| 常规 |
CWE-319 |
更好地处理所有语言的开放通信规则,以避免出现嘈杂的结果。 |
| .NET |
ASP.NET |
CWE-1188 |
ASP.NET 项目配置中启用了无 Cookie 会话状态。2 |
| C# |
CWE-319 |
检测到开放通信方案。2 |
| CWE-328 |
检测到弱密码算法。2 |
| CWE-327 |
检测到未进行签名验证的 JWT 构建器。2 |
| VB.NET |
CWE-1173 |
HTTP 请求验证在 VB 代码中被禁用。2 |
| CWE-328 |
在 VB 代码中使用弱加密算法。2 |
| Angular |
CWE-94 |
沙盒虚拟机中可能存在代码注入漏洞。1 |
| CWE-312 |
本地存储会避免与排序方向相关的 setItem 调用。 |
| AngularJS |
CWE-477 |
找到弃用的调用:(ng-bind-html-unsafe)。2 |
| Apex |
CWE-943 |
SOQL 注入。2 |
| CWE-943 |
SOSL 注入。2 |
| CWE-328 |
选择弱散列算法。2 |
| CWE-79 |
脚本或样式跨站点脚本编制 (XSS)。2 |
| ASP |
CWE-319 |
在 ASP 代码中检测到开放通信方案。2 |
| CWE-79 |
使用 Server.HTMLEncode 检查验证是否正确。 |
| C/C++ |
CWE-367 |
使用临时文件名功能可能存在危险。已更正上下文并启用自动修复。3 |
| CWE-78 |
检测到潜在的命令注入。扩大覆盖范围。3 |
| CWE-250 |
CreateFile 调用似乎违反了最小特权原则。2 |
| CWE-250 |
CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 标志。2 |
| CWE-757 |
发现 (SSL/TLS) 协议使用不安全。2 |
| CWE-295 |
发现使用 Curl 配置可能存在危险(此类别中有七条不同的规则)。2 |
| CWE-427 |
检测到潜在的最小特权原则注册表操控。2 |
| CWE-611 |
已启用不安全的外部实体处理。2 |
| ColdFusion |
CWE-524 |
cfCache 缓存安全页面。2 |
| CWE-502 |
cfWddx 缺少 WDDX 验证。2 |
| CWE-862 |
客户机未在 cfFunction 中验证。2 |
| CWE-319 |
通信不安全。2 |
| CWE-307 |
多重提交验证。2 |
| CWE-327 |
加密函数使用了不安全的算法。2 |
| CSS |
CWE-79 |
进行了调整以避免产生嘈杂的结果。 |
| Dart |
CWE-522 |
已针对潜在敏感字段启用 AutoComplete。2 |
| CWE-319 |
检测到与 HttpServer 的开放通信方案。2 |
| CWE-319 |
检测到开放套接字通信。2 |
| CWE-319 |
检测到与 URI 的开放通信方案。2 |
| CWE-79 |
Dart 代码中打开窗口的使用不安全。2 |
| CWE-319 |
在字符串中检测到开放通信方案。2 |
| CWE-79 |
发现不安全的内容安全策略关键字。2 |
| CWE-328 |
在呈现结果时更具选择性,并避免更明显的噪音结果。 |
| CWE-319 |
进行了调整以避免产生嘈杂的结果。 |
| Docker |
CWE-770 |
限制 CPU 以防止拒绝服务 (DoS) 攻击。2 |
| CWE-770 |
限制失败时的重新启动次数以防止拒绝服务攻击 (DoS)。2 |
| Go |
CWE-489 |
检测到 HTTP 的调试包 pprof。2 |
| CWE-1004 |
Golang 代码包含不安全的 http.Cookie。2 |
| CWE-319 |
在 Golang 代码中检测到开放通信方案。2 |
| Groovy |
CWE-319 |
在 Groovy 代码中检测到开放通信方案。2 |
| CWE-79 |
Groovy 源代码中检测到的潜在跨站点脚本编制漏洞为所有实例添加了额外的自动修复。2 |
| Java |
CWE-489 |
在 Web 安全中启用调试会显示 Spring 中的数据。2 |
| CWE-1390 |
忽略 SAML 中的注释会导致认证失败。2 |
| CWE-548 |
Tomcat 配置中缺省 Servlet 的目录列表不安全。2 |
| CWE-276 |
在 Java 中检测到不安全的文件许可权使用。2 |
| CWE-489 |
在 Java 代码中检测到打印堆栈跟踪。2 |
| CWE-489 |
在 Android 应用程序中可调试标志设置为 true。2 |
| CWE-1188 |
在 Android 代码中检测到不正确的共享首选项方式。2 |
| JavaScript |
CWE-359 |
事件传输策略不安全:已更正上下文并启用自动修复。3 |
| CWE-79 |
在 jQuery.append 中检测到潜在的 XSS 漏洞。现在性能更快。3 |
| CWE-79 |
覆盖 Mustache 转义方法很危险。2 |
| CWE-319 |
不安全事件传输策略。2 |
| CWE-200 |
在 window.postMessage 调用中添加了对危险目标来源的检查。 |
| CWE-913 |
进行了修改以避免产生嘈杂的结果。 |
| Java 源代码扫描程序 |
CWE-918 |
正在 RestTemplate().exchange 调用中查找 SSRF。 |
| CWE-303 |
正在查找 NoOpPasswordEncoder.getInstance 危险调用。 |
| CWE-89 |
正在查找 SQLi 的其他案例。 |
| CWE-22 |
正在更多地方查找可能的路径遍历问题 |
| CWE-798 |
正在 HashMap.put 调用和 Setter 方法中查找硬编码凭证。 |
| Jquery |
CWE-79 |
进行了修改以避免产生嘈杂的结果。 |
| Kotlin |
CWE-319 |
在 Kotlin 代码中检测到开放通信。2 |
| NodeJS |
CWE-614 |
cookie 缺少安全标志或标志设置为了不安全值。2 |
| CWE-328 |
加密 createCipheriv 中使用了不安全的算法。2 |
| CWE-295 |
用于禁用 node-curl 的 SSL 证书验证配置不安全。2 |
| CWE-78 |
发现 Exec shell spawn。2 |
| CWE-1004 |
缺少 HTTPOnly Cookie 属性,配置不安全。2 |
| Objective-C |
CWE-319 |
在 Objective-C 代码中检测到开放通信方案。2 |
| CWE-798 |
进行了修改以避免一些额外的噪音结果。 |
| PHP |
CWE-10041 |
不带 HttpOnly 标志的敏感 Cookie。2 |
| CWE-6141 |
HTTPS 会话中不带 secure 属性的敏感 Cookie。2 |
| CWE-791 |
检测到嵌入式 PHP 变量2 |
| CWE-981 |
在 PHP 代码中检测到潜在的文件包含漏洞。2 |
| CWE-6111 |
在 PHP 代码中检测到 XML 外部实体注入。2 |
| CWE-78 |
PHP 命令执行可能使用用户提供的数据。扩大覆盖范围。3 |
| CWE-644 |
发现潜在的标头注入。扩大覆盖范围。3 |
| CWE-327 |
不安全的算法使用检测到扩展检查。扩大覆盖范围。3 |
| CWE-319 |
在 PHP Symfony 框架中检测到开放通信。2 |
| CWE-1004 |
setcookie 中的 HTTPOnly 标志缺少或不安全。2 |
| CWE-319 |
检测到开放通信方案。2 |
| CWE-544 |
error_reporting 指令未设置为允许可能的最高级别的错误报告2 |
| CWE-798 |
检查该值,并确定该值是否确实是字符串文字,该文字表示以明文形式存储在代码中的可能密码。 |
| PL/SQL |
CWE-331 |
DBMS_RANDOM 使用不安全。2 |
| Python |
CWE-311 |
使用 http 的 URL。扩大覆盖范围。3 |
| CWE-311 |
TOCTTOU 争用条件临时文件。修复了覆盖范围并启用了自动修复。3 |
| CWE-367 |
TOCTTOU 争用条件临时文件。2 |
| CWE-319 |
使用 http 的 URL。2 |
| CWE-78 |
Python OS 注入。2 |
| CWE-319 |
FTP 使用不安全。2 |
| CWE-78 |
Popen 命令注入。2 |
| CWE-276 |
将 777 与 umask 结合使用。2 |
| CWE-319 |
自动修复已得到纠正,以解决某些情况下的错误替换问题。 |
| ReactNative |
CWE-319 |
检测到开放通信。已更正上下文并启用自动修复。3 |
| CWE-319 |
检测到开放通信。2 |
| CWE-295 |
检测到禁用 SSL 锁定。2 |
| RPG |
CWE-319 |
在代码中检测到开放通信。2 |
| Ruby |
CWE-78 |
反引号正则表达式的使用不安全,需要改进。扩大覆盖范围。3 |
| CWE-78 |
倒引号使用不安全。扩大覆盖范围。3 |
| CWE-425 |
Ruby 批量赋值。2 |
| CWE-359 |
Ruby 信息公开。2 |
| Scala |
CWE-319 |
在 Scala 代码中检测到开放通信方案。2 |
| CWE-79 |
在 Scala 源代码中检测到通过 Cookie 访问进行的潜在客户机端脚本编制漏洞。2 |
| 密钥 |
CWE-1051 |
检测到硬编码 IP 地址。扩大覆盖范围。3 |
| CWE-798 |
检测到硬编码凭证。扩大覆盖范围。3 |
| CWE-798 |
避免精简版 JS 文件。 |
| CWE-798 |
避免分析转换文件以减少噪声 |
| Swift |
CWE-319 |
在 Swift 代码中检测到开放通信方案。2 |
| CWE-79 |
在 iOS UIWebView 中使用 loadRequest() 时可能存在跨站点脚本编制漏洞。2 |
| Terraform |
CWE-359 |
检测到 AWS 实例泄露用户数据机密。2 |
| CWE-778 |
Azure 日志监视器配置文件应定义所有必需类别。2 |
| CWE-732 |
在文件夹、项目或组织级别使用缺省服务帐户。2 |
| CWE-671 |
SQL 服务器中未启用电子邮件服务和共同管理员。2 |
| CWE-923 |
确保 Azure 存储帐户缺省网络访问已设置为“拒绝”。2 |
| CWE-923 |
确保 GCP 防火墙规则不允许不受限制的访问。2 |
| CWE-732 |
Google Compute 实例可公开访问。2 |
| CWE-732 |
Google 存储桶可公开访问。2 |
| CWE-732 |
Amazon S3 存储桶的访问许可权不安全。2 |
| CWE-1220 |
对出口安全组 cidr_blocks 的新规则检查设置过于宽松。 |
| TypeScript |
CWE-943 |
在 TypeScript 文件中查找 NoSQL MongoDB 注入。 |
| CWE-943 |
查找 SQLi 的其他案例。 |
| Visual Basic |
CWE-319 |
在 VB 代码中检测到开放通信方案。2 |
| VueJS |
CWE-79 |
进行了调整以避免在方法声明中发现时生成结果。 |
| Xamarin |
CWE-319 |
在 Xamarin 中检测到开放通信。2 |