規則更新
ASoC 中的最近規則更新。
2026-02-10
- 新規則。
| 語言 | CWE | 說明 |
|---|---|---|
| C# | CWE-215 | 檢查日誌記錄呼叫是否含有包含敏感資訊的可疑變數。1 |
| CWE-397 | 尋找潛在不安全的通用例外擲回,例如 throw new Exception 或 throw new SystemException。 | |
| Dart | CWE-943 | 尋找 NoSQL 注入。1 |
| CWE-338 | 尋找不安全的偽隨機數字。1 | |
| CWE-116 | 尋找 File.writeAs 樣式呼叫。1 | |
| CWE-79 | 檢視 Response.ok 和類似呼叫的潛在不安全使用情況。1 | |
| CWE-348 | 尋找可能不安全的目錄列舉。1 | |
| CWE-78 | 檢查 Process.run 是否有不安全的使用。1 | |
| CWE-89 | 涵蓋 query/execute/prepare 樣式呼叫的 SQL 注入潛在風險。1 | |
| Java | CWE-215 | 檢查日誌記錄呼叫是否含有包含敏感資訊的可疑變數。1 |
| CWE-397 | 尋找可能不安全的通用例外擲回,例如 throws Exception 或 throws Throwable。 | |
| CWE-396 | 尋找通用的 catch 區塊,例如 catch(Exception e) 或 catch (Throwable t)。1 | |
| JavaScript | CWE-397 | 尋找可能不安全的通用例外擲回,例如 throw "message"。 |
| CWE-80 | 修正 @if 模式被誤判為非 handlebars 範本的問題。 | |
| Perl | CWE-732 | IO::File::open 呼叫的涵蓋範圍更加完整。 |
| PHP | CWE-397 | 尋找可能不安全的通用例外擲回,例如 throw Error("foo")。 |
| Python | CWE-397 | 尋找可能不安全的通用例外擲回,例如 raise BaseException。 |
| 機密 | CWE-798 | 為硬式編碼的 privateKey 新增機密檢查。 |
此外,CWE-319 也已全面更新。我們已移除在程式碼中尋找不安全 http 樣式字串的規則,因為這些規則產生過多雜訊。我們仍會在適當情況下,於混合式掃描器中尋找特定的開放式通訊使用例項,例如 JavaScript 中的 fetch 呼叫。
這項對 CWE-319 的變更會影響下列語言:
- ASP
- Golang
- Groovy
- Kotlin
- Objective-C
- PHP
- Scala
- Swift
- C#
- Dart
- RPG
- VB
- Xamarin
2025-12-18
| 語言 | CWE | 說明 |
|---|---|---|
| Anodid Java | CWE-319 | 新涵蓋範圍:檢查 AndroidManifest.xml 檔案中的 usesCleartextTraffic 或 cleartextTrafficPermitted 是否設為 true,這是不安全的做法。 |
| C# | CWE-89 | 新涵蓋範圍:新增 SQL 注入檢查,以納入 += 模式以及部分預存程序模式。 |
| CWE-89 | 新涵蓋範圍:更嚴格的檢查,以確認目前處於查詢語句中,從而減少雜訊。 | |
| CWE-1004 | 減少干擾:檢查 http=true,若已設定則略過此發現。 | |
| Dart:Flutter(新架構支援,新涵蓋範圍) | CWE-35 | 檢查 MethodChannel 是否使用可能由使用者控制的路徑引數。 |
| CWE-78 | 在 MethodChannel 呼叫中尋找潛在的 OS 注入。 |
|
| CWE-80 | 檢查 WebView 或 InAppWebView,查看 javascript 是否未受到限制,這是危險做法。 |
|
| CWE-89 | 支援 sqflite flutter 特定的 DB API | |
| CWE-117 | 揭露未被除錯控制包覆的 print 及類似陳述式。這些呼叫通常不應出現在除錯分支以外的生產程式碼中。 | |
| CWE-312 | 檢查 FlutterSecureStorage 是否儲存了疑似私人資訊,例如密碼或其他階段作業資訊。 |
|
| CWE-598 | 檢查 Navigator 物件是否有可能不安全的查詢參數用途。 | |
| CWE-918 | 尋找 MethodChannel.invokeMethod 中由使用者控制的 URL,以防範 SSRF 攻擊。 |
|
| JavaScript:Angular | CWE-80 | 減少干擾:檢查以確認目前不在 @if 範本中 |
| 秘密 | CWE-798 | 新涵蓋範圍:新增對 Tuleap 的支援。 |
| CWE-798 | 新涵蓋範圍:檢查 equalsIgnoreCase 呼叫中是否有硬式編碼密碼。 |
|
| CWE-798 | 減少干擾:避免為機密掃描器中已註解的 C\C++ 程式碼新增發現。 | |
| Swift | CWE-1188 | 新涵蓋範圍:檢查 info.plist 檔案中的 UIFileSharingEnabled 或 LSSupportsOpeningDocumentsInPlace 是否設為 true,這是不安全的做法。 |
2025-11-06
- 新規則。
| 語言 | CWE | 說明 |
|---|---|---|
| NodeJS | CWE-78 | 額外檢查不安全的 child_process.exec 呼叫。 |
| Perl | CWE-89 | 減少 SQL 注入規則中的雜訊,該規則先前會對參數化陳述式產生誤報。 |
| CWE-732 | 降低以 STDIN 作為輸入的 open 呼叫所產生的雜訊。 | |
| PHP | CWE-213 | 新增對 PHP 程式碼中殘留的 phpInfo 呼叫的檢查。1 |
| CWE-89 | 新增以 sqlite_escape_string 驗證並排除發現的檢查。 |
|
| TypeScript | CWE-94 | 針對包含可能由使用者控制之變數的 eval,新增額外檢查。 |
2025-10-07
- 新規則。
| 語言 | CWE | 說明 |
|---|---|---|
| C# | CWE-89 | 降低 SQLi 偵測中的雜訊。 |
| Java | CWE-209 | 檢查程式碼中 System.out 與 System.err 的使用(為除錯呼叫,應從生產程式碼中移除)。1 |
| 秘密 | CWE-1051 | 減少干擾:硬編碼 IP 位址檢查現已避免將版本號誤判為 IP 位址 |
| CWE-798 | 減少在 Atlassian 機密偵測中的干擾。 | |
| CWE-798 | 減少在機密金鑰\值配對中的干擾。 | |
| CWE-798 | 新增檢查範圍,以偵測字串中包含 1234 的硬編碼密碼。 |
2025-09-10
- 新規則。
| 語言 | CWE | 說明 |
|---|---|---|
| CSS | CWE-79 | 降低在 .css 檔案中硬編碼變數檢查所發現的雜訊。 |
| 執行 | CWE-79 | 降低 fprintf 檢查時產生的雜訊。 |
| IaC Docker | CWE-22 | 檢查是否在 DockerFile 中新增了敏感路徑。1 |
| IaC Kubernetes | CWE-209 | 在 .yaml 配置檔中新增檢查殘留堆疊追蹤程式碼的機制。1 |
| Java | CWE-78 | 搜尋 Runtime.getRunTime() 的內聯呼叫。 |
| CWE-757 | 擴充我們檢查為不安全或破損項目的清單。 | |
| CWE-916 | 檢查 PBEKeySpec 與 PBEParameterSpec 是否使用較弱的迭代次數。1 |
|
| CWE-1188 | 使用大型或由使用者控制的值的 StringBuilder 建構函式阻斷服務檢查。1 |
|
| PHP | CWE-89 | 新增針對 sqlite_escape_string 的驗證器檢查。 |
| 秘密 | CWE-798 | 將一些雜訊模式作為發現項目移除。 |
| CWE-798 | 在 web.config 檔案中搜尋硬編碼的認證資訊。 |
|
| CWE-1051 | 檢查硬編碼的 IP 位址,並調整以避免誤判看似 IP 位址但實際上不是的字串。 |
2025-07-14
- 新規則。
| 語言 | CWE | 說明 |
|---|---|---|
| Python | CWE-78 | 尋找不安全的 os.system 使用方式。1 |
| CWE-79 | 改善 Python Django 的規則清晰度。 | |
| 機密 | CWE-1051 | 移除寫在程式中的 IP 位址檢查的雜訊模式。 |
| CWE-798 | 移除寫在程式中憑證的雜訊模式:
|
2025-06-13
新增 Java 標記:
- 68 份新資源
- 10 個新接收槽
| 語言 | CWE | 說明 |
|---|---|---|
| 秘密 | 將一些雜訊模式作為發現項目移除。 | |
| Java 原始碼 | CWE-111 | 新增 DllImport 危險用法的檢查。 |
| CWE-918 | 新增使用潛在使用者控制資料的 URL openStream 檢查。 |
2025-05-07
此版本中的所有規則更新皆為新增規則。
| 語言 | CWE | 說明 |
|---|---|---|
| C# 原始碼掃描器 | CWE-94 | 檢查是否有 CSharpScript.EvaluateAsync。 |
| CWE-532 | 檢查是否記載個人識別資訊 (PII),例如使用者名稱或密碼。 | |
| CWE-111 | 檢查 DllImport 的危險用法。 |
|
| Java 原始碼掃描器 | CWE-532 | 檢查是否記載個人識別資訊 (PII),例如使用者名稱或密碼。 |
| CWE-102 | 檢查 Struts 驗證 XML 檔案中是否有重複的表單名稱。 | |
| CWE-104 | 檢查擴充 ActionForm 的類別是否未經驗證。 |
|
| PHP | CWE-111 | 檢查 FFI::cdef 的使用是否包含不安全的呼叫。 |
| Python | CWE-111 | 檢查 ctypes.DLL 的使用是否未對引數使用完整路徑。 |
2025-04-01
- 新增規則
| 語言 | CWE | 說明 |
|---|---|---|
| 所有語言 | CWE-798 | 改善減少干擾功能 |
| C# | CWE-328 | 自動修正功能會套用較新的函數呼叫 |
| CWE-1333 | Regex 物件會套用逾時檢查1 | |
| CWE-89 | 透過 String.Append 建構查詢,擷取新的 SQLi |
|
更新 Microsoft.CodeAnalysis.CSharp.Scripting 及 Microsoft.AspNetCore.Mvc.ViewFeatures 的安全資訊 |
||
| ColdFusion | CWE-328 | 調整檢查以改善效能 |
| HTML | CWE-319 | 避免 URL 中出現 localhost 樣式的干擾 |
| IaC | CWE-770 | 兩個新的自動修正 |
| CWE-311 | 額外檢查 Amazon 負載平衡器中的 TLS 設定適當 | |
| Java | CWE-479 | 更新自動修正 |
| JavaScript | CWE-598 | 在 JavaScript 檔案中尋找 URLSearchParams 缺陷1 |
| Python | CWE-502 | 在 Java 中尋找不安全的反映1 |
2024-12-11
| 語言 | CWE | 說明 |
|---|---|---|
| C# | CWE-78 | 針對 OS 注入,已進行調整,以減少有雜訊的發現項目。 |
| IaC | CWE-798 | 針對 TypeScript 程式碼建構,已進行調整,以減少有雜訊的發現項目。 |
| CWE-1051 | 針對 HTML 檔案中的 IP 模式,已進行調整,以減少有雜訊的發現項目。 | |
| CWE-1328 | 針對 Docker 映像檔參照,已進行調整,以減少有雜訊的發現項目。 | |
| HTML | CWE-79 | 副檔名的新規則:
|
| CWE-319 | ||
| CWE-524 | ||
| CWE-525 | ||
| CWE-598 | ||
| CWE-1021 | ||
| CWE-1022 | ||
| JavaScript | CWE-209 | 已進行調整,以減少有雜訊的發現項目。 |
| CWE-359 | 已進行調整,以減少有雜訊的發現項目。 | |
| CWE-1022 | 針對 window.open 發現項目,已進行調整,以減少有雜訊的發現項目。 |
|
| 機密 | CWE-798 | 尋找在 URL 查詢字串內找到之寫在程式中的密碼。 |
| CWE-284 | 已進行調整,以減少 Azure 共用存取簽章記號外洩發現項目中有雜訊的發現項目。 | |
| Visual Basic | CWE-78 | 已進行調整,以減少有雜訊的發現項目。 |
| CWE-328 | 已進行調整,以減少有雜訊的發現項目。 |
2024-12-03
註:
- 新增規則
- 已減少規則中的雜訊
| 語言 | CWE | 說明 |
|---|---|---|
| ASP.NET | CWE-1188 | 在專案配置中啟用了無 Cookie 階段作業狀態。2 |
| CWE-79 | 程式碼中的行內表示式有潛在 XSS。2 | |
| C# | CWE-601 | 變數中有內含潛在使用者控制資料的要求重新導向。2 |
| CWE-185 | 正規表示式注入。2 | |
| IaC Terraform | CWE-410 | 負載平衡器配置不安全。1 |
| Java | CWE-337 | Java 程式碼中有 SecureRandom 執行個體的可預測種子。2 |
| CWE-918 | RestTemplate().exchange 中有偽造伺服器端要求。2 |
|
| CWE-185 | Java 程式碼中有正規表示式注入。2. | |
| CWE-244 | 密碼已儲存在 Java 字串物件中。2 | |
| JavaScript | CWE-79 | document.referrer 的使用方式不安全。2 |
| PHP | CWE-79 | PHP 內使用者控制的資料已轉換為 HTML。2 |
| Python Django | CWE-79 |
|
| CWE-89 | ||
| CWE-200 | ||
| CWE-201 | ||
| CWE-212 | ||
| CWE-352 | ||
| CWE-497 | ||
| CWE-522 | ||
| CWE-523 | ||
| CWE-795 | ||
| CWE-918 | ||
| CWE-1021 | ||
| CWE-1188 | ||
| CWE-1295 | ||
| 機密 | CWE-798 | 寫在程式中的基本鑑別認證。1 |
| VB.NET | CWE-502 | 可能發生解除序列化。2 |
2024 年 9 月 17 日
註:
- 新增規則
- 新的或擴充的自動修正規則
| 語言 | CWE | 變更 |
|---|---|---|
| 基礎架構即代碼 (IaC) | CWE-250 | 在 Dockerfile 中偵測到使用不安全的 apt-get 指令。1 |
| CWE-1328 | 在 Dockerfile 中偵測到使用不安全的基本映像檔版本。1 | |
| CWE-276 | 預設安全設定檔已停用。2 | |
| JavaScript | CWE-1022 | 洩漏的轉介資訊。2 |
| Kotlin | CWE-922 | 在 Kotlin 程式碼中找到不當的資料儲存體存取問題。2 |
| PHP | CWE-98 | allow_url_fopen 指引已啟用。2 |
| CWE-98 | allow_url_include 指引已啟用。2 |
|
| CWE-94 | cgi.force_redirect 指引已停用。2 |
|
| CWE-614 | HTTPS 階段作業中的機密 Cookie 缺少 Secure 屬性。2 |
|
| Python | CWE-732 | 在 Django 設定中使用不安全的 ALLOWED_HOSTS。1 |
| CWE-539 | Django 中不安全的 CSRF 或階段作業 Cookie 設定。1 | |
| CWE-1021 | 透過 X_FRAME_OPTIONS 進行潛在的 ClickjackingvAttack。1 |
|
| CWE-79 | 在 Django 範本中使用 safe 或 safeseq 過濾器可能造成潛在的 XSS 漏洞。1 |
|
| CWE-79 | Django HttpResponse 中的潛在 XSS 漏洞。1 | |
| CWE-150 | 擴大環境物件的涵蓋範圍會自動逸出 false。2 | |
| CWE-539 | Django 中不安全的 CSRF 或階段作業 Cookie 設定。2 | |
| Ruby | CWE-78 | 反引號的使用方式不安全。2 |
| CWE-78 | 不安全使用系統方法。2 | |
| 鐵鏽色 | CWE-295 | 偵測到 CMS 訊息可能解密但未進行憑證檢查。2 |
| CWE-327 | 偵測到可能使用低強度的橢圓曲線 (Elliptic Curve) 加密。2 | |
| CWE-326 | 偵測到可能使用低強度的 RSA 金鑰長度。2 |
2024-09-04
一般更新:
-
立即掃描會避免所有壓縮的檔案。
- .NET 資料流程支援
System.Data.SQLite。
註:
- 新增規則
- 新自動修正規則
- 規則修正
| 語言 | CWE | 變更 | |
|---|---|---|---|
| .NET | ASP.NET | CWE-1188 | 在 ASP.NET 專案配置中啟用了無 Cookie 階段作業狀態。2 |
| C# | CWE-319 | 偵測到開放通訊架構。2 | |
| CWE-328 | 偵測到低強度密碼演算法。2 | ||
| CWE-327 | 偵測到未使用簽章驗證的 JWT Builder。2 | ||
| VB.NET | CWE-1173 | 在 VB 程式碼中停用了 HTTP 要求驗證。2 | |
| CWE-328 | 在 VB 程式碼中使用了低強度密碼演算法。2 | ||
| Angular | CWE-94 | 沙箱 VM 中有潛在程式碼注入漏洞。1 | |
| AngularJS | CWE-477 | 找到已淘汰的呼叫:(ng-bind-html-unsafe)。2 |
|
| Apex | CWE-943 | SOQL 注入。2 | |
| CWE-943 | SOSL 注入。2 | ||
| CWE-328 | 選擇了低強度雜湊演算法。2 | ||
| CWE-79 | 指令碼或樣式跨網站指令碼攻擊 (XSS)。2 | ||
| ASP | CWE-319 | 在 ASP 程式碼中偵測到開放通訊架構。2 | |
| C/C++ | CWE-367 | 使用的暫存檔命名函式可能有危險。已更正內容並啟用自動修正。3 | |
| CWE-78 | 偵測到潛在指令注入。已擴大涵蓋範圍。3 | ||
| CWE-250 | CreateFile 呼叫似乎違反最低專用權原則。2 |
||
| CWE-250 | CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 旗標。2 |
||
| CWE-757 | 發現使用了不安全的 (SSL/TLS) 通訊協定。2 | ||
| CWE-295 | 發現使用的 Curl 配置可能有危險(此類配置中使用了七個不同規則)。2 | ||
| CWE-427 | 偵測到可能的最低專用權登錄操作原則。2 | ||
| CWE-611 | 啟用了不安全的外部實體處理。2 | ||
| ColdFusion | CWE-524 | cfCache 快取安全頁面。2 |
|
| CWE-502 | cfWddx 缺少 WDDX 驗證。2 |
||
| CWE-862 | 用戶端未在 cfFunction 中驗證。2 |
||
| CWE-319 | 不安全通訊。2 | ||
| CWE-307 | 多重提交驗證。2 | ||
| CWE-327 | 加密函式中使用了不安全的演算法。2 | ||
| Dart | CWE-522 | 為可能屬於機密的欄位開啟了 AutoComplete。2 |
|
| CWE-319 | HttpServer 偵測到開放通訊架構。2 |
||
| CWE-319 | 偵測到開放 Socket 通訊。2 | ||
| CWE-319 | 偵測到含有 URI 的開放通訊架構。2 | ||
| CWE-79 | 不安全地使用了以 Dart 程式碼開啟的視窗。2 | ||
| CWE-319 | 在字串中偵測到開放通訊架構。2 | ||
| CWE-79 | 找到不安全的內容安全原則關鍵字。2 | ||
| Docker | CWE-770 | 限制 CPU 以防止阻斷服務 (DoS) 攻擊。2 | |
| CWE-770 | 限制失敗時重新啟動的次數,以防止阻斷服務 (DoS) 攻擊。2 | ||
| Go | CWE-489 | 偵測到用於 HTTP 的除錯套件 pprof。2 |
|
| CWE-1004 | Golang 程式碼含有不安全的 http.Cookie。2 |
||
| CWE-319 | 在 Golang 程式碼中偵測到開放通訊架構。2 | ||
| Groovy | CWE-319 | 在 Groovy 程式碼中偵測到開放通訊架構。2 | |
| CWE-79 | 在 Groovy 原始碼中偵測到潛在的跨網站指令碼攻擊漏洞,已為所有執行個體新增額外的自動修正功能。2 | ||
| Java | CWE-489 | 在 Web 安全機制中啟用除錯功能,導致資料顯示在 Spring 中。2 | |
| CWE-1390 | 忽略 SAML 中的註解,導致鑑別中斷。2 | ||
| CWE-548 | Tomcat 配置中預設 servlet 提供的目錄清單不安全。2 | ||
| CWE-276 | 在 Java 中偵測到不安全的檔案許可權使用情況。2 | ||
| CWE-489 | 在 Java 程式碼中偵測到列印堆疊追蹤。2 | ||
| CWE-489 | Android 應用程式中的可除錯旗標設為 True。2 | ||
| CWE-1188 | 在 Android 程式碼中偵測到不當的共用喜好設定模式。2 | ||
| JavaScript | CWE-359 | 不安全的事件傳輸原則:已更正內容,並啟用自動修正。3 | |
| CWE-79 | 在 jQuery.append 中偵測到潛在的 XSS 漏洞。效能現在更為快速。3 |
||
| CWE-79 | 覆寫 Mustache 跳出方法是危險的做法。2 | ||
| CWE-319 | 不安全的事件傳輸原則。2 | ||
| Kotlin | CWE-319 | 在 Kotlin 程式碼中偵測到開放通訊。2 | |
| NodeJS | CWE-614 | Cookie 缺少安全旗標,或是將旗標設為不安全值。2 | |
| CWE-328 | 在密碼編譯 createCipheriv 中使用了不安全的演算法。2 |
||
| CWE-295 | 停用 Node-curl 的 SSL 憑證驗證配置不安全。2 | ||
| CWE-78 | 發現了 Exec 殼層產生。2 | ||
| CWE-1004 | 不安全的配置:缺少 HTTPOnly Cookie 屬性。2 |
||
| Objective-C | CWE-319 | 在 Objective-C 程式碼中偵測到開放通訊架構。2 | |
| PHP | CWE-10041 | 機密 Cookie 缺少 HttpOnly 旗標。2 |
|
| CWE-6141 | HTTPS 階段作業中的機密 Cookie 缺少 secure 屬性。2 |
||
| CWE-791 | 偵測到內嵌的 PHP 變數2 | ||
| CWE-981 | 在 PHP 程式碼中偵測到潛在的檔案併入漏洞。2 | ||
| CWE-6111 | 在 PHP 程式碼中偵測到 XML 外部實體注入。2 | ||
| CWE-78 | PHP 指令執行可能使用了使用者提供的資料。已擴大涵蓋範圍。3 | ||
| CWE-644 | 發現潛在的標頭注入。已擴大涵蓋範圍。3 | ||
| CWE-327 | 偵測到使用不安全的演算法。已擴大檢查與涵蓋範圍。3 | ||
| CWE-319 | 在 PHP Symfony 架構中偵測到開放通訊。2 | ||
| CWE-1004 | setcookie 中缺少 HTTPOnly 旗標或旗標不安全。2 |
||
| CWE-319 | 偵測到開放通訊架構。2 | ||
| CWE-544 | error_reporting 指引未設為允許可能的最高層次錯誤報告2 |
||
| PL/SQL | CWE-331 | DBMS_RANDOM 的使用方式不安全。2 |
|
| Python | CWE-311 | URL 使用了 http。已擴大涵蓋範圍。3 |
|
| CWE-311 | TOCTTOU 競爭條件暫存檔。已修正掃描涵蓋範圍,並啟用自動修正。3 | ||
| CWE-367 | TOCTTOU 競爭條件暫存檔。2 | ||
| CWE-319 | URL 使用了http。2 |
||
| CWE-78 | Python OS 注入。2 | ||
| CWE-319 | 不安全的 FTP 用法。2 | ||
| CWE-78 | Popen 指令注入。2 | ||
| CWE-276 | 使用 777 搭配 umask。2 | ||
| ReactNative | CWE-319 | 偵測到開放通訊。已更正內容並啟用自動修正。3 | |
| CWE-319 | 偵測到開放通訊。2 | ||
| CWE-295 | 偵測到 SSL Pinning 停用動作。2 | ||
| RPG | CWE-319 | 在程式碼中偵測到開放通訊。2 | |
| Ruby | CWE-78 | 反引號的使用方式不安全,規則運算式需要改進。已擴大涵蓋範圍。3 | |
| CWE-78 | 反引號的使用方式不安全。已擴大涵蓋範圍。3 | ||
| CWE-425 | Ruby 大量指派。2 | ||
| CWE-359 | Ruby 資訊揭露。2 | ||
| Scala | CWE-319 | 在 Scala 程式碼中偵測到開放通訊架構。2 | |
| CWE-79 | 在 Scala 原始碼中偵測到透過 Cookie 存取的潛在用戶端指令碼攻擊漏洞。2 | ||
| 機密 | CWE-1051 | 偵測到寫在程式中的 IP 位址。已擴大涵蓋範圍。3 | |
| CWE-798 | 偵測到寫在程式中的認證。已擴大涵蓋範圍。3 | ||
| Swift | CWE-319 | 在 Swift 程式碼中偵測到開放通訊架構。2 | |
| CWE-79 | 在 iOS UIWebView 中使用 loadRequest() 時偵測到潛在的跨網站指令碼攻擊漏洞。2 |
||
| Terraform | CWE-359 | 偵測到 AWS 執行個體揭露使用者資料機密。2 | |
| CWE-778 | Azure 日誌監視設定檔應定義所有必要類別。2 | ||
| CWE-732 | 預設服務帳戶用於資料夾、專案或組織層級。2 | ||
| CWE-671 | SQL 伺服器中未啟用電子郵件服務和共同管理員。2 | ||
| CWE-923 | 確認 Azure 儲存體帳戶的預設網路存取已設為拒絕。2 | ||
| CWE-923 | 確認 GCP 防火牆規則不允許未限制的存取。2 | ||
| CWE-732 | Google Compute 執行個體可公開存取。2 | ||
| CWE-732 | Google Storage 儲存區可公開存取。2 | ||
| CWE-732 | Amazon S3 儲存區的存取權不安全。2 | ||
| Visual Basic | CWE-319 | 在 VB 程式碼中偵測到開放通訊架構。2 | |
| Xamarin | CWE-319 | 在 Xamarin 中偵測到開放通訊。2 | |
2024-08-06
| 語言 | CWE | 變更 |
|---|---|---|
| 一般 | CWE-319 | 更妥善處理所有語言的開放通訊規則,已減少有雜訊的發現項目。 |
| Angular | CWE-312 | 本端儲存空間可避免與排序方向有關的 setItem 呼叫。 |
| ASP | CWE-79 | 使用 Server.HTMLEncode 檢查驗證是否正確。 |
| CSS |
CWE-79 |
已進行調整,以減少有雜訊的發現項目。 |
| Dart | CWE-328 | 在呈現發現項目時更具選擇性,並避免較明顯的雜訊發現項目。 |
| CWE-319 |
已進行調整,以減少有雜訊的發現項目。 |
|
| Java 原始碼掃描器 | CWE-918 | 在 RestTemplate().exchange 呼叫中尋找 SSRF。 |
| CWE-303 | 尋找 NoOpPasswordEncoder.getInstance 危險呼叫。 |
|
| CWE-89 | 尋找 SQLi 的其他案例。 | |
| CWE-22 | 在更多地方尋找可能的路徑遍訪問題 | |
| CWE-798 | 在 HashMap.put 呼叫和 setter 中尋找寫在程式中的憑證。 |
|
| JavaScript | CWE-200 | 已在 window.postMessage 呼叫中新增危險目標來源檢查功能。 |
| CWE-913 | 已進行修改,以減少有雜訊的發現項目。 | |
| JQuery | CWE-79 | 已進行修改,以減少有雜訊的發現項目。 |
| Objective-C | CWE-798 | 已進行修改,以減少增加有雜訊的發現項目。 |
| PHP | CWE-798 | 檢查值,並確定值是否真的是代表以純文字格式儲存在程式碼中之可能密碼的字串文字。 |
| Python | CWE-319 | 已更正自動修正功能,以解決某些情況下的錯誤取代問題。 |
| 密碼掃描 | CWE-798 | 避免壓縮的 JS 檔案。 |
| 避免分析轉換檔以減少雜訊 | ||
| TerraForm | CWE-1220 | 輸出流量安全群組 cidr_blocks 新增的規則檢查功能設為「非強制」。 |
| TypeScript | CWE-943 | 在 TypeScript 檔案中尋找 NoSQL MongoDB 注入。 |
| 尋找 SQLi 的其他案例。 | ||
| VueJS | CWE-79 | 已進行調整,減少已在方法宣告中找到發現項目的情況下產生發現項目。 |