| 常规 |
CWE-319 |
更好地处理所有语言的开放式通信规则,以避免出现无关结果。 |
| .NET |
ASP.NET |
CWE-1188 |
ASP.NET 项目配置中启用了无 Cookie 会话状态。2 |
| C# |
CWE-319 |
检测到开放式通信方案。2 |
| CWE-328 |
检测到弱密码算法。2 |
| CWE-327 |
检测到没有签名验证的 JWT 构建器。2 |
| VB.NET |
CWE-1173 |
VB 代码中禁用了 HTTP 请求验证。2 |
| CWE-328 |
VB 代码中使用了弱加密算法。2 |
| Angular |
CWE-94 |
沙盒 VM 中有潜在代码注入漏洞。1 |
| CWE-312 |
本地存储会避免与排序方向相关的 setItem 调用。 |
| AngularJS 和 AllFolders 属性选项卡 |
CWE-477 |
找到弃用的调用:(ng-bind-html-unsafe)。2 |
| Apex |
CWE-943 |
SOQL 注入。2 |
| CWE-943 |
SOSL 注入。2 |
| CWE-328 |
选择了弱散列算法。2 |
| CWE-79 |
脚本或样式跨站点脚本编制 (XSS)。2 |
| ASP |
CWE-319 |
ASP 代码中检测到开放式通信方案。2 |
| CWE-79 |
使用 Server.HTMLEncode 检查验证是否正确。 |
| C/C++ |
CWE-367 |
临时文件名函数的潜在危险使用。已更正上下文并启用自动修复。3 |
| CWE-78 |
检测到潜在的命令注入。扩大了覆盖范围。3 |
| CWE-250 |
CreateFile 调用似乎违反了最小特权原则。2 |
| CWE-250 |
CreateNamedPipe 缺少 FILE_FLAG_FIRST_PIPE_INSTANCE 标志。2 |
| CWE-757 |
发现 (SSL/TLS) 协议的不安全使用。2 |
| CWE-295 |
发现 Curl 配置的潜在危险使用(此类别中有七条不同的规则)。2 |
| CWE-427 |
检测到最小特权原则注册表的潜在操控。2 |
| CWE-611 |
启用了不安全的外部实体处理。2 |
| ColdFusion |
CWE-524 |
cfCache 缓存安全页面。2 |
| CWE-502 |
cfWddx 缺少 WDDX 验证。2 |
| CWE-862 |
客户机未在 cfFunction 中验证。2 |
| CWE-319 |
不安全的通信。2 |
| CWE-307 |
多次提交验证。2 |
| CWE-327 |
加密函数中使用了不安全算法。2 |
| CSS |
CWE-79 |
进行了调整,以避免无关的结果。 |
| Dart |
CWE-522 |
已针对潜在敏感字段启用 AutoComplete。2 |
| CWE-319 |
检测到与 HttpServer 的开放通信方案。2 |
| CWE-319 |
检测到开放式套接字通信。2 |
| CWE-319 |
检测到 URI 的开放式通信方案。2 |
| CWE-79 |
Dart 代码中打开窗口的使用不安全。2 |
| CWE-319 |
字符串中检测到开放式通信方案。2 |
| CWE-79 |
发现不安全的内容安全策略关键字。2 |
| CWE-328 |
在呈现结果时更具选择性,避免更显著的无关结果。 |
| CWE-319 |
进行了调整,以避免无关的结果。 |
| Docker |
CWE-770 |
限制 CPU 以防止拒绝服务 (DoS) 攻击。2 |
| CWE-770 |
限制失败时重新启动的次数,以防止拒绝服务 (DoS) 攻击。2 |
| Go |
CWE-489 |
检测到 HTTP 的调试包 pprof。2 |
| CWE-1004 |
Golang 代码包含不安全的 http.Cookie。2 |
| CWE-319 |
Golang 代码中检测到开放式通信方案。2 |
| Groovy |
CWE-319 |
Groovy 代码中检测到开放式通信方案。2 |
| CWE-79 |
Groovy 源代码中检测到潜在的跨站点脚本编制漏洞,为所有实例添加了额外的自动修复程序。2 |
| Java |
CWE-489 |
在 Web 安全中启用调试导致 Spring 中的数据泄露。2 |
| CWE-1390 |
忽略 SAML 中的注释导致认证中断。2 |
| CWE-548 |
Tomcat 配置中缺省 Servlet 的目录列表不安全。2 |
| CWE-276 |
Java 中检测到不安全的文件许可权使用。2 |
| CWE-489 |
Java 代码中检测到打印堆栈跟踪。2 |
| CWE-489 |
Android 应用程序中的可调试标志设置为 true。2 |
| CWE-1188 |
Android 代码中检测到不正确的共享首选项方式。2 |
| JavaScript |
CWE-359 |
不安全的事件传输策略:已更正上下文并启用自动修复。3 |
| CWE-79 |
在 jQuery.append 中检测到潜在的 XSS 漏洞。现在性能更快。3 |
| CWE-79 |
覆盖 Mustache 转义方法有风险。2 |
| CWE-319 |
不安全的事件传输策略。2 |
| CWE-200 |
在 window.postMessage 调用中添加了对危险目标来源的检查。 |
| CWE-913 |
进行了修改,以避免产生无关的结果。 |
| Java 源代码扫描程序 |
CWE-918 |
正在 RestTemplate().exchange 调用中查找 SSRF。 |
| CWE-303 |
正在查找 NoOpPasswordEncoder.getInstance 危险调用。 |
| CWE-89 |
正在查找 SQLi 的其他案例。 |
| CWE-22 |
正在更多位置查找可能的路径遍历问题 |
| CWE-798 |
正在 HashMap.put 调用和 Setter 方法中查找硬编码凭证。 |
| Jquery |
CWE-79 |
进行了修改,以避免产生无关的结果。 |
| Kotlin |
CWE-319 |
Kotlin 代码中检测到开放式通信。2 |
| NodeJS |
CWE-614 |
Cookie 缺少安全标志或标志设置为不安全的值。2 |
| CWE-328 |
加密 createCipheriv 中使用了不安全的算法。2 |
| CWE-295 |
用于禁用 node-curl 的 SSL 证书验证配置不安全。2 |
| CWE-78 |
发现 Exec shell spawn。2 |
| CWE-1004 |
缺少 HTTPOnly Cookie 属性,配置不安全。2 |
| Objective-C |
CWE-319 |
Objective-C 代码中检测到开放式通信方案。2 |
| CWE-798 |
进行了修改,以避免某些额外的无关结果。 |
| PHP |
CWE-10041 |
不带 HttpOnly 标志的敏感 Cookie。2 |
| CWE-6141 |
HTTPS 会话中不带 secure 属性的敏感 Cookie。2 |
| CWE-791 |
检测到嵌入式 PHP 变量2 |
| CWE-981 |
PHP 代码中检测到潜在的文件包含漏洞。2 |
| CWE-6111 |
PHP 代码中检测到 XML 外部实体注入。2 |
| CWE-78 |
PHP 命令执行可能使用用户提供的数据。扩大了覆盖范围。3 |
| CWE-644 |
发现潜在的标头注入。扩大了覆盖范围。3 |
| CWE-327 |
检测到不安全的算法使用。扩大了检查和覆盖范围。3 |
| CWE-319 |
PHP Symfony 框架中检测到开放式通信。2 |
| CWE-1004 |
setcookie 中的 HTTPOnly 标志缺少或不安全。2 |
| CWE-319 |
检测到开放式通信方案。2 |
| CWE-544 |
error_reporting 指令未设置为允许可能的最高级别的错误报告2 |
| CWE-798 |
检查该值并确定该值是否确实是代表存储在代码中的可能明文密码的字符串文字。 |
| PL/SQL |
CWE-331 |
DBMS_RANDOM 使用不安全。2 |
| Python |
CWE-311 |
使用 http 的 URL。扩大了覆盖范围。3 |
| CWE-311 |
TOCTTOU 争用条件临时文件。修复了覆盖范围并启用了自动修复。3 |
| CWE-367 |
TOCTTOU 争用条件临时文件。2 |
| CWE-319 |
使用 http 的 URL。2 |
| CWE-78 |
Python OS 注入。2 |
| CWE-319 |
不安全的 FTP 使用。2 |
| CWE-78 |
Popen 命令注入。2 |
| CWE-276 |
777 与 umask 结合使用。2 |
| CWE-319 |
更正了自动修复程序,以解决某些情况下的错误替换。 |
| ReactNative |
CWE-319 |
检测到开放式通信。已更正上下文并启用自动修复。3 |
| CWE-319 |
检测到开放式通信。2 |
| CWE-295 |
检测到禁用 SSL 固定。2 |
| RPG |
CWE-319 |
代码中检测到开放式通信。2 |
| Ruby |
CWE-78 |
反引号正则表达式的不安全使用需要改进。扩大了覆盖范围。3 |
| CWE-78 |
反引号的不安全使用。扩大了覆盖范围。3 |
| CWE-425 |
Ruby 批量赋值。2 |
| CWE-359 |
Ruby 信息泄露。2 |
| Scala |
CWE-319 |
Scala 代码中检测到开放式通信方案。2 |
| CWE-79 |
Scala 源代码中检测到通过 Cookie 访问实施的潜在客户机端脚本编制漏洞。2 |
| 密钥 |
CWE-1051 |
检测到硬编码 IP 地址。扩大了覆盖范围。3 |
| CWE-798 |
检测到硬编码凭证。扩大了覆盖范围。3 |
| CWE-798 |
避免最小化 JS 文件。 |
| CWE-798 |
避免分析翻译文件以减少无关结果 |
| Swift |
CWE-319 |
Swift 代码中检测到开放式通信方案。2 |
| CWE-79 |
在 iOS UIWebView 中使用 loadRequest() 时可能存在跨站点脚本编制漏洞。2 |
| Terraform |
CWE-359 |
检测到暴露用户数据机密的 AWS 实例。2 |
| CWE-778 |
Azure 日志监视器配置文件应定义所有必需类别。2 |
| CWE-732 |
在文件夹、项目或组织级别使用了缺省服务帐户。2 |
| CWE-671 |
SQL Server 中未启用电子邮件服务和共同管理员。2 |
| CWE-923 |
确保 Azure 存储帐户缺省网络访问设置为“拒绝”。2 |
| CWE-923 |
确保 GCP 防火墙规则不允许不受限制的访问。2 |
| CWE-732 |
Google Compute 实例可公开访问。2 |
| CWE-732 |
Google 存储桶可公开访问。2 |
| CWE-732 |
Amazon S3 存储桶的访问权不安全。2 |
| CWE-1220 |
对出口安全组 cidr_blocks 的新规则检查设置过于宽松。 |
| TypeScript |
CWE-943 |
在 TypeScript 文件中查找 NoSQL MongoDB 注入。 |
| CWE-943 |
查找 SQLi 的更多案例。 |
| Visual Basic |
CWE-319 |
VB 代码中检测到开放式通信方案。2 |
| VueJS |
CWE-79 |
进行了调整以避免在方法声明中发现时生成结果。 |
| Xamarin |
CWE-319 |
Xamarin 中检测到开放式通信。2 |