{{< details >}}
- Tier: Ultimate
- Offering: JihuLab.com, 极狐GitLab私有化部署, 极狐GitLab Dedicated
{{< /details >}}
极狐GitLab Advanced SAST 可以在编写的代码中找到多种潜在的安全漏洞。支持的语言。
极狐GitLab 为每个潜在漏洞分配一个匹配的 Common Weakness Enumeration (CWE) 标识符。CWE 标识符是识别安全弱点的行业标准方式,但重要的是要知道:
- CWE 是以树状结构排列的。例如,CWE-22: 路径遍历 是 CWE-23: 相对路径遍历 的父项。专门检测 相对 路径遍历弱点 (CWE-23) 的扫描器按定义也检测更一般的路径遍历类别的一部分 (CWE-22)。
- 为了清楚起见,此表列出了分配给极狐GitLab Advanced SAST 规则的确切 CWE 标识符。它不报告父标识符。
要了解有关极狐GitLab Advanced SAST 中使用的规则的更多信息,请参阅 SAST 规则。
CWE 涵盖范围按语言
极狐GitLab Advanced SAST 在每种编程语言中发现以下类型的弱点:
| CWE | CWE 描述 | C# | Go | Java | JavaScript, TypeScript | Python | Ruby |
|---|---|---|---|---|---|---|---|
| CWE-15 | 外部控制系统或配置设置 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-22 | 不当限制路径名到受限目录(“路径遍历”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-23 | 相对路径遍历 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-73 | 外部控制文件名或路径 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-76 | 不当中和等效特殊元素 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-77 | 不当中和命令中使用的特殊元素(“命令注入”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-78 | 不当中和操作系统命令中使用的特殊元素(“操作系统命令注入”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-79 | 网页生成期间输入的不当中和(“跨站脚本”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-80 | 网页中与脚本相关的 HTML 标签的不当中和(基本 XSS) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-88 | 命令中的参数分隔符不当中和(“参数注入”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-89 | SQL 命令中使用的特殊元素的不当中和(“SQL 注入”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-90 | LDAP 查询中使用的特殊元素的不当中和(“LDAP 注入”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-91 | XML 注入(又称盲 XPath 注入) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-94 | 代码生成控制不当(“代码注入”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-95 | 动态评估代码中的指令不当中和(“Eval 注入”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-113 | HTTP 头中的 CRLF 序列不当中和(“HTTP 请求/响应拆分”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-116 | 输出的不当编码或转义 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-117 | 日志输出的不当中和 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-118 | 索引资源访问错误(“范围错误”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-125 | 越界读取 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-134 | 使用外部控制格式字符串 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-155 | 通配符或匹配符号不当中和 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-180 | 行为顺序错误:验证前规范化 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-182 | 数据折叠成不安全值 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-185 | 正则表达式错误 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-190 | 整数溢出或回绕 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-208 | 可观察的时间差异 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-209 | 生成包含敏感信息的错误消息 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-242 | 使用固有危险函数 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-272 | 最小权限违规 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-276 | 默认权限错误 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-295 | 证书验证不当 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-297 | 证书与主机不匹配验证不当 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-306 | 关键功能缺少认证 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-311 | 缺少敏感数据加密 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-319 | 明文传输敏感信息 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-322 | 密钥交换没有实体认证 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-323 | 在加密中重用随机数、密钥对 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-326 | 加密强度不足 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-327 | 使用损坏或风险的加密算法 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-328 | 使用弱哈希 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-338 | 使用加密弱伪随机数生成器 (PRNG) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-346 | 源验证错误 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-347 | 加密签名验证不当 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-348 | 使用较不信任的来源 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-352 | 跨站请求伪造 (CSRF) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-358 | 不当实施的标准安全检查 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-369 | 除以零 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-377 | 不安全临时文件 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-409 | 高度压缩数据处理不当(数据放大) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-470 | 使用外部控制的输入选择类或代码(“不安全反射”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-489 | 活动调试代码 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-502 | 不信任数据反序列化 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-521 | 弱密码要求 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-522 | 保护不足的凭据 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-552 | 文件或目录对外部各方可访问 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-554 | ASP.NET 配置错误:不使用输入验证框架 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-599 | OpenSSL 证书验证缺失 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-601 | URL 重定向到不受信任的站点(“开放重定向”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-606 | 循环条件输入未检查 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-611 | XML 外部实体引用限制不当 | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-613 | 会话过期不足 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-614 | 在没有“安全”属性的 HTTPS 会话中使用敏感 Cookie | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-639 | 通过用户控制的密钥绕过授权 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-643 | 在 XPath 表达式中的数据不当中和(“XPath 注入”) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-704 | 类型转换或强制转换错误 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-732 | 关键资源权限分配错误 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-749 | 暴露的危险方法或功能 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-754 | 不当检查异常或异常情况 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-757 | 在协商期间选择较不安全的算法(“算法降级”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-770 | 未限制或限流资源分配 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-776 | DTD 中递归实体引用限制不当(“XML 实体扩展”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-780 | 使用 RSA 算法不带 OAEP | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-787 | 越界写入 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-798 | 使用硬编码凭据 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-913 | 动态管理代码资源控制不当 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-915 | 动态确定对象属性修改控制不当 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-917 | 表达式语言语句中特殊元素的不当中和(“表达式语言注入”) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-918 | 服务端请求伪造 (SSRF) | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes |
| CWE-942 | 与不受信任域的宽松跨域策略 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-943 | 数据查询逻辑中的特殊元素不当中和 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-1004 | 没有“HttpOnly”标志的敏感 Cookie | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes |
| CWE-1104 | 使用未维护的第三方组件 | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-1204 | 生成弱初始化向量 (IV) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-1275 | 使用不当 SameSite 属性的敏感 Cookie | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-1321 | Improperly Controlled Modification of Object Prototype Attributes (‘Prototype Pollution’) | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |
| CWE-1327 | Binding to an Unrestricted IP Address | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No |
| CWE-1390 | Weak Authentication | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”check-circle” >}} Yes | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No | {{< icon name=”dotted-circle” >}} No |