规则更新
ASoC 中的最新规则更新。
2024-09-17
注:
- 新规则
- 新规则或扩展的自动修复规则
语言 | CWE | 更改 |
---|---|---|
基础结构即代码 (IaC) | CWE-250 | 在 Dockerfile 中检测到 apt-get 命令的不安全使用。1 |
CWE-1328 | 在 Dockerfile 中检测到对基本映像版本的不安全使用。1 | |
CWE-276 | 缺省安全配置文件已禁用。2 | |
JavaScript | CWE-1022 | 引荐来源信息泄露。2 |
Kotlin | CWE-922 | Kotlin 代码中发现不正确的数据存储访问。2 |
PHP | CWE-98 | allow_url_fopen 指令已启用。2 |
CWE-98 | allow_url_include 指令已启用。2 |
|
CWE-94 | cgi.force_redirect 指令已禁用。2 |
|
CWE-614 | HTTPS 会话中的敏感 Cookie 没有 Secure 属性。2 |
|
Python | CWE-732 | Django 设置中 ALLOWED_HOSTS 的使用不安全。1 |
CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。1 | |
CWE-1021 | 通过 X_FRAME_OPTIONS 实施的潜在点击劫持攻击。1 |
|
CWE-79 | Django 模板中使用的 safe 或 safeseq 过滤器可能导致 XSS 漏洞。1 |
|
CWE-79 | Django HttpResponse 中潜在的 XSS 漏洞。1 | |
CWE-150 | 扩大了环境对象自动转义错误的覆盖范围。2 | |
CWE-539 | Django 中的 CSRF 或会话 Cookie 设置不安全。2 | |
Ruby | CWE-78 | 倒引号的使用不安全。2 |
CWE-78 | 系统方法的使用不安全。2 | |
Rust | CWE-295 | 检测到未进行证书检查的潜在 CMS 消息解密。2 |
CWE-327 | 检测到可能使用了弱椭圆曲线加密。2 | |
CWE-326 | 检测到潜在的弱 RSA 密钥长度。2 |
2024-09-04
常规更新:
-
扫描现在可避免所有最小化文件。
System.Data.SQLite
的 .NET 数据流支持。
注:
- 新规则
- 新的自动修复规则
- 规则修复
语言 | CWE | 更改 | |
---|---|---|---|
.NET | ASP.NET | CWE-1188 | ASP.NET 项目配置中启用了无 Cookie 会话状态。2 |
C# | CWE-319 | 检测到开放式通信方案。2 | |
CWE-328 | 检测到弱密码算法。2 | ||
CWE-327 | 检测到没有签名验证的 JWT 构建器。2 | ||
VB.NET | CWE-1173 | VB 代码中禁用了 HTTP 请求验证。2 | |
CWE-328 | VB 代码中使用了弱加密算法。2 | ||
Angular | CWE-94 | 沙盒 VM 中有潜在代码注入漏洞。1 | |
AngularJS | CWE-477 | 找到弃用的调用:(ng-bind-html-unsafe )。2 |
|
Apex | CWE-943 | SOQL 注入。2 | |
CWE-943 | SOSL 注入。2 | ||
CWE-328 | 选择了弱散列算法。2 | ||
CWE-79 | 脚本或样式跨站点脚本编制 (XSS)。2 | ||
ASP | CWE-319 | ASP 代码中检测到开放式通信方案。2 | |
C/C++ | CWE-367 | 临时文件名函数的潜在危险使用。已更正上下文并启用自动修复。3 | |
CWE-78 | 检测到潜在的命令注入。扩大了覆盖范围。3 | ||
CWE-250 | CreateFile 调用似乎违反了最小特权原则。2 |
||
CWE-250 | CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 标志。2 |
||
CWE-757 | 发现 (SSL/TLS) 协议的不安全使用。2 | ||
CWE-295 | 发现 Curl 配置的潜在危险使用(此类别中有七条不同的规则)。2 | ||
CWE-427 | 检测到最小特权原则注册表的潜在操控。2 | ||
CWE-611 | 启用了不安全的外部实体处理。2 | ||
ColdFusion | CWE-524 | cfCache 缓存安全页面。2 |
|
CWE-502 | cfWddx 缺失 WDDX 验证。2 |
||
CWE-862 | 客户机未在 cfFunction 中验证。2 |
||
CWE-319 | 不安全的通信。2 | ||
CWE-307 | 多次提交验证。2 | ||
CWE-327 | 加密函数中使用了不安全算法。2 | ||
Dart | CWE-522 | 为潜在敏感字段开启了 AutoComplete 。2 |
|
CWE-319 | 检测到 HttpServer 的开放式通信方案。2 |
||
CWE-319 | 检测到开放式套接字通信。2 | ||
CWE-319 | 检测到 URI 的开放式通信方案。2 | ||
CWE-79 | Dart 代码中打开窗口的使用不安全。2 | ||
CWE-319 | 字符串中检测到开放式通信方案。2 | ||
CWE-79 | 发现不安全的内容安全策略关键字。2 | ||
Docker | CWE-770 | 限制 CPU 以防止拒绝服务 (DoS) 攻击。2 | |
CWE-770 | 限制失败时重新启动的次数,以防止拒绝服务 (DoS) 攻击。2 | ||
Go | CWE-489 | 检测到 HTTP 的调试包 pprof 。2 |
|
CWE-1004 | Golang 代码包含不安全的 http.Cookie 。2 |
||
CWE-319 | Golang 代码中检测到开放式通信方案。2 | ||
Groovy | CWE-319 | Groovy 代码中检测到开放式通信方案。2 | |
CWE-79 | Groovy 源代码中检测到潜在的跨站点脚本编制漏洞,为所有实例添加了额外的自动修复程序。2 | ||
Java | CWE-489 | 在网络安全中启用调试导致 Spring 中的数据泄露。2 | |
CWE-1390 | 忽略 SAML 中的注释导致认证中断。2 | ||
CWE-548 | Tomcat 配置中缺省 Servlet 的目录列表不安全。2 | ||
CWE-276 | Java 中检测到不安全的文件权限使用。2 | ||
CWE-489 | Java 代码中检测到打印堆栈跟踪。2 | ||
CWE-489 | Android 应用程序中的可调试标志设置为 true。2 | ||
CWE-1188 | Android 代码中检测到不正确的共享偏好设置模式。2 | ||
JavaScript | CWE-359 | 不安全的事件传输策略:已更正上下文并启用自动修复。3 | |
CWE-79 | jQuery.append 中检测到潜在的 XSS 漏洞。现在性能更快。3 |
||
CWE-79 | 覆盖 Mustache 转义方法有风险。2 | ||
CWE-319 | 不安全的事件传输策略。2 | ||
Kotlin | CWE-319 | Kotlin 代码中检测到开放式通信。2 | |
NodeJS | CWE-614 | Cookie 缺少安全标志或标志设置为不安全的值。2 | |
CWE-328 | 加密 createCipheriv 中使用了不安全的算法。2 |
||
CWE-295 | 用于禁用 node-curl 的 SSL 证书验证配置不安全。2 | ||
CWE-78 | 发现 Exec shell spawn。2 | ||
CWE-1004 | 不安全的配置,缺失 HTTPOnly Cookie 属性。2 |
||
Objective-C | CWE-319 | Objective-C 代码中检测到开放式通信方案。2 | |
PHP | CWE-10041 | 无 HttpOnly 标志的敏感 Cookie。2 |
|
CWE-6141 | HTTPS 会话中存在没有 secure 属性的敏感 Cookie。2 |
||
CWE-791 | 检测到嵌入式 PHP 变量2 | ||
CWE-981 | PHP 代码中检测到潜在的文件包含漏洞。2 | ||
CWE-6111 | PHP 代码中检测到 XML 外部实体注入。2 | ||
CWE-78 | PHP 命令执行可能使用用户提供的数据。扩大了覆盖范围。3 | ||
CWE-644 | 发现潜在的标头注入。扩大了覆盖范围。3 | ||
CWE-327 | 检测到不安全的算法使用。扩大了检查范围。扩大了覆盖范围。3 | ||
CWE-319 | PHP Symfony 框架中检测到开放式通信。2 | ||
CWE-1004 | setcookie 中缺少 HTTPOnly 标志或者标志不安全。2 |
||
CWE-319 | 检测到开放式通信方案。2 | ||
CWE-544 | error_reporting 指令尚未设置为允许最高级别的错误报告2 |
||
PL/SQL | CWE-331 | DBMS_RANDOM 的不安全使用。2 |
|
Python | CWE-311 | 使用 http 的 URL。扩大了覆盖范围。3 |
|
CWE-311 | TOCTTOU 争用条件临时文件。修复了覆盖范围并启用了自动修复。3 | ||
CWE-367 | TOCTTOU 争用条件临时文件。2 | ||
CWE-319 | 使用 http 的 URL。2 |
||
CWE-78 | Python OS 注入。2 | ||
CWE-319 | 不安全的 FTP 使用。2 | ||
CWE-78 | Popen 命令注入。2 | ||
CWE-276 | 777 与 umask 结合使用。2 | ||
ReactNative | CWE-319 | 检测到开放式通信。已更正上下文并启用自动修复。3 | |
CWE-319 | 检测到开放式通信。2 | ||
CWE-295 | 检测到禁用 SSL 固定。2 | ||
RPG | CWE-319 | 代码中检测到开放式通信。2 | |
Ruby | CWE-78 | 倒引号正则表达式的不安全使用需要改进。扩大了覆盖范围。3 | |
CWE-78 | 倒引号的使用不安全。扩大了覆盖范围。3 | ||
CWE-425 | Ruby 批量赋值。2 | ||
CWE-359 | Ruby 信息泄露。2 | ||
Scala | CWE-319 | Scala 代码中检测到开放式通信方案。2 | |
CWE-79 | Scala 源代码中检测到通过 Cookie 访问实施的潜在客户机端脚本编制漏洞。2 | ||
密钥 | CWE-1051 | 检测到硬编码 IP 地址。扩大了覆盖范围。3 | |
CWE-798 | 检测到硬编码凭证。扩大了覆盖范围。3 | ||
Swift | CWE-319 | Swift 代码中检测到开放式通信方案。2 | |
CWE-79 | 在 iOS UIWebView 中使用 loadRequest() 时有潜在的跨站点脚本编制漏洞。2 |
||
Terraform | CWE-359 | 检测到暴露用户数据机密的 AWS 实例。2 | |
CWE-778 | Azure 日志监视器配置文件应定义所有必需类别。2 | ||
CWE-732 | 在文件夹、项目或组织级别使用了缺省服务帐户。2 | ||
CWE-671 | SQL Server 中未启用电子邮件服务和共同管理员。2 | ||
CWE-923 | 确保 Azure 存储帐户缺省网络访问设置为“拒绝”。2 | ||
CWE-923 | 确保 GCP 防火墙规则不允许不受限制的访问。2 | ||
CWE-732 | Google Compute 实例可公开访问。2 | ||
CWE-732 | Google 存储桶可公开访问。2 | ||
CWE-732 | Amazon S3 存储桶的访问权限不安全。2 | ||
Visual Basic | CWE-319 | VB 代码中检测到开放式通信方案。2 | |
Xamarin | CWE-319 | Xamarin 中检测到开放式通信。2 |
2024-08-06
语言 | CWE | 更改 |
---|---|---|
常规 | CWE-319 | 更好地处理所有语言的开放式通信规则,以减少无关的结果。 |
Angular | CWE-312 | 本地存储避免与排序方向相关的 setItem 调用。 |
ASP | CWE-79 | 使用 Server.HTMLEncode 检查是否正确验证。 |
CSS |
CWE-79 |
进行了调整,以减少无关的结果。 |
Dart | CWE-328 | 在呈现结果时更具选择性,避免更显著的无关结果。 |
CWE-319 |
进行了调整,以减少无关的结果。 |
|
Java 源代码扫描程序 | CWE-918 | 在 RestTemplate().exchange 调用中查找 SSRF。 |
CWE-303 | 查找 NoOpPasswordEncoder.getInstance 危险调用。 |
|
CWE-89 | 查找 SQLi 的更多案例。 | |
CWE-22 | 查找更多可能出现路径遍历问题的地方 | |
CWE-798 | 在 HashMap.put 调用和 Setter 中查找硬编码凭证。 |
|
JavaScript | CWE-200 | 在 window.postMessage 调用中添加了对危险目标来源的检查。 |
CWE-913 | 进行了修改,以减少无关的结果。 | |
JQuery | CWE-79 | 进行了修改,以减少无关的结果。 |
Objective-C | CWE-798 | 进行了修改,以减少某些额外的无关结果。 |
PHP | CWE-798 | 检查该值并确定该值是否确实是代表存储在代码中的潜在明文密码的字符串文字。 |
Python | CWE-319 | 更正了自动修复程序,以解决某些情况下的错误替换。 |
密钥扫描 | CWE-798 | 避免最小化 JS 文件。 |
避免分析翻译文件以减少无关结果 | ||
TerraForm | CWE-1220 | 对出口安全组 cidr_blocks 的新规则检查设置过于宽松。 |
TypeScript | CWE-943 | 在 TypeScript 文件中查找 NoSQL MongoDB 注入。 |
查找 SQLi 的更多案例。 | ||
VueJS | CWE-79 | 进行了调整,以减少在方法声明中发现时生成结果。 |