规则更新
ASoC 中的最新规则更新。
2026-02-10
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| C# | CWE-215 | 检查日志调用中是否存在包含敏感信息的可疑变量。1 |
| CWE-397 | 检测常规抛出异常(如 throw new Exception 或 throw new SystemException)的潜在安全隐患。 | |
| Dart | CWE-943 | 查找 NoSQL 注入。1 |
| CWE-338 | 查找弱伪随机数。1 | |
| CWE-116 | 查找 File.writeAs 风格调用。1 | |
| CWE-79 | 审查 Response.ok 及类似调用的潜在不安全用法。1 | |
| CWE-348 | 查找潜在的不安全目录列表。1 | |
| CWE-78 | 检查 Process.ru 的不安全用法。1 | |
| CWE-89 | 覆盖 SQL 注入风险的 query/execute/prepare 风格调用。1 | |
| Java | CWE-215 | 检查日志调用中是否存在包含敏感信息的可疑变量。1 |
| CWE-397 | 查找常规且潜在危险的抛出异常模式,如 throws Exception 或 throws Throwable。 | |
| CWE-396 | 查找常规 catch 块,如 catch(Exception e) 或 catch (Throwable t)。1 | |
| JavaScript | CWE-397 | 查找常规且潜在危险的抛出语句,如 throw "message"。 |
| CWE-80 | 修复了使用 @if 模式但非 Handlebars 模板的缺陷。 | |
| Perl | CWE-732 | 为 IO::File::open 调用提供更完整的覆盖。 |
| PHP | CWE-397 | 查找常规且潜在不安全的通用抛出异常,例如 throw Error("foo")。 |
| Python | CWE-397 | 查找常规且潜在不安全的通用抛出异常,例如 raise BaseException。 |
| 密钥 | CWE-798 | 新增针对硬编码机密的 privateKey 检测。 |
此外,CWE-319 规则整体进行了更新。我们移除了检测代码中不安全 http 样式字符串的规则,因为其产生的干扰过多。在混合扫描程序中,我们仍会针对合理场景(如 JavaScript 中的 fetch 调用)检测开放通信的具体实例。
本次 CWE-319 变更影响以下语言:
- ASP
- Golang
- Groovy
- Kotlin
- Objective-C
- PHP
- Scala
- Swift
- C#
- Dart
- RPG
- VB
- Xamarin
2025-12-18
| 语言 | CWE | 描述 |
|---|---|---|
| Android Java | CWE-319 | 新增覆盖范围:检查在 AndroidManifest.xml 文件中是否将 usesCleartextTraffic 或 cleartextTrafficPermitted 设置为 true,这是一种不安全的做法。 |
| C# | CWE-89 | 新增覆盖范围:新增 SQL 注入检测,除原有模式外新增 += 模式及部分存储过程模式。 |
| CWE-89 | 新增覆盖范围:强化检测约束条件,确保仅在查询语句中触发以减少干扰。 | |
| CWE-1004 | 误报减少:检测 http=true 设置,若存在则避免生成问题。 | |
| Dart:Flutter(新增框架支持,新增覆盖项) | CWE-35 | 检查 MethodChannel 是否使用可能受用户操控的路径参数。 |
| CWE-78 | 检测 MethodChannel 调用中潜在的操作系统注入风险。 |
|
| CWE-80 | 检查 WebView 或 InAppWebView 是否存在未受限制的 JavaScript 执行,此为危险做法。 |
|
| CWE-89 | 支持 Flutter 专属的 sqflite 数据库 API | |
| CWE-117 | 发现未被调试控制包裹的 print 及类似语句。此类调用通常不应出现在调试分支外的生产代码中。 | |
| CWE-312 | 规则检查 FlutterSecureStorage 是否存储疑似私密信息,如密码或其他会话数据。 |
|
| CWE-598 | 检查导航器对象中查询参数的潜在不安全用法。 | |
| CWE-918 | 在 MethodChannel.invokeMethod 中查找用户可控 URL 作为 SSRF 攻击载体。 |
|
| JavaScript:Angular | CWE-80 | 误报减少:检查确保不在 @if 模板中 |
| 密钥 | CWE-798 | 新增覆盖范围:新增对 Tuleap 的支持。 |
| CWE-798 | 新增覆盖范围:检查 equalsIgnoreCase 调用内部是否存在硬编码密码。 |
|
| CWE-798 | 误报减少:避免为机密扫描程序针对 C/C++ 注释代码添加问题。 | |
| Swift | CWE-1188 | 新增覆盖范围:检查 info.plist 文件中是否存在 UIFileSharingEnabled 或 LSSupportsOpeningDocumentsInPlace 设置为 true 的不安全配置。 |
2025-11-06
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| NodeJS | CWE-78 | 新增对危险 child_process.exec 调用的检测。 |
| Perl | CWE-89 | 减少 SQL 注入规则中的干扰,此类规则曾错误地针对参数化语句产生问题。 |
| CWE-732 | 减少使用 STDIN 作为输入的开放调用噪声。 | |
| PHP | CWE-213 | 新增对 PHP 代码中残留 phpInfo 调用的检查。1 |
| CWE-89 | 新增检查以通过 sqlite_escape_string 验证并排除问题。 |
|
| TypeScript | CWE-94 | 新增检查:eval 表达式是否包含潜在用户可控变量。 |
2025-10-07
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| C# | CWE-89 | 减少 SQLi 检测中的误报。 |
| Java | CWE-209 | 检查代码中 System.out 和 System.err 的使用情况(这些是应从生产代码中移除的调试调用)。1 |
| 密钥 | CWE-1051 | 误报减少:硬编码 IP 地址检查可避免将疑似版本号的字符串误报 |
| CWE-798 | 减少 Atlassian 机密检测中的误报。 | |
| CWE-798 | 减少机密信息中密钥/值对的误报。 | |
| CWE-798 | 新增检测范围,可查找字符串中包含“1234”作为其一部分的硬编码密码。 |
2025-09-10
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| CSS | CWE-79 | 减少对 .css 文件进行硬编码变量检查时的误报。 |
| Go | CWE-79 | 减少 fprintf 检查中产生的误报。 |
| IaC Docker | CWE-22 | 检查在 Dockerfile 中添加的敏感路径。1 |
| IaC Kubernetes | CWE-209 | 已添加一项检查,用于查找遗留在 .yaml 配置文件中的堆栈跟踪代码。1 |
| Java | CWE-78 | 查找 Runtime.getRunTime() 的内联调用。 |
| CWE-757 | 增强了对不安全和已损坏项的检查列表。 | |
| CWE-916 | 检查 PBEKeySpec 和 PBEParameterSpec 的迭代计数是否过低。1 |
|
| CWE-1188 | 针对使用大值或用户可控值的 StringBuilder 构造函数进行拒绝服务检查。1 |
|
| PHP | CWE-89 | 已为 sqlite_escape_string 添加验证器检查。 |
| 密钥 | CWE-798 | 一些无关模式被移除,不再作为结果。 |
| CWE-798 | 在 web.config 文件中查找硬编码凭证。 |
|
| CWE-1051 | 对硬编码 IP 地址的检查已进行调整,可避免将貌似 IP 地址的非 IP 字符串误报。 |
2025-07-14
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| Python | CWE-78 | 查找 os.system 的不安全使用情况。1 |
| CWE-79 | 提高了 Python Django 规则的清晰度。 | |
| 密钥 | CWE-1051 | 移除了硬编码 IP 地址检查的无关模式。 |
| CWE-798 | 移除了硬编码凭证的无关模式:
|
2025-06-13
Java 的标记添加:
- 68 个新来源
- 10 个新接收器
| 语言 | CWE | 描述 |
|---|---|---|
| 密钥 | 一些无关模式被移除,不再作为结果。 | |
| Java 源代码 | CWE-111 | 增加了对 DllImport 的危险使用情况的检查。 |
| CWE-918 | 增加了对具有潜在用户控制数据的 URL openStream 的检查。 |
2025-05-07
此版本中的所有规则更新都是新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| C# 源代码扫描程序 | CWE-94 | 检查 CSharpScript.EvaluateAsync。 |
| CWE-532 | 检查用户名或密码等个人身份信息 (PII) 的记录。 | |
| CWE-111 | 检查 DllImport 的不安全使用情况。 |
|
| Java 源代码扫描程序 | CWE-532 | 检查用户名或密码等个人身份信息 (PII) 的记录。 |
| CWE-102 | 检查 Struts 验证 XML 文件中是否存在重复的表单名称。 | |
| CWE-104 | 检查是否存在继承了 ActionForm 但未进行验证的类。 |
|
| PHP | CWE-111 | 检查包含不安全调用的 FFI::cdef 的使用情况。 |
| Python | CWE-111 | 检查未对参数使用完全限定路径的 ctypes.DLL 的使用情况。 |
2025-04-01
- 新规则
| 语言 | CWE | 描述 |
|---|---|---|
| 所有语言 | CWE-798 | 改进了降噪性能 |
| C# | CWE-328 | AutoFix 应用更现代的函数调用 |
| CWE-1333 | 检查应用于 regex 对象的超时1 | |
| CWE-89 | 通过使用 String.Append 构建查询语句而新捕获的 SQLi |
|
更新了 Microsoft.CodeAnalysis.CSharp.Scripting 和 Microsoft.AspNetCore.Mvc.ViewFeatures 的安全信息 |
||
| ColdFusion | CWE-328 | 调整了对提高性能的检查 |
| HTML | CWE-319 | 避免 URL 中出现 localhost 这样的干扰信息 |
| IaC | CWE-770 | 新增两个自动修复程序 |
| CWE-311 | 针对 Amazon 负载均衡器中的正确 TLS 设置增加了检查 | |
| Java | CWE-479 | 更新了自动修复程序 |
| JavaScript | CWE-598 | 查找 JavaScript 文件中的 URLSearchParams 缺陷。1. |
| Python | CWE-502 | 查找 Java 中的不安全反射1 |
2024-12-11
| 语言 | CWE | 描述 |
|---|---|---|
| C# | CWE-78 | 进行了调整,以减少操作系统注入的无关结果。 |
| IaC | CWE-798 | 进行了调整,以减少 TypeScript 代码构造的无关结果。 |
| CWE-1051 | 进行了调整,以减少 HTML 文件中 IP 模式的无关结果。 | |
| CWE-1328 | 进行了调整,以减少 Docker 图像参考的无关结果。 | |
| HTML | CWE-79 | 文件扩展名的新规则:
|
| CWE-319 | ||
| CWE-524 | ||
| CWE-525 | ||
| CWE-598 | ||
| CWE-1021 | ||
| CWE-1022 | ||
| JavaScript | CWE-209 | 进行了调整,以减少无关的结果。 |
| CWE-359 | 进行了调整,以减少无关的结果。 | |
| CWE-1022 | 进行了调整,以减少窗户 .open 结果的无关结果。 |
|
| 密钥 | CWE-798 | 正在 URL 查询字符串中查找已找到的硬编码密码。 |
| CWE-284 | 进行了调整,以减少 Azure 共享访问签名令牌暴露结果中的无关结果。 | |
| Visual Basic | CWE-78 | 进行了调整,以减少无关的结果。 |
| CWE-328 | 进行了调整,以减少无关的结果。 |
2024-12-03
注:
- 新规则
- 减少规则中的无关内容
| 语言 | CWE | 描述 |
|---|---|---|
| ASP.NET | CWE-1188 | 项目配置中启用了无 Cookie 会话状态。2 |
| CWE-79 | 代码中内嵌表达式的潜在 XSS。2 | |
| C# | CWE-601 | 在变量中可能由用户控制的数据的重定向请求。2 |
| CWE-185 | 正则表达式注入。2 | |
| IaC Terraform | CWE-410 | 不安全的负载均衡器配置。1 |
| Java | CWE-337 | Java 代码中 SecureRandom 实例的可预测种子。2 |
| CWE-918 | RestTemplate().exchange 中的服务器端请求伪造。2 |
|
| CWE-185 | Java 代码中的正则表达式注入。2 | |
| CWE-244 | 密码存储在 Java 字符串对象中。2 | |
| JavaScript | CWE-79 | document.referrer 的不安全使用。2 |
| PHP | CWE-79 | PHP 内用户控制的数据转换为 HTML。2 |
| Python Django | CWE-79 |
|
| CWE-89 | ||
| CWE-200 | ||
| CWE-201 | ||
| CWE-212 | ||
| CWE-352 | ||
| CWE-497 | ||
| CWE-522 | ||
| CWE-523 | ||
| CWE-795 | ||
| CWE-918 | ||
| CWE-1021 | ||
| CWE-1188 | ||
| CWE-1295 | ||
| 密钥 | CWE-798 | 硬编码的基本认证凭证。1 |
| VB.NET | CWE-502 | 可能的反序列化。2 |
2024 年 9 月 17 日
注:
- 新规则
- 新规则或扩展的自动修复规则
| 语言 | CWE | 更改 |
|---|---|---|
| 基础结构即代码 (IaC) | CWE-250 | 在 Dockerfile 中检测到 apt-get 命令的不安全使用。1 |
| CWE-1328 | 在 Dockerfile 中检测到对基本映像版本的不安全使用。1 | |
| CWE-276 | 缺省安全配置文件已禁用。2 | |
| JavaScript | CWE-1022 | 引荐来源信息泄露。2 |
| Kotlin | CWE-922 | Kotlin 代码中发现不正确的数据存储访问。2 |
| PHP | CWE-98 | allow_url_fopen 指令已启用。2 |
| CWE-98 | allow_url_include 指令已启用。2 |
|
| CWE-94 | cgi.force_redirect 指令已禁用。2 |
|
| CWE-614 | HTTPS 会话中不带 Secure 属性的敏感 cookie。2 |
|
| Python | CWE-732 | Django 设置中 ALLOWED_HOSTS 的不安全使用。1 |
| CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。1 | |
| CWE-1021 | 通过 X_FRAME_OPTIONS 的潜在 ClickjackingvAttack。1 |
|
| CWE-79 | 在 Django 模板中使用 safe 或 safeseq 过滤器可能导致出现 XSS 漏洞。1 |
|
| CWE-79 | Django HttpResponse 中潜在的 XSS 漏洞。1 | |
| CWE-150 | 扩大了环境对象自动转义错误的覆盖范围。2 | |
| CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。2 | |
| Ruby | CWE-78 | 反引号的不安全使用。2 |
| CWE-78 | 系统方法的使用不安全。2 | |
| Rust | CWE-295 | 检测到未进行证书检查的潜在 CMS 消息解密。2 |
| CWE-327 | 检测到可能使用了弱椭圆曲线加密。2 | |
| CWE-326 | 检测到潜在的弱 RSA 密钥长度。2 |
2024-09-04
常规更新:
-
扫描现在可避免所有最小化文件。
System.Data.SQLite的 .NET 数据流支持。
注:
- 新规则
- 新的自动修复规则
- 规则修复
| 语言 | CWE | 更改 | |
|---|---|---|---|
| .NET | ASP.NET | CWE-1188 | ASP.NET 项目配置中启用了无 Cookie 会话状态。2 |
| C# | CWE-319 | 检测到开放式通信方案。2 | |
| CWE-328 | 检测到弱密码算法。2 | ||
| CWE-327 | 检测到没有签名验证的 JWT 构建器。2 | ||
| VB.NET | CWE-1173 | VB 代码中禁用了 HTTP 请求验证。2 | |
| CWE-328 | VB 代码中使用了弱加密算法。2 | ||
| Angular | CWE-94 | 沙盒 VM 中有潜在代码注入漏洞。1 | |
| AngularJS | CWE-477 | 找到弃用的调用:(ng-bind-html-unsafe).2 |
|
| Apex | CWE-943 | SOQL 注入。2 | |
| CWE-943 | SOSL 注入。2 | ||
| CWE-328 | 选择了弱散列算法。2 | ||
| CWE-79 | 脚本或样式跨站点脚本编制 (XSS)。2 | ||
| ASP | CWE-319 | ASP 代码中检测到开放式通信方案。2 | |
| C/C++ | CWE-367 | 临时文件名函数的潜在危险使用。已更正上下文并启用自动修复。3 | |
| CWE-78 | 检测到潜在的命令注入。扩大了覆盖范围。3 | ||
| CWE-250 | CreateFile 调用似乎违反了最小特权原则。2 |
||
| CWE-250 | CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 标志。2 |
||
| CWE-757 | 发现 (SSL/TLS) 协议的不安全使用。2 | ||
| CWE-295 | 发现 Curl 配置的潜在危险使用(此类别中有七条不同的规则)。2 | ||
| CWE-427 | 检测到最小特权原则注册表的潜在操控。2 | ||
| CWE-611 | 启用了不安全的外部实体处理。2 | ||
| ColdFusion | CWE-524 | cfCache 缓存安全页面。2 |
|
| CWE-502 | cfWddx 缺少 WDDX 验证。2 |
||
| CWE-862 | 客户机未在 cfFunction 中验证。2 |
||
| CWE-319 | 不安全的通信。2 | ||
| CWE-307 | 多次提交验证。2 | ||
| CWE-327 | 加密函数中使用了不安全算法。2 | ||
| Dart | CWE-522 | 已针对潜在敏感字段启用 AutoComplete。2 |
|
| CWE-319 | 检测到与 HttpServer 的开放通信方案。2 |
||
| CWE-319 | 检测到开放式套接字通信。2 | ||
| CWE-319 | 检测到 URI 的开放式通信方案。2 | ||
| CWE-79 | Dart 代码中打开窗口的使用不安全。2 | ||
| CWE-319 | 字符串中检测到开放式通信方案。2 | ||
| CWE-79 | 发现不安全的内容安全策略关键字。2 | ||
| Docker | CWE-770 | 限制 CPU 以防止拒绝服务 (DoS) 攻击。2 | |
| CWE-770 | 限制失败时重新启动的次数,以防止拒绝服务 (DoS) 攻击。2 | ||
| Go | CWE-489 | 检测到 HTTP 的调试包 pprof。2 |
|
| CWE-1004 | Golang 代码包含不安全的 http.Cookie。2 |
||
| CWE-319 | Golang 代码中检测到开放式通信方案。2 | ||
| Groovy | CWE-319 | Groovy 代码中检测到开放式通信方案。2 | |
| CWE-79 | Groovy 源代码中检测到潜在的跨站点脚本编制漏洞,为所有实例添加了额外的自动修复程序。2 | ||
| Java | CWE-489 | 在 Web 安全中启用调试导致 Spring 中的数据泄露。2 | |
| CWE-1390 | 忽略 SAML 中的注释导致认证中断。2 | ||
| CWE-548 | Tomcat 配置中缺省 Servlet 的目录列表不安全。2 | ||
| CWE-276 | 在 Java 中检测到不安全的文件许可权使用。2 | ||
| CWE-489 | Java 代码中检测到打印堆栈跟踪。2 | ||
| CWE-489 | Android 应用程序中的可调试标志设置为 true。2 | ||
| CWE-1188 | 在 Android 代码中检测到不正确的共享首选项模式。2 | ||
| JavaScript | CWE-359 | 不安全的事件传输策略:已更正上下文并启用自动修复。3 | |
| CWE-79 | 在 jQuery.append 中检测到潜在的 XSS 漏洞。现在性能更快。3 |
||
| CWE-79 | 覆盖 Mustache 转义方法有风险。2 | ||
| CWE-319 | 不安全的事件传输策略。2 | ||
| Kotlin | CWE-319 | Kotlin 代码中检测到开放式通信。2 | |
| NodeJS | CWE-614 | Cookie 缺少安全标志或标志设置为不安全的值。2 | |
| CWE-328 | 加密 createCipheriv 中使用了不安全的算法。2 |
||
| CWE-295 | 用于禁用 node-curl 的 SSL 证书验证配置不安全。2 | ||
| CWE-78 | 发现 Exec shell spawn。2 | ||
| CWE-1004 | 缺少 HTTPOnly Cookie 属性,配置不安全。2 |
||
| Objective-C | CWE-319 | Objective-C 代码中检测到开放式通信方案。2 | |
| PHP | CWE-10041 | 不带 HttpOnly 标志的敏感 Cookie。2 |
|
| CWE-6141 | HTTPS 会话中不带 secure 属性的敏感 Cookie。2 |
||
| CWE-791 | 检测到嵌入式 PHP 变量2 | ||
| CWE-981 | PHP 代码中检测到潜在的文件包含漏洞。2 | ||
| CWE-6111 | PHP 代码中检测到 XML 外部实体注入。2 | ||
| CWE-78 | PHP 命令执行可能使用用户提供的数据。扩大了覆盖范围。3 | ||
| CWE-644 | 发现潜在的标头注入。扩大了覆盖范围。3 | ||
| CWE-327 | 检测到不安全的算法使用。扩大了检查和覆盖范围。3 | ||
| CWE-319 | PHP Symfony 框架中检测到开放式通信。2 | ||
| CWE-1004 | setcookie 中的 HTTPOnly 标志缺少或不安全。2 |
||
| CWE-319 | 检测到开放式通信方案。2 | ||
| CWE-544 | error_reporting 指令未设置为允许可能的最高级别的错误报告2 |
||
| PL/SQL | CWE-331 | DBMS_RANDOM 的不安全使用。2 |
|
| Python | CWE-311 | 使用 http 的 URL。扩大了覆盖范围。3 |
|
| CWE-311 | TOCTTOU 争用条件临时文件。修复了覆盖范围并启用了自动修复。3 | ||
| CWE-367 | TOCTTOU 争用条件临时文件。2 | ||
| CWE-319 | 使用 http 的 URL。2 |
||
| CWE-78 | Python OS 注入。2 | ||
| CWE-319 | 不安全的 FTP 使用。2 | ||
| CWE-78 | Popen 命令注入。2 | ||
| CWE-276 | 777 与 umask 结合使用。2 | ||
| ReactNative | CWE-319 | 检测到开放式通信。已更正上下文并启用自动修复。3 | |
| CWE-319 | 检测到开放式通信。2 | ||
| CWE-295 | 检测到禁用 SSL 固定。2 | ||
| RPG | CWE-319 | 代码中检测到开放式通信。2 | |
| Ruby | CWE-78 | 反引号正则表达式的不安全使用需要改进。扩大了覆盖范围。3 | |
| CWE-78 | 反引号的不安全使用。扩大了覆盖范围。3 | ||
| CWE-425 | Ruby 批量赋值。2 | ||
| CWE-359 | Ruby 信息泄露。2 | ||
| Scala | CWE-319 | Scala 代码中检测到开放式通信方案。2 | |
| CWE-79 | Scala 源代码中检测到通过 Cookie 访问实施的潜在客户机端脚本编制漏洞。2 | ||
| 密钥 | CWE-1051 | 检测到硬编码 IP 地址。扩大了覆盖范围。3 | |
| CWE-798 | 检测到硬编码凭证。扩大了覆盖范围。3 | ||
| Swift | CWE-319 | Swift 代码中检测到开放式通信方案。2 | |
| CWE-79 | 在 iOS UIWebView 中使用 loadRequest() 时可能存在跨站点脚本编制漏洞。2 |
||
| Terraform | CWE-359 | 检测到暴露用户数据机密的 AWS 实例。2 | |
| CWE-778 | Azure 日志监视器配置文件应定义所有必需类别。2 | ||
| CWE-732 | 在文件夹、项目或组织级别使用了缺省服务帐户。2 | ||
| CWE-671 | SQL Server 中未启用电子邮件服务和共同管理员。2 | ||
| CWE-923 | 确保 Azure 存储帐户缺省网络访问设置为“拒绝”。2 | ||
| CWE-923 | 确保 GCP 防火墙规则不允许不受限制的访问。2 | ||
| CWE-732 | Google Compute 实例可公开访问。2 | ||
| CWE-732 | Google 存储桶可公开访问。2 | ||
| CWE-732 | Amazon S3 存储桶的访问权限不安全。2 | ||
| Visual Basic | CWE-319 | VB 代码中检测到开放式通信方案。2 | |
| Xamarin | CWE-319 | Xamarin 中检测到开放式通信。2 | |
2024-08-06
| 语言 | CWE | 更改 |
|---|---|---|
| 常规 | CWE-319 | 更好地处理所有语言的开放式通信规则,以减少无关的结果。 |
| Angular | CWE-312 | 本地存储会避免与排序方向相关的 setItem 调用。 |
| ASP | CWE-79 | 使用 Server.HTMLEncode 检查验证是否正确。 |
| CSS |
CWE-79 |
进行了调整,以减少无关的结果。 |
| Dart | CWE-328 | 在呈现结果时更具选择性,避免更显著的无关结果。 |
| CWE-319 |
进行了调整,以减少无关的结果。 |
|
| Java 源代码扫描程序 | CWE-918 | 在 RestTemplate().exchange 调用中查找 SSRF。 |
| CWE-303 | 查找 NoOpPasswordEncoder.getInstance 危险调用。 |
|
| CWE-89 | 查找 SQLi 的更多案例。 | |
| CWE-22 | 查找更多可能出现路径遍历问题的地方 | |
| CWE-798 | 在 HashMap.put 调用和 Setter 中查找硬编码凭证。 |
|
| JavaScript | CWE-200 | 在 window.postMessage 调用中添加了对危险目标来源的检查。 |
| CWE-913 | 进行了修改,以减少无关的结果。 | |
| JQuery | CWE-79 | 进行了修改,以减少无关的结果。 |
| Objective-C | CWE-798 | 进行了修改,以减少某些额外的无关结果。 |
| PHP | CWE-798 | 检查该值并确定该值是否确实是代表存储在代码中的可能明文密码的字符串文字。 |
| Python | CWE-319 | 更正了自动修复程序,以解决某些情况下的错误替换。 |
| 密钥扫描 | CWE-798 | 避免最小化 JS 文件。 |
| 避免分析翻译文件以减少无关结果 | ||
| TerraForm | CWE-1220 | 对出口安全组 cidr_blocks 的新规则检查设置过于宽松。 |
| TypeScript | CWE-943 | 在 TypeScript 文件中查找 NoSQL MongoDB 注入。 |
| 查找 SQLi 的更多案例。 | ||
| VueJS | CWE-79 | 进行了调整,以减少在方法声明中发现时生成结果。 |