attaques de rétrogradation de protocole.

Remédiation :

Remplacez SSLContext.getInstance("SSL") par SSLContext.getInstance("TLSv1.2") ou SSLContext.getInstance("TLSv1.3") pour utiliser des versions modernes et sécurisées du protocole TLS. Pour une compatibilité maximale tout en maintenant la sécurité, utilisez "TLSv1.2" qui est largement soutenu et ne présente pas de vulnérabilités critiques connues. Pour DefaultHttpClient, migrez vers Apache HttpClient 4.5+ en utilisant HttpClients.createDefault() qui utilise par défaut TLS 1.2+. Pour les applications Scala, envisagez d'utiliser des bibliothèques HTTP modernes telles que http4s, sttp ou Akka HTTP qui offrent des paramètres de sécurité TLS par défaut et une configuration sûre par type. De plus, configurez votre contexte SSL pour utiliser des suites de chiffrement fortes qui offrent une confidentialité parfaite en priorisant les algorithmes d'échange de clés ECDHE. Assurez-vous que la validation des certificats est correctement activée et évitez de désactiver la vérification des noms d'hôte ou de faire confiance à tous les certificats, même dans les environnements de développement.

scala_endpoint_rule-JaxRsEndpoint¶

Résumé :

Utilisation d'une source moins fiable

Gravité : Moyenne

CWE : CWE-348

Description :

Cette méthode est annotée avec des annotations JAX-RS (JSR-311) comme @javax.ws.rs.Path, ce qui en fait un point de terminaison HTTP REST qui accepte des entrées externes. Les points de terminaison REST décorés avec des annotations JAX-RS exposent l'application à des données fournies par des utilisateurs non fiables, ce qui peut introduire diverses vulnérabilités de sécurité si elles ne sont pas correctement validées et sécurisées. Les paramètres du point de terminaison doivent être considérés comme des sources non fiables nécessitant une analyse de sécurité pour l'authentification, l'autorisation, la validation des entrées, l'application de SSL/TLS et la protection CSRF pour les opérations modifiant l'état.

Remédiation :

Envisagez de mettre en place une stratégie de sécurité globale pour les points de terminaison JAX-RS dans votre application Scala. Il est recommandé de renforcer l'authentification en utilisant des filtres JAX-RS ou des annotations de sécurité comme @RolesAllowed pour vérifier l'identité des utilisateurs avant de traiter les demandes. Implémentez des contrôles d'autorisation pour garantir que les utilisateurs authentifiés disposent des autorisations appropriées pour l'opération demandée. Validez tous les paramètres d'entrée en utilisant des annotations de validation de Bean (JSR-380) telles que @NotNull, @Pattern, ou des validateurs personnalisés pour prévenir les attaques par injection. Utilisez exclusivement HTTPS en configurant votre serveur d'applications pour rediriger le trafic HTTP ou rejeter les connexions non TLS. Pour les points de terminaison qui modifient l'état (méthodes POST, PUT, DELETE), mettez en œuvre une protection CSRF en utilisant des tokens de synchronisation ou des modèles de cookies à double soumission. Envisagez d'utiliser JAX-RS ContainerRequestFilter pour une application centralisée de la sécurité sur plusieurs points de terminaison.¶

scala_file_rule-FilenameUtils¶

Résumé :

Limitation incorrecte d'un chemin d'accès à un répertoire restreint ('Traversée de chemin')

Gravité : Moyenne

CWE : CWE-22

Description :

Une vulnérabilité de traversée de chemin a été détectée en utilisant des méthodes de FilenameUtils. Des fonctions comme FilenameUtils.normalize(), getName(), getBaseName(), getExtension() et isExtension() sont utilisées sur des chemins de fichiers potentiellement contrôlés par l'utilisateur. Sans validation appropriée, les attaquants peuvent utiliser des séquences de traversée de chemin comme ../ pour accéder à des fichiers en dehors du répertoire prévu, pouvant ainsi lire des fichiers de configuration sensibles, des identifiants ou du code source.

Remédiation :

Considérez la possibilité de valider les chemins de fichiers par rapport à une liste blanche de fichiers ou de répertoires autorisés avant d'utiliser les méthodes de FilenameUtils. Il est recommandé de vérifier que le chemin résolu commence par le répertoire de base prévu après normalisation. Rejetez explicitement les chemins contenant des séquences .. ou d'autres tentatives de traversée. Utilisez java.nio.file.Paths.get().normalize().startsWith() pour vérifier que le chemin final reste dans les limites autorisées. Évitez d'utiliser directement les entrées utilisateur dans des opérations sur les fichiers sans validation.

OWASP :

A5:2017-Contrôle d'accès défaillant
A01:2021-Contrôle d'accès défaillant

scala_inject_rule-LDAPInjection¶

Résumé :

Neutralisation inappropriée des éléments spéciaux utilisés dans une requête LDAP ('Injection LDAP')

Gravité : Moyenne

CWE : CWE-90

Description :

L'application construit des requêtes LDAP en utilisant des paramètres de chaîne contrôlés par l'utilisateur passés à javax.naming.directory.DirContext, javax.naming.Context, javax.naming.ldap.LdapContext, com.unboundid.ldap.sdk.LDAPConnection, ou aux méthodes de Spring LDAP LdapTemplate incluant lookup(), search(), et list(), ainsi que Properties.put() pour les propriétés de connexion LDAP. Contrairement à SQL, LDAP n'a pas d'interfaces de déclarations préparées, ce qui le rend vulnérable à des attaques par injection où des caractères spéciaux (parenthèses, astérisques, barres obliques inverses) peuvent modifier la logique de la requête pour contourner l'authentification, extraire des données non autorisées, ou élever les privilèges.

Remédiation :

Envisagez d'implémenter une validation stricte des entrées qui autorise uniquement les caractères alphanumériques et les modèles attendus avant d'inclure des données dans les requêtes LDAP. Il est recommandé d'échapper les caractères spéciaux LDAP, y compris les parenthèses (), les astérisques *, les barres obliques inverses \, les octets nuls, et les chevrons en utilisant des fonctions d'encodage appropriées. Pour les applications Java, utilisez Encoder.encodeForLDAP() de l'OWASP ESAPI ou échappez manuellement les caractères spéciaux selon la RFC 4515 pour les chaînes de filtre et la RFC 4514 pour les Noms Distingués. Pour les applications Spring LDAP, utilisez LdapEncoder.nameEncode() et LdapEncoder.filterEncode() pour échapper correctement les entrées. Envisagez d'utiliser des filtres paramétrés avec LdapQueryBuilder de Spring LDAP qui fournit une construction de requêtes plus sûre avec échappement automatique des valeurs fournies par l'utilisateur.

scala_inject_rule-OgnlInjection¶

Gravité : Moyenne

CWE : CWE-732

Description :

L'ajout des permissions OTHERS_READ, OTHERS_WRITE ou OTHERS_EXECUTE à partir de l'énumération PosixFilePermission à un ensemble de permissions utilisé avec java.nio.file.Files.setPosixFilePermissions() crée des fichiers accessibles au monde entier. Ces permissions OTHERS_* accordent l'accès à tout utilisateur sur le système, et pas seulement au propriétaire du fichier ou aux membres du groupe. Cela peut exposer des données sensibles à des utilisateurs non autorisés, permettre la manipulation de fichiers critiques ou autoriser l'exécution de code malveillant par des utilisateurs non privilégiés, entraînant des divulgations d'informations, des violations de l'intégrité des données ou des attaques par élévation de privilèges.

Remédiation :

Envisagez d'utiliser uniquement les permissions OWNER_ et GROUP_ lors de la création d'ensembles de permissions pour des fichiers sensibles. Il est recommandé d'exclure toutes les permissions OTHERS_ (OTHERS_READ, OTHERS_WRITE, OTHERS_EXECUTE) de vos ensembles de `PosixFilePermission`. Lors de la création d'ensembles de permissions, utilisez des combinaisons comme `Set(OWNER_READ, OWNER_WRITE)` pour un accès réservé au propriétaire, ou ajoutez GROUP_READ pour un accès de groupe selon les besoins. Pour les répertoires qui doivent être traversables, envisagez GROUP_EXECUTE au lieu de OTHERS_EXECUTE. Révisez vos exigences en matière de permissions de fichiers et appliquez le principe du moindre privilège en accordant l'accès uniquement aux utilisateurs qui en ont absolument besoin. Envisagez de mettre en œuvre des vérifications de permissions dans votre code pour vérifier que les fichiers créés par votre application n'ont jamais de permissions OTHERS_ définies. Pour les fichiers temporaires, utilisez `Files.createTempFile()` avec des attributs de fichier appropriés plutôt que de définir manuellement les permissions après la création.¶

scala_script_rule-SpelView¶

Résumé :

Contrôle inapproprié de la génération de code ('Injection de code')

Sévérité : Moyenne

CWE : CWE-94

Description :

Vulnérabilité d'injection détectée dans le langage d'expression Spring (SpEL) lors de l'utilisation de SpelExpressionParser.parseExpression() avec des entrées non littérales. SpEL permet l'exécution de code arbitraire par l'évaluation d'expressions, permettant aux attaquants d'accéder aux propriétés du système, d'invoquer des méthodes et de potentiellement réaliser une exécution de code à distance lorsque des valeurs contrôlées par l'utilisateur sont analysées en tant qu'expressions SpEL.

Remédiation :

Il est conseillé d'éviter complètement l'utilisation d'expressions SpEL dynamiques avec des entrées contrôlées par l'utilisateur, car SpEL offre d'importantes capacités pour l'exécution de code arbitraire. Il est recommandé d'utiliser plutôt des configurations statiques ou des approches basées sur des modèles. Si des expressions dynamiques sont nécessaires, envisagez de mettre en œuvre une validation stricte de la liste blanche qui ne permet que des modèles d'expressions prédéfinis spécifiques, et utilisez SimpleEvaluationContext au lieu de StandardEvaluationContext pour restreindre les fonctionnalités disponibles.

OWASP :

A1:2017-Injection
A03:2021-Injection

OWASP :

A7:2017-Cross-Site Scripting (XSS)
A03:2021-Injection

scala_endpoint_rule-UnencryptedSocket¶

Résumé :

Transmission en clair d'informations sensibles

Gravité : Info

CWE : CWE-319

Description :

L'application crée une connexion socket en utilisant new java.net.Socket() qui établit une connexion réseau non chiffrée permettant de transmettre des données en clair. Cela expose toutes les données transmises, y compris des informations potentiellement sensibles, à l'interception et à l'écoute via des attaques de type homme du milieu. Les sockets non chiffrés n'offrent aucune protection de confidentialité ou d'intégrité, permettant aux attaquants ayant accès au réseau de lire ou de modifier des données en transit.

Remédiation :

Envisagez d'utiliser SSLSocket ou SSLSocketFactory au lieu de java.net.Socket pour les connexions réseau qui transmettent des données sensibles. Il est recommandé de créer des sockets SSL/TLS en utilisant SSLSocketFactory.getDefault().createSocket() qui utilise le contexte SSL par défaut du système avec une validation adéquate des certificats. Pour des configurations SSL personnalisées, créez un SSLContext avec des gestionnaires de confiance appropriés et utilisez-le pour créer des instances de SSLSocketFactory. Assurez-vous d'une validation correcte des certificats en utilisant l'implémentation de TrustManager par défaut plutôt qu'en créant des gestionnaires de confiance personnalisés qui contournent la validation. Configurez le socket pour utiliser exclusivement TLS 1.2 ou TLS 1.3 en appelant setEnabledProtocols() avec les versions de protocole appropriées. Pour la vérification des noms d'hôte dans les connexions client, cast le socket en SSLSocket et vérifiez que le nom d'hôte correspond au certificat après l'établissement de la connexion. Consultez la feuille de conseils de protection de la couche de transport d'OWASP pour des conseils complets sur l'implémentation de sockets sécurisés.

OWASP :

A3:2017-Exposition des données sensibles
A02:2021-Échecs cryptographiques

scala_endpoint_rule-RéponseNonValidée¶

Résumé :

Redirection d'URL vers un site non fiable ('Redirection ouverte')

Sévérité : Info

CWE : CWE-601

Description :

L'application utilise des méthodes HttpServletResponse telles que sendRedirect(), addHeader(), encodeURL() ou encodeRedirectUrl() avec des paramètres fournis par l'utilisateur qui ne sont pas validés ou restreints à des valeurs sûres. Ces méthodes de redirection et de manipulation d'URL peuvent introduire des vulnérabilités de redirection ouverte lorsqu'elles traitent des entrées non fiables, permettant aux attaquants de créer des URLs qui redirigent les utilisateurs vers des sites externes malveillants. Les redirections ouvertes sont couramment exploitées dans des campagnes de phishing où les attaquants tirent parti de la réputation d'un domaine de confiance pour tromper les utilisateurs en les incitant à visiter des sites contrôlés par les attaquants.

Remédiation :

Envisagez de mettre en œuvre une approche de validation basée sur une liste blanche pour les URLs de redirection avant de les passer aux méthodes de redirection HttpServletResponse. Il est recommandé de maintenir une liste prédéfinie d'URLs de destination ou de préfixes de chemin autorisés et de valider l'entrée utilisateur par rapport à cette liste blanche avant d'effectuer des redirections. Pour les chemins relatifs, assurez-vous que la destination de la redirection commence par "/" et ne contient pas "://" pour éviter les redirections d'URL absolues vers des domaines externes. Utilisez l'analyse URI (java.net.URI) pour extraire et valider le composant nom d'hôte, en rejetant toute redirection pointant vers un domaine externe, sauf si elle est explicitement ajoutée à la liste blanche. Envisagez d'utiliser des cartes de référence indirectes où l'entrée utilisateur spécifie une clé qui correspond à une URL sûre prédéterminée plutôt que d'accepter des URLs complètes directement. Évitez d'utiliser des entrées utilisateur dans les en-têtes Location ou les paramètres de redirection sans validation. Pour les applications nécessitant des redirections flexibles, implémentez une page de confirmation de redirection qui affiche la destination et requiert la reconnaissance de l'utilisateur avant de procéder.

scala_endpoint_rule-WeakHostNameVerification¶

Résumé :

Validation de certificat incorrecte

Gravité : Info

CWE : CWE-295

Description :

L'application implémente un HostnameVerifier ou X509TrustManager personnalisé qui accepte tous les certificats en renvoyant true à partir des méthodes verify(), en laissant les méthodes de vérification vides, ou en retournant des tableaux nuls/vides à partir de getAcceptedIssuers(). Ces implementations de confiance totale désactivent complètement la validation des certificats SSL/TLS, rendant l'application vulnérable aux attaques de type man-in-the-middle où des attaquants peuvent intercepter et déchiffrer le trafic HTTPS en présentant n'importe quel certificat. Bien que souvent mises en œuvre pour contourner la réutilisation de certificats entre plusieurs hôtes ou des problèmes d'environnement de développement, ces implémentations éliminent les garanties de sécurité que TLS est censé fournir.

Remédiation :

Envisagez d'utiliser la validation de certificat SSL/TLS par défaut fournie par la JVM plutôt que d'implémenter des classes personnalisées HostnameVerifier ou X509TrustManager. Il est recommandé de supprimer les implémentations de confiance totale et de s'appuyer sur SSLContext.getDefault() qui effectue une validation correcte de la chaîne de certificats et de la vérification du nom d'hôte. Pour les cas légitimes nécessitant une validation personnalisée, implémentez un contrôle approprié des certificats en validant la chaîne de certificats, les dates d'expiration et la correspondance des noms d'hôte plutôt qu'en acceptant tous les certificats. Si vous travaillez avec des certificats auto-signés dans des environnements non productifs, créez un truststore personnalisé contenant uniquement les certificats de confiance spécifiques et chargez-le à l'aide de KeyStore et TrustManagerFactory plutôt que de désactiver complètement la validation. Utilisez HttpsURLConnection.setDefaultHostnameVerifier() ou HttpsURLConnection.setDefaultSSLSocketFactory() avec des contextes SSL correctement configurés pour la configuration globale du client HTTPS. Pour la réutilisation de certificats entre plusieurs noms d'hôte, configurez les Subject Alternative Names (SAN) dans les certificats plutôt que de désactiver la vérification des noms d'hôte.¶

scala_file_rule-FileUploadFileName¶

Résumé :

Limitation incorrecte d'un chemin vers un répertoire restreint ('Traversée de chemin')

Gravité : Info

CWE : CWE-22

Description :

Vulnérabilité de traversée de chemin dans la gestion des téléchargements de fichiers détectée à l'aide de 'FileItem.getName()'. Cette méthode renvoie des noms de fichiers directement à partir des demandes des clients, qui peuvent être manipulés pour inclure des séquences de traversée de chemin comme '../' ou des chemins absolus. Utiliser des noms de fichiers non assainis peut permettre aux attaquants d'écrire des fichiers à des emplacements arbitraires sur le système de fichiers du serveur, pouvant potentiellement écraser des fichiers critiques.

Remédiation :

Envisagez d'extraire uniquement le nom de fichier de base sans composants de chemin à partir des résultats de 'getName()'. Il est recommandé de supprimer tous les caractères de séparation de chemin tels que '/', '\', et les séquences '..' avant d'utiliser le nom de fichier. Validez les extensions de fichier par rapport à une liste stricte de types autorisés. Générez des noms de fichiers aléatoires au lieu d'utiliser des noms fournis par le client lorsque cela est possible, en stockant le nom d'origine séparément dans les métadonnées.

OWASP :

A5:2017-Contrôle d'accès défaillant
A01:2021-Contrôle d'accès défaillant

scala_form_rule-FormValidate¶

Résumé :

Validation incorrecte des équivalences non sécurisées dans les entrées

Gravité : Info

CWE : CWE-1289

Description :

Méthode de validation manquante dans la classe de formulaire détectée. Cette classe étend ActionForm ou ValidatorForm mais n'implémente pas de méthode validate(), laissant les entrées utilisateur non vérifiées. Sans validation appropriée, les entrées malveillantes peuvent contourner les contrôles de sécurité et mener à des attaques par injection, à la corruption de données ou à des opérations non autorisées. La validation des formulaires fournit une défense essentielle en profondeur contre diverses menaces basées sur les entrées.

Remédiation :

Envisagez d'implémenter une méthode validate() dans les classes de formulaire qui étendent ActionForm ou ValidatorForm pour assurer une validation adéquate des entrées. Il est recommandé de valider toutes les données fournies par l'utilisateur, y compris les contraintes de longueur, de format, de type, et de gamme avant le traitement. Utilisez des listes d'autorisation pour les valeurs acceptables lorsque c'est possible, et nettoyez les entrées pour prévenir les attaques par injection. La validation doit se faire côté serveur, même s'il existe des vérifications côté client.

OWASP :

A5:2017-Control d'accès rompu
A01:2021-Control d'accès rompu

scala_inject_rule-SpotbugsPathTraversalRelative¶

Résumé :

Limitation inappropriée d'un chemin d'accès à un répertoire restreint ('Traversal de chemin')

Sévérité : Info

CWE : CWE-22

Description :

L'application construit des chemins de fichiers en concaténant HttpServletRequest.getParameter() avec d'autres chaînes à l'aide d'opérateurs de concaténation de chaînes, puis utilise ces chemins dans des opérations de fichier incluant java.io.File, java.io.FileInputStream, java.io.FileReader, java.io.FileWriter, java.io.FileOutputStream, java.io.RandomAccessFile, javax.activation.FileDataSource, java.nio.file.Paths.get(), et la création de fichiers temporaires. L'application ne neutralise pas correctement les séquences de traversal de chemin relatives comme "../" ou "..\" qui peuvent résoudre à des emplacements en dehors des répertoires restreints. Les attaquants peuvent remonter les hiérarchies de répertoires pour accéder ou modifier des fichiers sensibles, des données de configuration ou des fichiers système.

Remédiation :

Considérez l'utilisation de org.apache.commons.io.FilenameUtils.getName() qui supprime les composants de répertoire y compris les références de répertoire parent (..). Il est recommandé d'utiliser java.nio.file.Path.normalize() pour réduire les séquences de traversal, puis de vérifier que le chemin normalisé se trouve toujours dans le répertoire de base prévu à l'aide de startsWith(). Vous pouvez mettre en œuvre une validation qui rejette toute entrée utilisateur contenant des séquences "..", des séparateurs de chemin (/, ), ou d'autres métacaractères de chemin avant la concaténation. Pour une protection accrue, utilisez File.getCanonicalPath() pour résoudre complètement le chemin y compris les liens symboliques et vérifiez que le résultat est un descendant de votre répertoire autorisé. Envisagez d'utiliser des modèles plus sûrs comme la génération de noms de fichiers aléatoires côté serveur et le maintien d'une correspondance séparée avec les noms fournis par l'utilisateur, éliminant ainsi le contrôle de l'utilisateur sur les chemins réels du système de fichiers.

OWASP :

A5:2017-Contrôle d'accès rompu
A01:2021-Contrôle d'accès rompu

scala_ldap_rule-AnonymousLDAP¶

Résumé :

Vérification de sécurité mal implémentée pour la norme

Sévérité : Info

CWE : CWE-358

Description :

Définir 'Context.SECURITY_AUTHENTICATION' sur "none" désactive l'authentification pour les connexions LDAP, permettant des liaisons anonymes au serveur de répertoires. Cela expose le serveur LDAP à un accès non autorisé et permet aux attaquants de consulter, modifier ou extraire des informations sensibles du répertoire sans identifiants. L'authentification LDAP anonyme ne doit jamais être utilisée dans des environnements de production.

Remédiation :

Ne jamais définir 'Context.SECURITY_AUTHENTICATION' sur "none" pour les connexions LDAP. Il est recommandé d'utiliser une authentification "simple" avec des identifiants appropriés (nom d'utilisateur et mot de passe) ou des mécanismes plus solides comme SASL pour les liaisons LDAP. Envisagez de mettre en œuvre une authentification par certificat ou Kerberos pour une sécurité renforcée. Validez toujours que les connexions LDAP sont authentifiées et utilisez des transports cryptés (LDAPS) pour protéger les identifiants en transit.

scala_perm_rule-DangerousPermissions¶

Résumé :

Permissions héritées non sécurisées

Gravité : Info

CWE : CWE-277

Description :

Accorder des permissions de sécurité Java dangereuses telles que RuntimePermission avec createClassLoader ou ReflectPermission avec suppressAccessChecks via PermissionCollection.add() peut compromettre la sécurité de l'application. La permission createClassLoader permet au code d'instancier des chargeurs de classes personnalisés pouvant contourner les restrictions de sécurité, tandis que suppressAccessChecks désactive les vérifications de contrôle d'accès de Java, permettant un accès non autorisé aux champs et méthodes privés par réflexion. Ces permissions peuvent être exploitées pour escalader les privilèges, accéder à des données sensibles ou exécuter du code arbitraire.

Remédiation :

Envisagez d'utiliser le principe du moindre privilège lors de la configuration des permissions de sécurité. Il est recommandé d'accorder uniquement les permissions minimales nécessaires au bon fonctionnement de votre application. Au lieu d'accorder des permissions larges telles que `createClassLoader` ou `suppressAccessChecks`, envisagez d'utiliser des permissions plus spécifiques et restreintes qui limitent la portée d'accès. Si la réflexion est nécessaire, envisagez d'utiliser des handles de méthode ou d'autres alternatives plus sûres qui ne nécessitent pas de suppression des vérifications d'accès. Pour le chargement de classes, envisagez d'utiliser le chargeur de classes par défaut de l'application ou de mettre en œuvre une politique de sécurité personnalisée qui restreint les classes pouvant être chargées. Passez en revue votre fichier de politique de sécurité et assurez-vous que les permissions dangereuses ne sont accordées qu'à des sources de code de confiance avec une signature et une vérification appropriées. Envisagez de mettre en œuvre une surveillance de sécurité à l'exécution pour détecter et prévenir les tentatives d'escalade de privilèges.¶

scala_script_rule-ScriptInjection¶

Résumé :

Contrôle inadéquat de la génération de code ('Injection de code')

Sévérité : Info

CWE : CWE-94

Description :

Les entrées contrôlées par l'utilisateur sont transmises à 'ScriptEngine.eval()', permettant aux attaquants d'exécuter un code arbitraire dans le contexte de l'application. Cela peut potentiellement mener à un compromis total du système, à l'exfiltration de données ou à une élévation de privilèges. Les vulnérabilités d'injection de script sont particulièrement dangereuses car elles offrent des capacités d'exécution de code direct.

Remédiation :

Envisagez d'éviter complètement l'utilisation de l'évaluation de script dynamique avec des entrées utilisateur. Il est recommandé de refactoriser le code pour utiliser des appels de méthode statiques ou des opérations prédéfinies à la place. Si l'évaluation de script est absolument nécessaire, mettez en œuvre une validation stricte de liste blanche pour les noms de fonctions et les paramètres. Ne jamais transmettre d'entrées utilisateur non assainies à 'eval()' car cette fonction exécute du code arbitraire avec les privilèges de l'application.

OWASP :

A1:2017-Injection
A03:2021-Injection