规则更新
ASoC 中的最新规则更新。
2025-07-14
- 新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| Python | CWE-78 | 查找 os.system 的不安全使用情况。1 |
| CWE-79 | 提高了 Python Django 规则的清晰度。 | |
| 密钥 | CWE-1051 | 移除了硬编码 IP 地址检查的无关模式。 |
| CWE-798 | 移除了硬编码凭证的无关模式:
|
2025-06-13
Java 的标记添加:
- 68 个新来源
- 10 个新接收器
| 语言 | CWE | 描述 |
|---|---|---|
| 密钥 | 一些无关模式被移除,不再作为结果。 | |
| Java 源代码 | CWE-111 | 增加了对 DllImport 的危险使用情况的检查。 |
| CWE-918 | 增加了对具有潜在用户控制数据的 URL openStream 的检查。 |
2025-05-07
此版本中的所有规则更新都是新规则。
| 语言 | CWE | 描述 |
|---|---|---|
| C# 源代码扫描程序 | CWE-94 | 检查 CSharpScript.EvaluateAsync。 |
| CWE-532 | 检查用户名或密码等个人身份信息 (PII) 的记录。 | |
| CWE-111 | 检查 DllImport 的不安全使用情况。 |
|
| Java 源代码扫描程序 | CWE-532 | 检查用户名或密码等个人身份信息 (PII) 的记录。 |
| CWE-102 | 检查 Struts 验证 XML 文件中是否存在重复的表单名称。 | |
| CWE-104 | 检查是否存在继承了 ActionForm 但未进行验证的类。 |
|
| PHP | CWE-111 | 检查包含不安全调用的 FFI::cdef 的使用情况。 |
| Python | CWE-111 | 检查未对参数使用完全限定路径的 ctypes.DLL 的使用情况。 |
2025-04-01
- 新规则
| 语言 | CWE | 描述 |
|---|---|---|
| 所有语言 | CWE-798 | 改进了降噪性能 |
| C# | CWE-328 | AutoFix 应用更现代的函数调用 |
| CWE-1333 | 检查应用于 regex 对象的超时1 | |
| CWE-89 | 通过使用 String.Append 构建查询语句而新捕获的 SQLi |
|
更新了 Microsoft.CodeAnalysis.CSharp.Scripting 和 Microsoft.AspNetCore.Mvc.ViewFeatures 的安全信息 |
||
| ColdFusion | CWE-328 | 调整了对提高性能的检查 |
| HTML | CWE-319 | 避免 URL 中出现 localhost 这样的干扰信息 |
| IaC | CWE-770 | 新增两个自动修复程序 |
| CWE-311 | 针对 Amazon 负载均衡器中的正确 TLS 设置增加了检查 | |
| Java | CWE-479 | 更新了自动修复程序 |
| JavaScript | CWE-598 | 查找 JavaScript 文件中的 URLSearchParams 缺陷。1. |
| Python | CWE-502 | 查找 Java 中的不安全反射1 |
2024-12-11
| 语言 | CWE | 描述 |
|---|---|---|
| C# | CWE-78 | 进行了调整,以减少操作系统注入的无关结果。 |
| IaC | CWE-798 | 进行了调整,以减少 TypeScript 代码构造的无关结果。 |
| CWE-1051 | 进行了调整,以减少 HTML 文件中 IP 模式的无关结果。 | |
| CWE-1328 | 进行了调整,以减少 Docker 图像参考的无关结果。 | |
| HTML | CWE-79 | 文件扩展名的新规则:
|
| CWE-319 | ||
| CWE-524 | ||
| CWE-525 | ||
| CWE-598 | ||
| CWE-1021 | ||
| CWE-1022 | ||
| JavaScript | CWE-209 | 进行了调整,以减少无关的结果。 |
| CWE-359 | 进行了调整,以减少无关的结果。 | |
| CWE-1022 | 进行了调整,以减少窗户 .open 结果的无关结果。 |
|
| 密钥 | CWE-798 | 正在 URL 查询字符串中查找已找到的硬编码密码。 |
| CWE-284 | 进行了调整,以减少 Azure 共享访问签名令牌暴露结果中的无关结果。 | |
| Visual Basic | CWE-78 | 进行了调整,以减少无关的结果。 |
| CWE-328 | 进行了调整,以减少无关的结果。 |
2024-12-03
注:
- 新规则
- 减少规则中的无关内容
| 语言 | CWE | 描述 |
|---|---|---|
| ASP.NET | CWE-1188 | 项目配置中启用了无 Cookie 会话状态。2 |
| CWE-79 | 代码中内嵌表达式的潜在 XSS。2 | |
| C# | CWE-601 | 在变量中可能由用户控制的数据的重定向请求。2 |
| CWE-185 | 正则表达式注入。2 | |
| IaC Terraform | CWE-410 | 不安全的负载均衡器配置。1 |
| Java | CWE-337 | Java 代码中 SecureRandom 实例的可预测种子。2 |
| CWE-918 | RestTemplate().exchange 中的服务器端请求伪造。2 |
|
| CWE-185 | Java 代码中的正则表达式注入。2 | |
| CWE-244 | 密码存储在 Java 字符串对象中。2 | |
| JavaScript | CWE-79 | document.referrer 使用不安全。2 |
| PHP | CWE-79 | PHP 内用户控制的数据转换为 HTML。2 |
| Python Django | CWE-79 |
|
| CWE-89 | ||
| CWE-200 | ||
| CWE-201 | ||
| CWE-212 | ||
| CWE-352 | ||
| CWE-497 | ||
| CWE-522 | ||
| CWE-523 | ||
| CWE-795 | ||
| CWE-918 | ||
| CWE-1021 | ||
| CWE-1188 | ||
| CWE-1295 | ||
| 密钥 | CWE-798 | 硬编码的基本认证凭证。1 |
| VB.NET | CWE-502 | 可能的反序列化。2 |
2024 年 9 月 17 日
注:
- 新规则
- 新规则或扩展的自动修复规则
| 语言 | CWE | 更改 |
|---|---|---|
| 基础结构即代码 (IaC) | CWE-250 | 在 Dockerfile 中检测到 apt-get 命令的不安全使用。1 |
| CWE-1328 | 在 Dockerfile 中检测到对基本映像版本的不安全使用。1 | |
| CWE-276 | 缺省安全配置文件已禁用。2 | |
| JavaScript | CWE-1022 | 引荐来源信息泄露。2 |
| Kotlin | CWE-922 | Kotlin 代码中发现不正确的数据存储访问。2 |
| PHP | CWE-98 | allow_url_fopen 指令已启用。2 |
| CWE-98 | allow_url_include 指令已启用。2 |
|
| CWE-94 | cgi.force_redirect 指令已禁用。2 |
|
| CWE-614 | HTTPS 会话中不带 Secure 属性的敏感 cookie。2 |
|
| Python | CWE-732 | Django 设置中 ALLOWED_HOSTS 的不安全使用。1 |
| CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。1 | |
| CWE-1021 | 通过 X_FRAME_OPTIONS 的潜在 ClickjackingvAttack。1 |
|
| CWE-79 | 在 Django 模板中使用 safe 或 safeseq 过滤器可能导致出现 XSS 漏洞。1 |
|
| CWE-79 | Django HttpResponse 中潜在的 XSS 漏洞。1 | |
| CWE-150 | 扩大了环境对象自动转义错误的覆盖范围。2 | |
| CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。2 | |
| Ruby | CWE-78 | 反引号的不安全使用。2 |
| CWE-78 | 系统方法的使用不安全。2 | |
| Rust | CWE-295 | 检测到未进行证书检查的潜在 CMS 消息解密。2 |
| CWE-327 | 检测到可能使用了弱椭圆曲线加密。2 | |
| CWE-326 | 检测到潜在的弱 RSA 密钥长度。2 |
2024-09-04
常规更新:
-
扫描现在可避免所有最小化文件。
System.Data.SQLite的 .NET 数据流支持。
注:
- 新规则
- 新的自动修复规则
- 规则修复
| 语言 | CWE | 更改 | |
|---|---|---|---|
| .NET | ASP.NET | CWE-1188 | ASP.NET 项目配置中启用了无 Cookie 会话状态。2 |
| C# | CWE-319 | 检测到开放式通信方案。2 | |
| CWE-328 | 检测到弱密码算法。2 | ||
| CWE-327 | 检测到没有签名验证的 JWT 构建器。2 | ||
| VB.NET | CWE-1173 | VB 代码中禁用了 HTTP 请求验证。2 | |
| CWE-328 | VB 代码中使用了弱加密算法。2 | ||
| Angular | CWE-94 | 沙盒 VM 中有潜在代码注入漏洞。1 | |
| AngularJS | CWE-477 | 找到弃用的调用:(ng-bind-html-unsafe).2 |
|
| Apex | CWE-943 | SOQL 注入。2 | |
| CWE-943 | SOSL 注入。2 | ||
| CWE-328 | 选择了弱散列算法。2 | ||
| CWE-79 | 脚本或样式跨站点脚本编制 (XSS)。2 | ||
| ASP | CWE-319 | ASP 代码中检测到开放式通信方案。2 | |
| C/C++ | CWE-367 | 临时文件名函数的潜在危险使用。已更正上下文并启用自动修复。3 | |
| CWE-78 | 检测到潜在的命令注入。扩大了覆盖范围。3 | ||
| CWE-250 | CreateFile 调用似乎违反了最小特权原则。2 |
||
| CWE-250 | CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 标志。2 |
||
| CWE-757 | 发现 (SSL/TLS) 协议的不安全使用。2 | ||
| CWE-295 | 发现 Curl 配置的潜在危险使用(此类别中有七条不同的规则)。2 | ||
| CWE-427 | 检测到最小特权原则注册表的潜在操控。2 | ||
| CWE-611 | 启用了不安全的外部实体处理。2 | ||
| ColdFusion | CWE-524 | cfCache 缓存安全页面。2 |
|
| CWE-502 | cfWddx 缺少 WDDX 验证。2 |
||
| CWE-862 | 客户机未在 cfFunction 中验证。2 |
||
| CWE-319 | 不安全的通信。2 | ||
| CWE-307 | 多次提交验证。2 | ||
| CWE-327 | 加密函数中使用了不安全算法。2 | ||
| Dart | CWE-522 | 已针对潜在敏感字段启用 AutoComplete。2 |
|
| CWE-319 | 检测到与 HttpServer 的开放通信方案。2 |
||
| CWE-319 | 检测到开放式套接字通信。2 | ||
| CWE-319 | 检测到 URI 的开放式通信方案。2 | ||
| CWE-79 | Dart 代码中打开窗口的使用不安全。2 | ||
| CWE-319 | 字符串中检测到开放式通信方案。2 | ||
| CWE-79 | 发现不安全的内容安全策略关键字。2 | ||
| Docker | CWE-770 | 限制 CPU 以防止拒绝服务 (DoS) 攻击。2 | |
| CWE-770 | 限制失败时重新启动的次数,以防止拒绝服务 (DoS) 攻击。2 | ||
| Go | CWE-489 | 检测到 HTTP 的调试包 pprof。2 |
|
| CWE-1004 | Golang 代码包含不安全的 http.Cookie。2 |
||
| CWE-319 | Golang 代码中检测到开放式通信方案。2 | ||
| Groovy | CWE-319 | Groovy 代码中检测到开放式通信方案。2 | |
| CWE-79 | Groovy 源代码中检测到潜在的跨站点脚本编制漏洞,为所有实例添加了额外的自动修复程序。2 | ||
| Java | CWE-489 | 在 Web 安全中启用调试导致 Spring 中的数据泄露。2 | |
| CWE-1390 | 忽略 SAML 中的注释导致认证中断。2 | ||
| CWE-548 | Tomcat 配置中缺省 Servlet 的目录列表不安全。2 | ||
| CWE-276 | 在 Java 中检测到不安全的文件权限使用。2 | ||
| CWE-489 | Java 代码中检测到打印堆栈跟踪。2 | ||
| CWE-489 | Android 应用程序中的可调试标志设置为 true。2 | ||
| CWE-1188 | 在 Android 代码中检测到不正确的共享偏好设置模式。2 | ||
| JavaScript | CWE-359 | 不安全的事件传输策略:已更正上下文并启用自动修复。3 | |
| CWE-79 | 在 jQuery.append 中检测到潜在的 XSS 漏洞。现在性能更快。3 |
||
| CWE-79 | 覆盖 Mustache 转义方法有风险。2 | ||
| CWE-319 | 不安全的事件传输策略。2 | ||
| Kotlin | CWE-319 | Kotlin 代码中检测到开放式通信。2 | |
| NodeJS | CWE-614 | Cookie 缺少安全标志或标志设置为不安全的值。2 | |
| CWE-328 | 加密 createCipheriv 中使用了不安全的算法。2 |
||
| CWE-295 | 用于禁用 node-curl 的 SSL 证书验证配置不安全。2 | ||
| CWE-78 | 发现 Exec shell spawn。2 | ||
| CWE-1004 | 缺少 HTTPOnly Cookie 属性,配置不安全。2 |
||
| Objective-C | CWE-319 | Objective-C 代码中检测到开放式通信方案。2 | |
| PHP | CWE-10041 | 不带 HttpOnly 标志的敏感 Cookie。2 |
|
| CWE-6141 | HTTPS 会话中不带 secure 属性的敏感 Cookie。2 |
||
| CWE-791 | 检测到嵌入式 PHP 变量2 | ||
| CWE-981 | PHP 代码中检测到潜在的文件包含漏洞。2 | ||
| CWE-6111 | PHP 代码中检测到 XML 外部实体注入。2 | ||
| CWE-78 | PHP 命令执行可能使用用户提供的数据。扩大了覆盖范围。3 | ||
| CWE-644 | 发现潜在的标头注入。扩大了覆盖范围。3 | ||
| CWE-327 | 检测到不安全的算法使用。扩大了检查和覆盖范围。3 | ||
| CWE-319 | PHP Symfony 框架中检测到开放式通信。2 | ||
| CWE-1004 | setcookie 中的 HTTPOnly 标志缺少或不安全。2 |
||
| CWE-319 | 检测到开放式通信方案。2 | ||
| CWE-544 | error_reporting 指令未设置为允许可能的最高级别的错误报告2 |
||
| PL/SQL | CWE-331 | DBMS_RANDOM 使用不安全。2 |
|
| Python | CWE-311 | 使用 http 的 URL。扩大了覆盖范围。3 |
|
| CWE-311 | TOCTTOU 争用条件临时文件。修复了覆盖范围并启用了自动修复。3 | ||
| CWE-367 | TOCTTOU 争用条件临时文件。2 | ||
| CWE-319 | 使用 http 的 URL。2 |
||
| CWE-78 | Python OS 注入。2 | ||
| CWE-319 | 不安全的 FTP 使用。2 | ||
| CWE-78 | Popen 命令注入。2 | ||
| CWE-276 | 777 与 umask 结合使用。2 | ||
| ReactNative | CWE-319 | 检测到开放式通信。已更正上下文并启用自动修复。3 | |
| CWE-319 | 检测到开放式通信。2 | ||
| CWE-295 | 检测到禁用 SSL 固定。2 | ||
| RPG | CWE-319 | 代码中检测到开放式通信。2 | |
| Ruby | CWE-78 | 反引号正则表达式的不安全使用需要改进。扩大了覆盖范围。3 | |
| CWE-78 | 反引号的不安全使用。扩大了覆盖范围。3 | ||
| CWE-425 | Ruby 批量赋值。2 | ||
| CWE-359 | Ruby 信息泄露。2 | ||
| Scala | CWE-319 | Scala 代码中检测到开放式通信方案。2 | |
| CWE-79 | Scala 源代码中检测到通过 Cookie 访问实施的潜在客户机端脚本编制漏洞。2 | ||
| 密钥 | CWE-1051 | 检测到硬编码 IP 地址。扩大了覆盖范围。3 | |
| CWE-798 | 检测到硬编码凭证。扩大了覆盖范围。3 | ||
| Swift | CWE-319 | Swift 代码中检测到开放式通信方案。2 | |
| CWE-79 | 在 iOS UIWebView 中使用 loadRequest() 时可能存在跨站点脚本编制漏洞。2 |
||
| Terraform | CWE-359 | 检测到暴露用户数据机密的 AWS 实例。2 | |
| CWE-778 | Azure 日志监视器配置文件应定义所有必需类别。2 | ||
| CWE-732 | 在文件夹、项目或组织级别使用了缺省服务帐户。2 | ||
| CWE-671 | SQL Server 中未启用电子邮件服务和共同管理员。2 | ||
| CWE-923 | 确保 Azure 存储帐户缺省网络访问设置为“拒绝”。2 | ||
| CWE-923 | 确保 GCP 防火墙规则不允许不受限制的访问。2 | ||
| CWE-732 | Google Compute 实例可公开访问。2 | ||
| CWE-732 | Google 存储桶可公开访问。2 | ||
| CWE-732 | Amazon S3 存储桶的访问权限不安全。2 | ||
| Visual Basic | CWE-319 | VB 代码中检测到开放式通信方案。2 | |
| Xamarin | CWE-319 | Xamarin 中检测到开放式通信。2 | |
2024-08-06
| 语言 | CWE | 更改 |
|---|---|---|
| 常规 | CWE-319 | 更好地处理所有语言的开放式通信规则,以减少无关的结果。 |
| Angular | CWE-312 | 本地存储会避免与排序方向相关的 setItem 调用。 |
| ASP | CWE-79 | 使用 Server.HTMLEncode 检查验证是否正确。 |
| CSS |
CWE-79 |
进行了调整,以减少无关的结果。 |
| Dart | CWE-328 | 在呈现结果时更具选择性,避免更显著的无关结果。 |
| CWE-319 |
进行了调整,以减少无关的结果。 |
|
| Java 源代码扫描程序 | CWE-918 | 在 RestTemplate().exchange 调用中查找 SSRF。 |
| CWE-303 | 查找 NoOpPasswordEncoder.getInstance 危险调用。 |
|
| CWE-89 | 查找 SQLi 的更多案例。 | |
| CWE-22 | 查找更多可能出现路径遍历问题的地方 | |
| CWE-798 | 在 HashMap.put 调用和 Setter 中查找硬编码凭证。 |
|
| JavaScript | CWE-200 | 在 window.postMessage 调用中添加了对危险目标来源的检查。 |
| CWE-913 | 进行了修改,以减少无关的结果。 | |
| JQuery | CWE-79 | 进行了修改,以减少无关的结果。 |
| Objective-C | CWE-798 | 进行了修改,以减少某些额外的无关结果。 |
| PHP | CWE-798 | 检查该值并确定该值是否确实是代表存储在代码中的可能明文密码的字符串文字。 |
| Python | CWE-319 | 更正了自动修复程序,以解决某些情况下的错误替换。 |
| 密钥扫描 | CWE-798 | 避免最小化 JS 文件。 |
| 避免分析翻译文件以减少无关结果 | ||
| TerraForm | CWE-1220 | 对出口安全组 cidr_blocks 的新规则检查设置过于宽松。 |
| TypeScript | CWE-943 | 在 TypeScript 文件中查找 NoSQL MongoDB 注入。 |
| 查找 SQLi 的更多案例。 | ||
| VueJS | CWE-79 | 进行了调整,以减少在方法声明中发现时生成结果。 |