sábado, 25 de julho de 2015

BeSafe 1.0

value description
A00 Input Validation
A01 SQL injection
A02 XSS
A03 Buffer overflows
A04 Format string vulnerability
A05 Length checking
A06 OS Command injection
A07 LDAP injection
A08 XPath injection
A09 SSI injection up
A10 XML format is not validated
A11 File reading is not restricting length
A12 Client side validation
A13 Path Manipulation
A14 Header Injection
A15 Malicious File Upload
B00 Information Disclosure
B01 Exception/error handling
B02 Client side code comments
B03 Platform information disclosure
B04 Directory indexing
C00 Authentication
C01 Authentication credentials are sent in cleartext
C02 CAPTCHA is not random o
C03 User is not enforced to change password at initial logon
C04 SSO Artifact can be reused
C05 Default (well known) accounts with preconfigured passwords are enabled
C06 Broken authentication
C07 Authentication credentials are stored locally
C08 Last logon information not displayed to user
C09 Credentials can be enumerated
D00 Password Management
D01 Hard coded password _ o
D02 Password complexity not enforced
D03 Minimum password length not enforced
D04 Account lockout is not enforced
D05 Password history not maintained
D06 Password change functionality issue
D07 Password in configuration files
E00 Session Management
E01 Session Fixation
E02 Session timeout
E03 Custom cookie for session management (remember me)
E04 User enumeration
E05 Logout does not terminate current session on server side
E06 Logout functionality not displayed on every page
E07 Session identifiers are passed in query strings
E08 Session cookie exposure
E09 Session cookie not using ‘secure’ attribute
E10 Session cookie not using 'http-only‘ attribute
G00 LoggingIAuditing
G01 Sensitive information logged
G02 Data logged without encoding
G03 No audit trails
G04 LogForging
H00 Configuration
H01 Network device configuration
H02 Firewall configuration
H03 File/Directory access configuration
H04 Protocol configuration
H05 Service configuration
H06 Shares configuration
H07 Account configuration
H08 Application configuration
I00 Logic Error
I01 Exceptions condition allows security to be bypassed
I02 Flow control
I03 Fail open (?)
I04 Abuse of functionality
I05 Insutficient anti-automation
I07 Http Methods not enforced by application logic
I08 Null Dereference
J00 Sensitive Data Protection
J01 Sensitive data not encrypted in database
J02 SSL not used in transit
J03 Sensitive data is part of URL
J04 Sensitive data in cleartext file
J05 Inadequate Anti-caching measures
K00 Cryptograph
K01 Weak encryption key
K02 Key management (storage. distribution etc)
K03 Hardcoded encryption key
K04 Weak cipher
K05 Weak random number generator
KU6 Keys are recycled periodically
L00 Code Quality 7
L01 Test code released as part of official package
L02 Race conditions
L03 Unreleased resources (file handler, network sockets etc)
L04 Unhandled exceptions
L05 Business logic implemented in client side code
L06 Security control implemented in client side code
M00 Source Code Management
M01 Source codeversioning control
M02 Release distribution
M03 Source code repository access
M04 Open source codewith known vulnerability
M05 License violation
N00 Malicious Functionality
N01 Virus
N02 Malware
N03 Trojan Horses
N04 Rootkits
O00 Unneeded Services Running
O01 Open Ports
P00 lnfrastucture Component
P01 Configuration
P02 Critical Patches missing
P03 Wrong version of the platform
P04 Path traversal i
P05 Predictable resource location
P06 Deny of Service
P07 XSS
P08 OS Command injection
P09 Privilege Escalation
P10 Access control
P11 Default account enabled
Q00 Other
Q01 Outdated Documentation/Instructions
Q02 Inadequate CSRF protection


jsonCallback({
         "json_category" :
         [
            {
                value: "A00",label:"Input Validation",
                subCategories:
                [
                     {value:      "A01",label:"SQL injection" },
                     {value:      "A02",label:"XSS"},
                     {value:      "A03",label:"Buffer over?ows"},
                     {value:      "A04",label:"Format string vulnerability"},
                     {value:      "A05",label:"Length checking"},
                     {value:      "A06",label:"OS Command injection"},
                     {value:      "A07",label:"LDAP injection"},
                     {value:      "A08",label:"XPath injection"},
                     {value:      "A09",label:"SSI injection up"},
                     {value:      "A10",label:"XML format is not validated"},
                     {value:      "A11",label:"File reading is not restricting length"},
                     {value:      "A12",label:"Client side validation"},
                     {value:      "A13",label:"Path Manipulation"},
                     {value:      "A14",label:"Header Injection"},
                     {value:      "A15",label:"Malicious File Upload"}
                ]

            },
            {
                value: "B00",label:"Information Disclosure",
                subCategories:
                [
                    {value:      "B01",label:"Exception/error handling" },
                    {value:      "B02",label:"Client side code comments" },
                    {value:      "B03",label:"Platform information disclosure" },
                    {value:      "B04",label:"Directory indexing" }
                ]
            },
            {
                value: "C00",label:"Authentication",
                subCategories:
                [
                    {value:      "C01",label:"Authentication credentials are sent in cleartext" },
                    {value:      "C02",label:"CAPTCHA is not random o" },
                    {value:      "C03",label:"User is not enforced to change password at initial logon" },
                    {value:      "C04",label:"SSO Artifact can be reused" },
                    {value:      "C05",label:"Default (well known) accounts with precon?gured passwords are enabled" },
                    {value:      "C06",label:"Broken authentication" },
                    {value:      "C07",label:"Authentication credentials are stored locally" },
                    {value:      "C08",label:"Last logon information not displayed to user" },
                    {value:      "C09",label:"Credentials can be enumerated" }
                ]
            },
            {
                value:      "D00",label:"Password Management",
                subCategories:
                [
                    {value:      "D01",label:"Hard coded password _ o" },
                    {value:      "D02",label:"Password complexity not enforced" },
                    {value:      "D03",label:"Minimum password length not enforced" },
                    {value:      "D04",label:"Account lockout is not enforced" },
                    {value:      "D05",label:"Password history not maintained" },
                    {value:      "D06",label:"Password change functionality issue" },
                    {value:      "D07",label:"Password in con?guration ?les" }
                ]
            },
            {value:      "E00",label:"Session Management",
         
                subCategories:
                [
                    {value:      "E01",label:"Session Fixation" },
                    {value:      "E02",label:"Session timeout" },
                    {value:      "E03",label:"Custom cookie for session management (remember me)" },
                    {value:      "E04",label:"User enumeration" },
                    {value:      "E05",label:"Logout does not terminate current session on server side" },
                    {value:      "E06",label:"Logout functionality not displayed on every page" },
                    {value:      "E07",label:"Session identi?ers are passed in query strings" },
                    {value:      "E08",label:"Session cookie exposure" },
                    {value:      "E09",label:"Session cookie not using ‘secure’ attribute" },
                    {value:      "E10",label:"Session cookie not using 'http-only‘ attribute" }
                ]
            },

            {
               value:      "G00",label:"LoggingIAuditing",
               subCategories:
                [
                    {value:      "G01",label:"Sensitive information logged" },
                    {value:      "G02",label:"Data logged without encoding" },
                    {value:      "G03",label:"No audit trails" },
                    {value:      "G04",label:"LogForging" }
                ]
            },

            {
                 value: "H00",
                 label: "Con?guration",
                 subCategories:
                  [
                    {value:      "H01",label:"Network device con?guration" },
                    {value:      "H02",label:"Firewall con?guration" },
                    {value:      "H03",label:"File/Directory access con?guration" },
                    {value:      "H04",label:"Protocol con?guration" },
                    {value:      "H05",label:"Service con?guration" },
                    {value:      "H06",label:"Shares con?guration" },
                    {value:      "H07",label:"Account con?guration" },
                    {value:      "H08",label:"Application con?guration" }            
                  ]
            },
            {
                value:      "I00",label:"Logic Error",
                subCategories:
                  [
                    {value:      "I01",label:"Exceptions condition allows security to be bypassed" },
                    {value:      "I02",label:"Flow control" },
                    {value:      "I03",label:"Fail open (?)" },
                    {value:      "I04",label:"Abuse of functionality" },
                    {value:      "I05",label:"Insut?cient anti-automation" },
                    {value:      "I07",label:"Http Methods not enforced by application logic" },
                    {value:      "I08",label:"Null Dereference" }
                  ]
            },
            {
                value:      "J00",label:"Sensitive Data Protection",
                subCategories:
                  [
                    {value:      "J00",label:"Sensitive Data Protection" },
                    {value:      "J01",label:"Sensitive data not encrypted in database" },
                    {value:      "J02",label:"SSL not used in transit" },
                    {value:      "J03",label:"Sensitive data is part of URL" },
                    {value:      "J04",label:"Sensitive data in cleartext ?le" },
                    {value:      "J05",label:"Inadequate Anti-caching measures" }
                  ]
            },
            {
                value:      "K00",label:"Cryptograph",
                subCategories:
                  [
                    {value:      "K01",label:"Weak encryption key" },
                    {value:      "K02",label:"Key management (storage. distribution etc)" },
                    {value:      "K03",label:"Hardcoded encryption key" },
                    {value:      "K04",label:"Weak cipher" },
                    {value:      "K05",label:"Weak random number generator" },
                    {value:      "KU6",label:"Keys are recycled periodically" }                
                  ]
            }
            ,
            {
                value:      "L00",label:"Code Quality 7",
                subCategories:
                  [
                    {value:      "L01",label:"Test code released as part of of?cial package" },
                    {value:      "L02",label:"Race conditions" },
                    {value:      "L03",label:"Unreleased resources (?le handler, network sockets etc)" },
                    {value:      "L04",label:"Unhandled exceptions" },
                    {value:      "L05",label:"Business logic implemented in client side code" },
                    {value:      "L06",label:"Security control implemented in client side code" }              
                  ]
            }
          ,
            {
                value:      "M00",label:"Source Code Management",
                subCategories:
                  [
                    {value:      "M01",label:"Source codeversioning control" },
                    {value:      "M02",label:"Release distribution" },
                    {value:      "M03",label:"Source code repository access" },
                    {value:      "M04",label:"Open source codewith known vulnerability" },
                    {value:      "M05",label:"License violation" }        
                  ]
            }

          ,
            {
                value:      "N00",label:"Malicious Functionality",
                subCategories:
                  [
                    {value:      "N01",label:"Virus" },
                    {value:      "N02",label:"Malware" },
                    {value:      "N03",label:"Trojan Horses" },
                    {value:      "N04",label:"Rootkits" }
                  ]
            }
          ,
            {
                value:      "O00",label:"Unneeded Services Running",
                subCategories:
                  [
                    {value:      "O01",label:"Open Ports" }
                  ]
            }

          ,
            {
                value:      "P00",label:"lnfrastucture Component",
                subCategories:
               [
                    {value:      "P01",label:"Con?guration" },
                    {value:      "P02",label:"Critical Patches missing" },
                    {value:      "P03",label:"Wrong version of the platform" },
                    {value:      "P04",label:"Path traversal i" },
                    {value:      "P05",label:"Predictable resource location" },
                    {value:      "P06",label:"Deny of Service" },
                    {value:      "P07",label:"XSS" },
                    {value:      "P08",label:"OS Command injection" },
                    {value:      "P09",label:"Privilege Escalation" },
                    {value:      "P10",label:"Access control" },
                    {value:      "P11",label:"Default account enabled" }
                  ]
            }
            ,
            {
                value:      "Q00",label:"Other",
                subCategories:
                  [
                    {value:      "Q01",label:"Outdated Documentation/Instructions" },
                    {value:      "Q02",label:"Inadequate CSRF protection" }
                  ]
            }
         ],    
         "json_percentage" :
         [
                {
                    value:      "0",
                    label:      "0%"
                },
                {
                    value:      "1",
                    label:      "10%"
                },
                {
                    value:      "2",
                    label:      "20%"
                },
                {
                    value:      "3",
                    label:      "30%"
                },
                {
                    value:      "4",
                    label:      "40%"
                },
                {
                    value:      "5",
                    label:      "50%"
                },
                {
                    value:      "6",
                    label:      "60%"
                },
                {
                    value:      "7",
                    label:      "70%"
                },
                {
                    value:      "8",
                    label:      "80%"
                },
                {
                    value:      "9",
                    label:      "90%"
                },
                {
                    value:      "10",
                    label:      "100%"
                }
         ],
         "listHoliday" : [
     
        ],
        "json_testing_methodology" :
        [
                {
                    value:      "0",
                    label:      "Web App Testing (M)"
                },
                {
                    value:      "1",
                    label:      "Source Code Review (M)"
                },
                {
                    value:      "2",
                    label:      "Green Screen Testing (M)"
                },
                {
                    value:      "3",
                    label:      "Source Code Scanning (A)"
                },
                {
                    value:      "4",
                    label:      "Web App Scanning (A)"
                },
                {
                    value:      "5",
                    label:      "MQ Message Injection (M)"
                },
                {
                    value:      "6",
                    label:      "Database Scan (A)"
                },
                {
                    value:      "7",
                    label:      "Ad-Hoc Testing (M)"
                }
     
        ]
        ,
       "json_projectStatus" :
        [
                {
                    value:      "closed",
                    label:      "closed"
                },
                {
                    value:      "planning",
                    label:      "planning"
                },
                {
                    value:      "execution",
                    label:      "execution"
                },
                {
                    value:      "reporting",
                    label:      "reporting"
                },
                {
                    value:      "started",
                    label:      "started"
                }
         ],       "json_defect_type" :
        [
                {
                    value:      "0",
                    label:      "Release"
                },
                {
                    value:      "1",
                    label:      "Incidental"
                },
                {
                    value:      "2",
                    label:      "Outstanding"
                },
                {
                    value:      "3",
                    label:      "Other Consideration"
                }
         ],
        "json_defect_fim" :
        [
                {
                    value:      "0",
                    label:      "No"
                },
                {
                    value:      "1",
                    label:      "Yes"
                }
         ],
        "json_defect_risk" :
        [
                {
                    value:      "0",
                    label:      "Critical"
                },
                {
                    value:      "1",
                    label:      "High"
                },
                {
                    value:      "2",
                    label:      "Medium"
                },
                {
                    value:      "3",
                    label:      "Low"
                },
                {
                    value:      "4",
                    label:      "Info"
                }
         ],

        "json_defect_status" :
        [
                {
                    value:      "0",
                    label:      "Assigned"
                },
                {
                    value:      "1",
                    label:      "Closed"
                },
                {
                    value:      "2",
                    label:      "Failed Retest"
                },
                {
                    value:      "3",
                    label:      "Fix in Future Release"
                },
                {
                    value:      "4",
                    label:      "Fixed"
                },
                {
                    value:      "5",
                    label:      "New"
                },
                {
                    value:      "6",
                    label:      "Open"
                },
                {
                    value:      "4",
                    label:      "Pending promotion"
                },  
                {
                    value:      "4",
                    label:      "Pending Retest"
                },  
                {
                    value:      "4",
                    label:      "Postponed"
                },  
             
                {
                    value:      "4",
                    label:      "Reject"
                },  
             
                {
                    value:      "4",
                    label:      "Reopen"
                }  
          ],

        "json_FormatIssues" :
           [
                {
                    value:      "666",
                    label:      "N/A",
                    score:      "10"
                },
                {
                    value:      "0",
                    label:      "More than 8 errors",
                    score:      "6"
                },
                {
                    value:      "1",
                    label:      "Between 3 to 8 errors",
                    score:      "7"
                },
                {
                    value:      "2",
                    label:      "Up to 3 errors",
                    score:      "8"
                },
                {
                    value:      "3",
                    label:      "No format errors",
                    score:      "10"
                }
          ],
        "json_FindingRiskRating" :
           [
                {
                    value:      "666",
                    label:      "N/A",
                    score:      "10"
                },
                {
                    value:      "0",
                    label:      "More than 2 deviations when risk rating should be higher than the given rating",
                    score:      "3"
                },
                {
                    value:      "1",
                    label:      "More than 2 deviations when risk rating should be lower than the given rating OR                                                                                   No more than 1 deviation when risk rating should be higher",
                    score:      "5"
                },
                {
                    value:      "2",
                    label:      "No more than 1 deviation when risk rating should be lower than the given rating",
                    score:      "8"
                },
                {
                    value:      "3",
                    label:      "No deviations",
                    score:      "10"
                }
          ]  ,
        "json_RiskAnalysisWriteUp" :
           [
                {
                    value:      "666",
                    label:      "N/A",
                    score:      "10"
                },
                {
                    value:      "0",
                    label:      "More than 4 errors",
                    score:      "5"
                },
                {
                    value:      "1",
                    label:      "Between 2 to 4 errors",
                    score:      "7"
                },
                {
                    value:      "2",
                    label:      "Up to 2 errors",
                    score:      "8"
                },
                {
                    value:      "3",
                    label:      "No errors",
                    score:      "10"
                }
          ] ,
          "json_FollowCheckList" :
           [
                {
                    value:      "666",
                    label:      "N/A",
                    score:      "10"
                },
                {
                    value:      "0",
                    label:      "Checklist not followed",
                    score:      "0"
                },
                {
                    value:      "1",
                    label:      "Missed some checks as per the checklist",
                    score:      "5"
                },
                {
                    value:      "2",
                    label:      "No checks missed but Checklist not saved",
                    score:      "7"
                },
                {
                    value:      "3",
                    label:      "No checks missed; Checklist fully followed & copy saved for the project",
                    score:      "10"
                }
          ] ,

          "json_OnShoreFeedBack" :
           [
                {
                    value:      "666",
                    label:      "N/A",
                    score:      "10"
                },
                {
                    value:      "0",
                    label:      "Much below standard. Very poor",
                    score:      "3"
                },
                {
                    value:      "1",
                    label:      "Incorrectly handled. Could be done in a better way",
                    score:      "4"
                },
                {
                    value:      "2",
                    label:      "Room for improvement",
                    score:      "7"
                },
                {
                    value:      "3",
                    label:      "Test is nicely handled and no issues found.",
                    score:      "10"
                }
          ],

     
        "json_deliverables_reporting" :
         [
            {
                value:      "Test Report",
                label:      "Test Report",
                name:       "Test Report"
            },
           {
                value:      "Risk Assessment",
                label:      "Risk Assessment",
                name:       "Risk Assessment"
            }
       ],

       "json_risk" :
       [
            {
                value:      "1",
                label:      "Critical"
            },
            {
                value:      "2",
                label:      "High"
            },
            {
                value:      "3",
                label:      "Medium"
            }
             ,
            {
                value:      "4",
                label:      "Low"
            }
            ,
            {
                value:      "5",
                label:      "Information"
            }
      ],


    ]
 });

Postar um comentário