Général |
CWE-319 |
Une meilleure gestion des règles de communication ouvertes pour toutes les langues permet d'éviter les constatations erronées. |
.NET |
ASP.NET |
CWE-1188 |
L'état de session sans cookie est activé dans la configuration du projet ASP.NET.2 |
C# |
CWE-319 |
Schéma de communications ouvertes détecté.2 |
CWE-328 |
Algorithme de chiffrement faible détecté.2 |
CWE-327 |
Le générateur JWT sans vérification de signature est détecté.2 |
VB.NET |
CWE-1173 |
La validation de la requête HTTP est désactivée dans le code VB.2 |
CWE-328 |
Utilisation d'un algorithme cryptographique faible dans le code VB.2 |
Angular |
CWE-94 |
Vulnérabilité potentielle d'injection de code dans la machine virtuelle de sandbox.1 |
CWE-312 |
Le stockage local évite les appels setItem liés à l'ordre de tri. |
AngularJS |
CWE-477 |
Appel obsolète détecté : (ng-bind-html-unsafe).2 |
Sommet |
CWE-943 |
Injection SOQL.2 |
CWE-943 |
Injection SOSL.2 |
CWE-328 |
Algorithme de hachage faible choisi.2 |
CWE-79 |
Attaque par script intersite (XSS) de script ou style.2 |
ASP |
CWE-319 |
Schéma de communications ouvertes détecté dans le code ASP.2 |
CWE-79 |
Vérifie que la validation est correcte à l'aide de Server.HTMLEncode . |
C/C++ |
CWE-367 |
Utilisation potentiellement dangereuse de la fonctionnalité de nom de fichier temporaire. Contexte corrigé et correction automatique activée.3 |
CWE-78 |
Injection potentielle de commande détectée. Couverture étendue.3 |
CWE-250 |
Appel CreateFile qui semble enfreindre le principe du moindre privilège.2 |
CWE-250 |
CreateNamedPipe ne dispose pas de l'indicateur FILE_FLAG_FIRST_PIPE_INSTANCE .2 |
CWE-757 |
Utilisation non sécurisée du protocole (SSL/TLS) détectée.2 |
CWE-295 |
Utilisation potentiellement dangereuse de la configuration Curl découverte (sept règles différentes dans cette catégorie).2 |
CWE-427 |
Principe potentiel de manipulation du registre des privilèges minimaux détecté.2 |
CWE-611 |
Traitement d'entité externe non sécurisé activé.2 |
ColdFusion |
CWE-524 |
Mise en cache cfCache des pages sécurisées.2 |
CWE-502 |
cfWddx ne comporte pas de validation WDDX.2 |
CWE-862 |
Client non vérifié dans cfFunction .2 |
CWE-319 |
Communications non sécurisées.2 |
CWE-307 |
Validation de soumissions multiples.2 |
CWE-327 |
Algorithme non sécurisé utilisé dans la fonction de chiffrement.2 |
CSS |
CWE-79 |
Adapté pour éviter les constatations erronées. |
Dart |
CWE-522 |
AutoComplete activé pour les champs potentiellement sensibles.2 |
CWE-319 |
Schéma de communications ouvertes détecté avec HttpServer .2 |
CWE-319 |
Communications à sockets ouvertes détectées.2 |
CWE-319 |
Schéma de communication ouverte avec Uri détecté.2 |
CWE-79 |
Utilisation non sécurisée de la fenêtre ouverte dans le code Dart.2 |
CWE-319 |
Schéma de communications ouvertes détecté dans une chaîne.2 |
CWE-79 |
Mot clé de stratégie de sécurité du contenu non sécurisé trouvé.2 |
CWE-328 |
Plus sélectif lors de la présentation des constatations et évite les constatations erronées plus évidentes. |
CWE-319 |
Adapté pour éviter les constatations erronées. |
Docker |
CWE-770 |
Limiter le CPU pour empêcher les attaques par déni de service (DoS).2 |
CWE-770 |
Limiter le nombre de redémarrages en cas d'échec pour éviter un déni de service (DoS).2 |
Go |
CWE-489 |
Débogage du package pprop pour HTTP détecté.2 |
CWE-1004 |
Code Golang contenant un http.Cookie non sécurisé.2 |
CWE-319 |
Schéma de communications ouvertes détecté dans le code Golang.2 |
Groovy |
CWE-319 |
Schéma de communications ouvertes détecté dans le code de Groovy.2 |
CWE-79 |
Une vulnérabilité potentielle de script intersite détectée dans le code source Groovy a ajouté des correctifs automatiques supplémentaires pour toutes les instances.2 |
Java |
CWE-489 |
L'activation du débogage dans la sécurité Web révèle des données dans Spring.2 |
CWE-1390 |
Ignorer les commentaires dans SAML entraîne une rupture de l'authentification.2 |
CWE-548 |
Liste de répertoires non sécurisés pour le servlet par défaut dans la configuration tomcat.2 |
CWE-276 |
Utilisation non sécurisée d'autorisation de fichier dans Java.2 |
CWE-489 |
Trace de pile d'impression détectée dans le code Java.2 |
CWE-489 |
L'indicateur de débogage est défini sur "true" dans l'application Android.2 |
CWE-1188 |
Mode de préférences partagées incorrect détecté dans le code Android.2 |
JavaScript |
CWE-359 |
Politique de transmission d'événements non sécurisés : contexte corrigé et correction automatique activée.3 |
CWE-79 |
Vulnérabilité XSS potentielle détectée dans jQuery.append . Des performances plus rapides dès maintenant.3 |
CWE-79 |
Contourner la méthode d'évasion Mustache peut être dangereux.2 |
CWE-319 |
Politique non sécurisée de transmission d'événements.2 |
CWE-200 |
Nous avons ajouté une vérification pour détecter les origines de cibles potentiellement dangereuses lors des appels window.postMessage . |
CWE-913 |
Modifié pour éviter les constatations erronées. |
Scanner de code source Java |
CWE-918 |
Recherche de SSRF dans les appels RestTemplate().exchange . |
CWE-303 |
Recherche d'appel dangereux NoOpPasswordEncoder.getInstance . |
CWE-89 |
Recherche de cas supplémentaires pour SQLi. |
CWE-22 |
Recherche d'autres endroits pour des problèmes potentiels de traversée du répertoire |
CWE-798 |
Recherche d'informations d'identification codées en dur dans les appels HashMap.put et les setters. |
Jquery |
CWE-79 |
Modifié pour éviter les constatations erronées. |
Kotlin |
CWE-319 |
Communication ouverte détectée dans le code Kotlin.2 |
NodeJS |
CWE-614 |
Cookie disposant d'un indicateur défini sur une valeur non sécurisée ou indicateur de sécurité manquant.2 |
CWE-328 |
Algorithme non sécurisé utilisé dans le chiffrement createCipheriv .2 |
CWE-295 |
Configuration non sécurisée de la vérification des certificats SSL pour la désactivation de Node-curl.2 |
CWE-78 |
Génération de shell d'exécution détectée.2 |
CWE-1004 |
Configuration non sécurisée de l'attribut de cookie HTTPOnly manquant.2 |
Objective-C |
CWE-319 |
Schéma de communications ouvertes détecté dans le code Objective-C.2 |
CWE-798 |
Modifié pour éviter des constatations erronées supplémentaires. |
PHP |
CWE-10041 |
Cookie sensible sans indicateur HttpOnly .2 |
CWE-6141 |
Cookie sensible dans la session HTTPS sans attribut secure .2 |
CWE-791 |
Variable PHP intégrée détectée2 |
CWE-981 |
Vulnérabilité potentielle d'inclusion de fichiers détectée dans le code PHP.2 |
CWE-6111 |
Injection d'entité externe XML détectée dans le code PHP.2 |
CWE-78 |
Exécution de commande PHP utilisant potentiellement des données fournies par l'utilisateur. Couverture étendue.3 |
CWE-644 |
Injection potentielle de l'en-tête détectée. Couverture étendue.3 |
CWE-327 |
Utilisation d'un algorithme non sécurisé détectée par les vérifications étendues. Couverture étendue.3 |
CWE-319 |
Communication ouverte détectée dans l'infrastructure PHP Symfony.2 |
CWE-1004 |
Indicateur HTTPOnly manquant ou non sécurisé dans setcookie .2 |
CWE-319 |
Schéma de communications ouvertes détecté.2 |
CWE-544 |
L'instruction error_reporting n'a pas été configurée pour permettre le niveau de rapport d'erreurs le plus élevé possible.2 |
CWE-798 |
Vérifie la valeur et s'assure qu'il s'agit bien d'une chaîne littérale représentant un mot de passe probable en texte clair stocké dans le code. |
PL/SQL |
CWE-331 |
Utilisation non sécurisée de DBMS_RANDOM .2 |
Python |
CWE-311 |
URL utilisant http . Couverture étendue.3 |
CWE-311 |
Fichier temporaire de condition d'indétermination TOCTTOU. Couverture fixe et correction automatique activée.3 |
CWE-367 |
Fichier temporaire de condition d'indétermination TOCTTOU.2 |
CWE-319 |
URL utilisant http .2 |
CWE-78 |
Injection de système d'exploitation Python.2 |
CWE-319 |
Utilisation FTP non sécurisée.2 |
CWE-78 |
Injection de commande popen.2 |
CWE-276 |
Utilisation de 777 avec umask.2 |
CWE-319 |
Correction automatique pour résoudre un remplacement erroné dans certaines circonstances. |
ReactNative |
CWE-319 |
Communication ouverte détectée. Contexte corrigé et correction automatique activée.3 |
CWE-319 |
Communication ouverte détectée.2 |
CWE-295 |
Désactivation de l'épinglage SSL détecté.2 |
RPG |
CWE-319 |
Communication ouverte détectée dans le code.2 |
Ruby |
CWE-78 |
Utilisation non sécurisée de guillemets simples inversés regex devant être améliorée. Couverture étendue.3 |
CWE-78 |
Utilisation non sécurisée de guillemets simples inversés. Couverture étendue.3 |
CWE-425 |
Affectation de masse Ruby.2 |
CWE-359 |
Divulgation d'informations Ruby.2 |
Scala |
CWE-319 |
Schéma de communications ouvertes détecté dans le code Scala.2 |
CWE-79 |
Éventuelle vulnérabilité de script côté client via l'accès aux cookies détectée dans le code source Scala.2 |
Secrets |
CWE-1051 |
Adresses IP codées en dur détectées. Couverture étendue.3 |
CWE-798 |
Identifiants codés en dur détectés. Couverture étendue.3 |
CWE-798 |
Évite les fichiers JS minifiés. |
CWE-798 |
Évite d'analyser les fichiers de traduction pour réduire les erreurs. |
Swift |
CWE-319 |
Schéma de communications ouvertes détecté dans le code Swift.2 |
CWE-79 |
Vulnérabilité potentielle d'attaque par script intersite lors de l'utilisation de loadRequest() dans iOS UIWebView .2 |
Terraform |
CWE-359 |
Instance AWS exposant les secrets de données utilisateur détectée.2 |
CWE-778 |
Le profil de surveillance des journaux Azure devrait définir toutes les catégories obligatoires.2 |
CWE-732 |
Compte de service par défaut utilisé au niveau du dossier, du projet ou de l'organisation.2 |
CWE-671 |
Service de messagerie et co-administrateurs désactivés dans les serveurs SQL.2 |
CWE-923 |
Vérifier que l'accès réseau par défaut du compte de stockage Azure est défini sur « Refuser ».2 |
CWE-923 |
Vérifier que la règle de pare-feu GCP n'autorise pas un accès illimité.2 |
CWE-732 |
Instance Google Compute accessible au public.2 |
CWE-732 |
Compartiment de stockage Google accessible au public.2 |
CWE-732 |
Autorisations d'accès non sécurisées pour le compartiment Amazon S3.2 |
CWE-1220 |
Nouvelle règle de vérification du groupe de sécurité de sortie cidr_blocks définie de manière trop permissive. |
TypeScript |
CWE-943 |
Recherche les injections NoSQL MongoDB dans les fichiers TypeScript. |
CWE-943 |
Recherche des cas supplémentaires pour SQLi. |
Visual Basic |
CWE-319 |
Schéma de communications ouvertes détecté dans le code VB.2 |
VueJS |
CWE-79 |
Réglé pour ne pas produire de constatation si celle-ci est trouvée dans la déclaration d'une méthode. |
Xamarin |
CWE-319 |
Communication ouverte détectée dans le code Xamarin.2 |