CodeQL 全面 CWE 覆盖范围¶
CodeQL 最新版本对 MITRE 公共弱点枚举 (CWE) 的全面覆盖概述。
概述¶
| CWE | 语言 | 查询 ID | 查询名称 |
|---|---|---|---|
| CWE-11 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-12 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-13 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-14 | C/C++ | cpp/memset-may-be-deleted | 对 memset 的调用可能会被删除 |
| CWE-20 | C/C++ | cpp/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | C/C++ | cpp/count-untrusted-data-external-api-ir | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | C/C++ | cpp/untrusted-data-to-external-api-ir | 将不可信数据传递给外部 API |
| CWE-20 | C/C++ | cpp/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | C/C++ | cpp/uncontrolled-process-operation | 不受控制的进程操作 |
| CWE-20 | C/C++ | cpp/unclear-array-index-validation | 数组索引验证不明确 |
| CWE-20 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-20 | C/C++ | cpp/late-check-of-function-argument | 函数参数的延迟检查 |
| CWE-20 | C/C++ | cpp/linux-kernel-no-check-before-unsafe-put-user | Linux 内核在 unsafe_put_user 之前未进行检查的漏洞检测 |
| CWE-20 | C# | cs/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | C# | cs/serialization-check-bypass | 序列化检查绕过 |
| CWE-20 | C# | cs/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | C# | cs/xml/missing-validation | 缺少 XML 验证 |
| CWE-20 | C# | cs/assembly-path-injection | 程序集路径注入 |
| CWE-20 | Go | go/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | Go | go/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-20 | Go | go/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-20 | Go | go/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-20 | Go | go/suspicious-character-in-regex | 正则表达式中的可疑字符 |
| CWE-20 | Go | go/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | Go | go/untrusted-data-to-unknown-external-api | 将不可信数据传递给未知的外部 API |
| CWE-20 | Java/Kotlin | java/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | Java/Kotlin | java/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | Java/Kotlin | java/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的大小进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定大小进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-20 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-20 | JavaScript/TypeScript | js/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-20 | JavaScript/TypeScript | js/incorrect-suffix-check | 后缀检查不正确 |
| CWE-20 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-20 | JavaScript/TypeScript | js/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-20 | JavaScript/TypeScript | js/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | JavaScript/TypeScript | js/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | JavaScript/TypeScript | js/useless-regexp-character-escape | 无用的正则表达式字符转义 |
| CWE-20 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-20 | JavaScript/TypeScript | js/double-escaping | 双重转义或取消转义 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-20 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-20 | JavaScript/TypeScript | js/untrusted-data-to-external-api-more-sources | 将不可信数据传递给外部 API(具有其他启发式来源) |
| CWE-20 | Python | py/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-20 | Python | py/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | Python | py/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-20 | Python | py/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-20 | Python | py/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-20 | Ruby | rb/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-20 | Ruby | rb/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-20 | Ruby | rb/regex/badly-anchored-regexp | 锚点设置不当的正则表达式 |
| CWE-20 | Ruby | rb/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-20 | Ruby | rb/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-20 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-20 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-20 | Swift | swift/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-20 | Swift | swift/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-20 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-22 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | C# | cs/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-22 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | Go | go/unsafe-unzip-symlink | 解压缩包含符号链接的档案时的任意文件写入 |
| CWE-22 | Go | go/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | Java/Kotlin | java/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-22 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的 partial path traversal 漏洞 |
| CWE-22 | Java/Kotlin | java/openstream-called-on-tainted-url | 对从远程源创建的 URL 调用 openStream |
| CWE-22 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | JavaScript/TypeScript | js/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | Python | py/tarslip | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-22 | Python | py/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Python | py/tarslip-extended | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-22 | Python | py/unsafe-unpacking | 从用户控制的源解压缩 tar 包时的任意文件写入 |
| CWE-22 | Ruby | rb/zip-slip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-22 | Swift | swift/unsafe-unpacking | 从用户控制的源解压缩 zip 文件时的任意文件写入 |
| CWE-22 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-23 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-23 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的 partial path traversal 漏洞 |
| CWE-23 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-23 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-36 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | Java/Kotlin | java/openstream-called-on-tainted-url | 对从远程源创建的 URL 调用 openStream |
| CWE-36 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-36 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-73 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-73 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-73 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-73 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-73 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-73 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-73 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-73 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | C/C++ | cpp/non-constant-format | 非常量格式字符串 |
| CWE-74 | C/C++ | cpp/command-line-injection | 在 OS 命令中使用了不受控制的数据 |
| CWE-74 | C/C++ | cpp/cgi-xss | 易受跨站脚本攻击的 CGI 脚本 |
| CWE-74 | C/C++ | cpp/sql-injection | SQL 查询中使用了不受控制的数据 |
| CWE-74 | C/C++ | cpp/tainted-format-string | 不受控制的格式字符串 |
| CWE-74 | C/C++ | cpp/wordexp-injection | 在 wordexp 命令中使用了不受控制的数据 |
| CWE-74 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | C# | cs/command-line-injection | 不受控制的命令行 |
| CWE-74 | C# | cs/web/xss | 跨站脚本攻击 |
| CWE-74 | C# | cs/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-74 | C# | cs/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-74 | C# | cs/xml-injection | XML 注入 |
| CWE-74 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-74 | C# | cs/resource-injection | 资源注入 |
| CWE-74 | C# | cs/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-74 | C# | cs/xml/xpath-injection | XPath 注入 |
| CWE-74 | C# | cs/web/disabled-header-checking | 已禁用标头检查 |
| CWE-74 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-74 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | Go | go/command-injection | 从用户控制的源构建的命令 |
| CWE-74 | Go | go/stored-command | 从存储数据构建的命令 |
| CWE-74 | Go | go/reflected-xss | 反射型跨站脚本攻击 |
| CWE-74 | Go | go/stored-xss | 存储型跨站脚本攻击 |
| CWE-74 | Go | go/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-74 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-74 | Go | go/xml/xpath-injection | XPath 注入 |
| CWE-74 | Go | go/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-74 | Go | go/dsn-injection | 从用户控制的源构建的 SQL 数据源 URI |
| CWE-74 | Go | go/dsn-injection-local | 从本地用户控制的源构建的 SQL 数据源 URI |
| CWE-74 | Go | go/html-template-escaping-passthrough | HTML 模板转义直通 |
| CWE-74 | Java/Kotlin | java/jndi-injection | 具有用户控制的名称的 JNDI 查找 |
| CWE-74 | Java/Kotlin | java/xslt-injection | 使用用户控制的样式表进行 XSLT 转换 |
| CWE-74 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-74 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-74 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-74 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-74 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 公开访问 Java 对象方法 |
| CWE-74 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-74 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-74 | Java/Kotlin | java/concatenated-sql-query | 通过与可能不可信的字符串连接构建的查询 |
| CWE-74 | Java/Kotlin | java/sql-injection | 从用户控制的源构建的查询 |
| CWE-74 | Java/Kotlin | java/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-74 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-74 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-74 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-74 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-74 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-74 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-74 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-74 | Java/Kotlin | java/netty-http-request-or-response-splitting | 已禁用 Netty HTTP 标头验证 |
| CWE-74 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-74 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-74 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-74 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-74 | Java/Kotlin | java/ognl-injection | 具有用户控制的输入的 OGNL 表达式语言语句 |
| CWE-74 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-74 | Java/Kotlin | java/command-line-injection-extra | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-74 | Java/Kotlin | java/command-line-injection-extra-local | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-74 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-74 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-74 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-74 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-74 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-74 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-74 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-74 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-74 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-74 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-74 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-74 | Java/Kotlin | java/xquery-injection | 从用户控制的源构建的 XQuery 查询 |
| CWE-74 | JavaScript/TypeScript | js/disabling-electron-websecurity | 禁用 Electron webSecurity |
| CWE-74 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-74 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-74 | JavaScript/TypeScript | js/command-line-injection | 不受控制的命令行 |
| CWE-74 | JavaScript/TypeScript | js/indirect-command-line-injection | 间接不受控制的命令行 |
| CWE-74 | JavaScript/TypeScript | js/second-order-command-line-injection | 二阶命令注入 |
| CWE-74 | JavaScript/TypeScript | js/shell-command-injection-from-environment | 从环境值构建的 shell 命令 |
| CWE-74 | JavaScript/TypeScript | js/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-74 | JavaScript/TypeScript | js/unnecessary-use-of-cat | 不必要地使用 cat 进程 |
| CWE-74 | JavaScript/TypeScript | js/xss-through-exception | 将异常文本重新解释为 HTML |
| CWE-74 | JavaScript/TypeScript | js/reflected-xss | 反射型跨站脚本攻击 |
| CWE-74 | JavaScript/TypeScript | js/stored-xss | 存储型跨站脚本攻击 |
| CWE-74 | JavaScript/TypeScript | js/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-74 | JavaScript/TypeScript | js/unsafe-jquery-plugin | 不安全的 jQuery 插件 |
| CWE-74 | JavaScript/TypeScript | js/xss | 客户端跨站脚本攻击 |
| CWE-74 | JavaScript/TypeScript | js/xss-through-dom | 将 DOM 文本重新解释为 HTML |
| CWE-74 | JavaScript/TypeScript | js/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-74 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-74 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-74 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-74 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-74 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-74 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-74 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-74 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-74 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-74 | JavaScript/TypeScript | js/unsafe-html-expansion | 自闭合 HTML 标记的不安全扩展 |
| CWE-74 | JavaScript/TypeScript | js/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-74 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-74 | JavaScript/TypeScript | js/xpath-injection | XPath 注入 |
| CWE-74 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-74 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-74 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-74 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-74 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-74 | JavaScript/TypeScript | js/env-key-and-value-injection | 用户控制的任意环境变量注入 |
| CWE-74 | JavaScript/TypeScript | js/env-value-injection | 用户控制的环境变量值注入 |
| CWE-74 | JavaScript/TypeScript | js/command-line-injection-more-sources | 具有额外启发式来源的无控制命令行 |
| CWE-74 | JavaScript/TypeScript | js/xss-more-sources | 具有额外启发式来源的客户端跨站脚本 |
| CWE-74 | JavaScript/TypeScript | js/sql-injection-more-sources | 使用用户控制的来源构建的数据库查询,并带有额外的启发式来源 |
| CWE-74 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-74 | JavaScript/TypeScript | js/tainted-format-string-more-sources | 使用外部控制的格式字符串,并带有额外的启发式来源 |
| CWE-74 | JavaScript/TypeScript | js/xpath-injection-more-sources | 具有额外启发式来源的XPath注入 |
| CWE-74 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-74 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-74 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-74 | Python | py/jinja2/autoescape-false | Jinja2 模板,autoescape=False |
| CWE-74 | Python | py/reflective-xss | 反射型服务器端跨站脚本 |
| CWE-74 | Python | py/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-74 | Python | py/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-74 | Python | py/code-injection | 代码注入 |
| CWE-74 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-74 | Python | py/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-74 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-74 | Python | py/template-injection | 服务器端模板注入 |
| CWE-74 | Python | py/paramiko-command-injection | 在辅助远程服务器上执行命令 |
| CWE-74 | Python | py/reflective-xss-email | 反射型服务器端跨站脚本 |
| CWE-74 | Python | py/xslt-injection | 使用用户控制的来源构建的XSLT查询 |
| CWE-74 | Ruby | rb/ldap-injection | LDAP 注入 |
| CWE-74 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-74 | Ruby | rb/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-74 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | Ruby | rb/command-line-injection | 不受控制的命令行 |
| CWE-74 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-74 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-74 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-74 | Ruby | rb/reflected-xss | 反射型服务器端跨站脚本 |
| CWE-74 | Ruby | rb/stored-xss | 存储型跨站脚本攻击 |
| CWE-74 | Ruby | rb/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-74 | Ruby | rb/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-74 | Ruby | rb/code-injection | 代码注入 |
| CWE-74 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-74 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-74 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-74 | Ruby | rb/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-74 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-74 | Swift | swift/command-line-injection | 使用用户控制的来源构建的系统命令 |
| CWE-74 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-74 | Swift | swift/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-74 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-74 | Swift | swift/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-74 | Swift | swift/predicate-injection | 使用用户控制的来源构建的谓词 |
| CWE-77 | C/C++ | cpp/command-line-injection | 在 OS 命令中使用了不受控制的数据 |
| CWE-77 | C/C++ | cpp/wordexp-injection | 在 wordexp 命令中使用了不受控制的数据 |
| CWE-77 | C# | cs/command-line-injection | 不受控制的命令行 |
| CWE-77 | Go | go/command-injection | 从用户控制的源构建的命令 |
| CWE-77 | Go | go/stored-command | 从存储数据构建的命令 |
| CWE-77 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-77 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-77 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-77 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-77 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-77 | Java/Kotlin | java/ognl-injection | 具有用户控制的输入的 OGNL 表达式语言语句 |
| CWE-77 | Java/Kotlin | java/command-line-injection-extra | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-77 | Java/Kotlin | java/command-line-injection-extra-local | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-77 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-77 | JavaScript/TypeScript | js/command-line-injection | 不受控制的命令行 |
| CWE-77 | JavaScript/TypeScript | js/indirect-command-line-injection | 间接不受控制的命令行 |
| CWE-77 | JavaScript/TypeScript | js/second-order-command-line-injection | 二阶命令注入 |
| CWE-77 | JavaScript/TypeScript | js/shell-command-injection-from-environment | 从环境值构建的 shell 命令 |
| CWE-77 | JavaScript/TypeScript | js/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-77 | JavaScript/TypeScript | js/unnecessary-use-of-cat | 不必要地使用 cat 进程 |
| CWE-77 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-77 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-77 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-77 | JavaScript/TypeScript | js/command-line-injection-more-sources | 具有额外启发式来源的无控制命令行 |
| CWE-77 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-77 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-77 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-77 | Ruby | rb/command-line-injection | 不受控制的命令行 |
| CWE-77 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-77 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-77 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-77 | Swift | swift/command-line-injection | 使用用户控制的来源构建的系统命令 |
| CWE-78 | C/C++ | cpp/command-line-injection | 在 OS 命令中使用了不受控制的数据 |
| CWE-78 | C/C++ | cpp/wordexp-injection | 在 wordexp 命令中使用了不受控制的数据 |
| CWE-78 | C# | cs/command-line-injection | 不受控制的命令行 |
| CWE-78 | Go | go/command-injection | 从用户控制的源构建的命令 |
| CWE-78 | Go | go/stored-command | 从存储数据构建的命令 |
| CWE-78 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-78 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-78 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-78 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-78 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-78 | Java/Kotlin | java/command-line-injection-extra | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-78 | Java/Kotlin | java/command-line-injection-extra-local | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-78 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-78 | JavaScript/TypeScript | js/command-line-injection | 不受控制的命令行 |
| CWE-78 | JavaScript/TypeScript | js/indirect-command-line-injection | 间接不受控制的命令行 |
| CWE-78 | JavaScript/TypeScript | js/second-order-command-line-injection | 二阶命令注入 |
| CWE-78 | JavaScript/TypeScript | js/shell-command-injection-from-environment | 从环境值构建的 shell 命令 |
| CWE-78 | JavaScript/TypeScript | js/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-78 | JavaScript/TypeScript | js/unnecessary-use-of-cat | 不必要地使用 cat 进程 |
| CWE-78 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-78 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-78 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-78 | JavaScript/TypeScript | js/command-line-injection-more-sources | 具有额外启发式来源的无控制命令行 |
| CWE-78 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-78 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-78 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-78 | Ruby | rb/command-line-injection | 不受控制的命令行 |
| CWE-78 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-78 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-78 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-78 | Swift | swift/command-line-injection | 使用用户控制的来源构建的系统命令 |
| CWE-79 | C/C++ | cpp/cgi-xss | 易受跨站脚本攻击的 CGI 脚本 |
| CWE-79 | C# | cs/web/xss | 跨站脚本攻击 |
| CWE-79 | Go | go/reflected-xss | 反射型跨站脚本攻击 |
| CWE-79 | Go | go/stored-xss | 存储型跨站脚本攻击 |
| CWE-79 | Go | go/html-template-escaping-passthrough | HTML 模板转义直通 |
| CWE-79 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 公开访问 Java 对象方法 |
| CWE-79 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-79 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-79 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-79 | JavaScript/TypeScript | js/disabling-electron-websecurity | 禁用 Electron webSecurity |
| CWE-79 | JavaScript/TypeScript | js/xss-through-exception | 将异常文本重新解释为 HTML |
| CWE-79 | JavaScript/TypeScript | js/reflected-xss | 反射型跨站脚本攻击 |
| CWE-79 | JavaScript/TypeScript | js/stored-xss | 存储型跨站脚本攻击 |
| CWE-79 | JavaScript/TypeScript | js/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-79 | JavaScript/TypeScript | js/unsafe-jquery-plugin | 不安全的 jQuery 插件 |
| CWE-79 | JavaScript/TypeScript | js/xss | 客户端跨站脚本攻击 |
| CWE-79 | JavaScript/TypeScript | js/xss-through-dom | 将 DOM 文本重新解释为 HTML |
| CWE-79 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-79 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-79 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-79 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-79 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-79 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-79 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-79 | JavaScript/TypeScript | js/unsafe-html-expansion | 自闭合 HTML 标记的不安全扩展 |
| CWE-79 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-79 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-79 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-79 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-79 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-79 | JavaScript/TypeScript | js/xss-more-sources | 具有额外启发式来源的客户端跨站脚本 |
| CWE-79 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-79 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-79 | Python | py/jinja2/autoescape-false | Jinja2 模板,autoescape=False |
| CWE-79 | Python | py/reflective-xss | 反射型服务器端跨站脚本 |
| CWE-79 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-79 | Python | py/reflective-xss-email | 反射型服务器端跨站脚本 |
| CWE-79 | Ruby | rb/reflected-xss | 反射型服务器端跨站脚本 |
| CWE-79 | Ruby | rb/stored-xss | 存储型跨站脚本攻击 |
| CWE-79 | Ruby | rb/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-79 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-79 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-79 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-79 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-80 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-80 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-80 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-80 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-80 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-88 | C/C++ | cpp/command-line-injection | 在 OS 命令中使用了不受控制的数据 |
| CWE-88 | C# | cs/command-line-injection | 不受控制的命令行 |
| CWE-88 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-88 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-88 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-88 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-88 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-88 | JavaScript/TypeScript | js/command-line-injection | 不受控制的命令行 |
| CWE-88 | JavaScript/TypeScript | js/indirect-command-line-injection | 间接不受控制的命令行 |
| CWE-88 | JavaScript/TypeScript | js/second-order-command-line-injection | 二阶命令注入 |
| CWE-88 | JavaScript/TypeScript | js/shell-command-injection-from-environment | 从环境值构建的 shell 命令 |
| CWE-88 | JavaScript/TypeScript | js/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-88 | JavaScript/TypeScript | js/command-line-injection-more-sources | 具有额外启发式来源的无控制命令行 |
| CWE-88 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-88 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-88 | Ruby | rb/command-line-injection | 不受控制的命令行 |
| CWE-88 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-88 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-88 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-88 | Swift | swift/command-line-injection | 使用用户控制的来源构建的系统命令 |
| CWE-89 | C/C++ | cpp/sql-injection | SQL 查询中使用了不受控制的数据 |
| CWE-89 | C# | cs/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-89 | Go | go/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-89 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-89 | Java/Kotlin | java/concatenated-sql-query | 通过与可能不可信的字符串连接构建的查询 |
| CWE-89 | Java/Kotlin | java/sql-injection | 从用户控制的源构建的查询 |
| CWE-89 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-89 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-89 | JavaScript/TypeScript | js/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-89 | JavaScript/TypeScript | js/env-key-and-value-injection | 用户控制的任意环境变量注入 |
| CWE-89 | JavaScript/TypeScript | js/env-value-injection | 用户控制的环境变量值注入 |
| CWE-89 | JavaScript/TypeScript | js/sql-injection-more-sources | 使用用户控制的来源构建的数据库查询,并带有额外的启发式来源 |
| CWE-89 | Python | py/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-89 | Ruby | rb/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-89 | Swift | swift/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-90 | C# | cs/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-90 | Go | go/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-90 | Java/Kotlin | java/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-90 | JavaScript/TypeScript | js/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-90 | JavaScript/TypeScript | js/sql-injection-more-sources | 使用用户控制的来源构建的数据库查询,并带有额外的启发式来源 |
| CWE-90 | Python | py/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-90 | Ruby | rb/ldap-injection | LDAP 注入 |
| CWE-91 | C# | cs/xml-injection | XML 注入 |
| CWE-91 | C# | cs/xml/xpath-injection | XPath 注入 |
| CWE-91 | Go | go/xml/xpath-injection | XPath 注入 |
| CWE-91 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-91 | Java/Kotlin | java/xquery-injection | 从用户控制的源构建的 XQuery 查询 |
| CWE-91 | JavaScript/TypeScript | js/xpath-injection | XPath 注入 |
| CWE-91 | JavaScript/TypeScript | js/xpath-injection-more-sources | 具有额外启发式来源的XPath注入 |
| CWE-91 | Python | py/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-91 | Python | py/xslt-injection | 使用用户控制的来源构建的XSLT查询 |
| CWE-91 | Ruby | rb/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-93 | C# | cs/web/disabled-header-checking | 已禁用标头检查 |
| CWE-93 | Java/Kotlin | java/netty-http-request-or-response-splitting | 已禁用 Netty HTTP 标头验证 |
| CWE-93 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-93 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-94 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-94 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-94 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-94 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-94 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-94 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-94 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-94 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-94 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-94 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-94 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-94 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-94 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-94 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-94 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-94 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-94 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-94 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-94 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-94 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-94 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-94 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-94 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-94 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-94 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-94 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-94 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-94 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-94 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-94 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-94 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-94 | Python | py/code-injection | 代码注入 |
| CWE-94 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-94 | Ruby | rb/code-injection | 代码注入 |
| CWE-94 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-94 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-94 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-95 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-95 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-95 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-95 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-95 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-95 | Python | py/code-injection | 代码注入 |
| CWE-95 | Ruby | rb/code-injection | 代码注入 |
| CWE-95 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-95 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-96 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-99 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-99 | C# | cs/resource-injection | 资源注入 |
| CWE-99 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-99 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-99 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-99 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-99 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-99 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-112 | C# | cs/xml/missing-validation | 缺少 XML 验证 |
| CWE-113 | C# | cs/web/disabled-header-checking | 已禁用标头检查 |
| CWE-113 | Java/Kotlin | java/netty-http-request-or-response-splitting | 已禁用 Netty HTTP 标头验证 |
| CWE-113 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-113 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-114 | C/C++ | cpp/uncontrolled-process-operation | 不受控制的进程操作 |
| CWE-114 | C# | cs/assembly-path-injection | 程序集路径注入 |
| CWE-116 | C# | cs/web/xss | 跨站脚本攻击 |
| CWE-116 | C# | cs/log-forging | 使用用户输入创建日志条目 |
| CWE-116 | C# | cs/inappropriate-encoding | 不合适的编码 |
| CWE-116 | Go | go/reflected-xss | 反射型跨站脚本攻击 |
| CWE-116 | Go | go/stored-xss | 存储型跨站脚本攻击 |
| CWE-116 | Go | go/log-injection | 使用用户输入创建日志条目 |
| CWE-116 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-116 | JavaScript/TypeScript | js/angular/disabling-sce | 禁用 SCE |
| CWE-116 | JavaScript/TypeScript | js/identity-replacement | 用自身替换子字符串 |
| CWE-116 | JavaScript/TypeScript | js/xss-through-exception | 将异常文本重新解释为 HTML |
| CWE-116 | JavaScript/TypeScript | js/reflected-xss | 反射型跨站脚本攻击 |
| CWE-116 | JavaScript/TypeScript | js/stored-xss | 存储型跨站脚本攻击 |
| CWE-116 | JavaScript/TypeScript | js/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-116 | JavaScript/TypeScript | js/unsafe-jquery-plugin | 不安全的 jQuery 插件 |
| CWE-116 | JavaScript/TypeScript | js/xss | 客户端跨站脚本攻击 |
| CWE-116 | JavaScript/TypeScript | js/xss-through-dom | 将 DOM 文本重新解释为 HTML |
| CWE-116 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-116 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-116 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-116 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-116 | JavaScript/TypeScript | js/double-escaping | 双重转义或取消转义 |
| CWE-116 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-116 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-116 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-116 | JavaScript/TypeScript | js/unsafe-html-expansion | 自闭合 HTML 标记的不安全扩展 |
| CWE-116 | JavaScript/TypeScript | js/log-injection | 日志注入 |
| CWE-116 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-116 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-116 | JavaScript/TypeScript | js/xss-more-sources | 具有额外启发式来源的客户端跨站脚本 |
| CWE-116 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-116 | JavaScript/TypeScript | js/log-injection-more-sources | 具有额外启发式来源的日志注入 |
| CWE-116 | Python | py/reflective-xss | 反射型服务器端跨站脚本 |
| CWE-116 | Python | py/code-injection | 代码注入 |
| CWE-116 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-116 | Python | py/log-injection | 日志注入 |
| CWE-116 | Python | py/reflective-xss-email | 反射型服务器端跨站脚本 |
| CWE-116 | Ruby | rb/reflected-xss | 反射型服务器端跨站脚本 |
| CWE-116 | Ruby | rb/stored-xss | 存储型跨站脚本攻击 |
| CWE-116 | Ruby | rb/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-116 | Ruby | rb/code-injection | 代码注入 |
| CWE-116 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-116 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-116 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-116 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-116 | Ruby | rb/log-injection | 日志注入 |
| CWE-116 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-117 | C# | cs/log-forging | 使用用户输入创建日志条目 |
| CWE-117 | Go | go/log-injection | 使用用户输入创建日志条目 |
| CWE-117 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-117 | JavaScript/TypeScript | js/log-injection | 日志注入 |
| CWE-117 | JavaScript/TypeScript | js/log-injection-more-sources | 具有额外启发式来源的日志注入 |
| CWE-117 | Python | py/log-injection | 日志注入 |
| CWE-117 | Ruby | rb/log-injection | 日志注入 |
| CWE-118 | C/C++ | cpp/offset-use-before-range-check | 在进行范围检查之前使用数组偏移量 |
| CWE-118 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-118 | C/C++ | cpp/late-negative-test | 在检查之前使用指针偏移量 |
| CWE-118 | C/C++ | cpp/missing-negativity-test | 使用未经检查的返回值作为偏移量 |
| CWE-118 | C/C++ | cpp/overflow-calculated | 缓冲区不足以容纳字符串 |
| CWE-118 | C/C++ | cpp/overflow-destination | 使用源大小的复制函数 |
| CWE-118 | C/C++ | cpp/static-buffer-overflow | 静态数组访问可能会导致溢出 |
| CWE-118 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-118 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-118 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-118 | C/C++ | cpp/upcast-array-pointer-arithmetic | 在指针运算中使用向上转换的数组 |
| CWE-118 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-118 | C/C++ | cpp/bad-strncpy-size | 字符串复制中可能错误的缓冲区大小 |
| CWE-118 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-118 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-118 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-118 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-118 | C/C++ | cpp/overrun-write | 溢出写入 |
| CWE-118 | C/C++ | cpp/badly-bounded-write | 边界不确定的写入 |
| CWE-118 | C/C++ | cpp/overrunning-write | 潜在的溢出写入 |
| CWE-118 | C/C++ | cpp/overrunning-write-with-float | 使用浮点数到字符串转换的潜在溢出写入 |
| CWE-118 | C/C++ | cpp/unbounded-write | 无界写入 |
| CWE-118 | C/C++ | cpp/very-likely-overrunning-write | 可能溢出的写入 |
| CWE-118 | C/C++ | cpp/unterminated-variadic-call | 未终止的变参调用 |
| CWE-118 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-118 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-118 | C/C++ | cpp/openssl-heartbleed | 使用受心脏滴血漏洞影响的 OpenSSL 版本 |
| CWE-118 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-118 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-118 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-118 | C/C++ | cpp/memory-unsafe-function-scan | 没有指定长度的 scanf 函数 |
| CWE-118 | C/C++ | cpp/dangerous-use-convert-function | 危险地使用转换函数。 |
| CWE-118 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-118 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-118 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-118 | C/C++ | cpp/sign-conversion-pointer-arithmetic | 在指针运算中使用无符号到有符号的转换 |
| CWE-118 | C/C++ | cpp/access-memory-location-after-end-buffer-strlen | 访问缓冲区末尾之后的内存位置 |
| CWE-118 | C/C++ | cpp/buffer-access-with-incorrect-length-value | 使用不正确的长度值访问缓冲区 |
| CWE-118 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-118 | Go | go/wrong-usage-of-unsafe | 错误地使用 unsafe 包 |
| CWE-119 | C/C++ | cpp/offset-use-before-range-check | 在进行范围检查之前使用数组偏移量 |
| CWE-119 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-119 | C/C++ | cpp/late-negative-test | 在检查之前使用指针偏移量 |
| CWE-119 | C/C++ | cpp/missing-negativity-test | 使用未经检查的返回值作为偏移量 |
| CWE-119 | C/C++ | cpp/overflow-calculated | 缓冲区不足以容纳字符串 |
| CWE-119 | C/C++ | cpp/overflow-destination | 使用源大小的复制函数 |
| CWE-119 | C/C++ | cpp/static-buffer-overflow | 静态数组访问可能会导致溢出 |
| CWE-119 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-119 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-119 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-119 | C/C++ | cpp/upcast-array-pointer-arithmetic | 在指针运算中使用向上转换的数组 |
| CWE-119 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-119 | C/C++ | cpp/bad-strncpy-size | 字符串复制中可能错误的缓冲区大小 |
| CWE-119 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-119 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-119 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-119 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-119 | C/C++ | cpp/overrun-write | 溢出写入 |
| CWE-119 | C/C++ | cpp/badly-bounded-write | 边界不确定的写入 |
| CWE-119 | C/C++ | cpp/overrunning-write | 潜在的溢出写入 |
| CWE-119 | C/C++ | cpp/overrunning-write-with-float | 使用浮点数到字符串转换的潜在溢出写入 |
| CWE-119 | C/C++ | cpp/unbounded-write | 无界写入 |
| CWE-119 | C/C++ | cpp/very-likely-overrunning-write | 可能溢出的写入 |
| CWE-119 | C/C++ | cpp/unterminated-variadic-call | 未终止的变参调用 |
| CWE-119 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-119 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-119 | C/C++ | cpp/openssl-heartbleed | 使用受心脏滴血漏洞影响的 OpenSSL 版本 |
| CWE-119 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-119 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-119 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-119 | C/C++ | cpp/memory-unsafe-function-scan | 没有指定长度的 scanf 函数 |
| CWE-119 | C/C++ | cpp/dangerous-use-convert-function | 危险地使用转换函数。 |
| CWE-119 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-119 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-119 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-119 | C/C++ | cpp/sign-conversion-pointer-arithmetic | 在指针运算中使用无符号到有符号的转换 |
| CWE-119 | C/C++ | cpp/access-memory-location-after-end-buffer-strlen | 访问缓冲区末尾之后的内存位置 |
| CWE-119 | C/C++ | cpp/buffer-access-with-incorrect-length-value | 使用不正确的长度值访问缓冲区 |
| CWE-119 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-119 | Go | go/wrong-usage-of-unsafe | 错误地使用 unsafe 包 |
| CWE-120 | C/C++ | cpp/offset-use-before-range-check | 在进行范围检查之前使用数组偏移量 |
| CWE-120 | C/C++ | cpp/overflow-calculated | 缓冲区不足以容纳字符串 |
| CWE-120 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-120 | C/C++ | cpp/badly-bounded-write | 边界不确定的写入 |
| CWE-120 | C/C++ | cpp/overrunning-write | 潜在的溢出写入 |
| CWE-120 | C/C++ | cpp/overrunning-write-with-float | 使用浮点数到字符串转换的潜在溢出写入 |
| CWE-120 | C/C++ | cpp/unbounded-write | 无界写入 |
| CWE-120 | C/C++ | cpp/very-likely-overrunning-write | 可能溢出的写入 |
| CWE-120 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-120 | C/C++ | cpp/memory-unsafe-function-scan | 没有指定长度的 scanf 函数 |
| CWE-120 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-121 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-121 | C/C++ | cpp/unterminated-variadic-call | 未终止的变参调用 |
| CWE-122 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-122 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-122 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-122 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-122 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-125 | C/C++ | cpp/offset-use-before-range-check | 在进行范围检查之前使用数组偏移量 |
| CWE-125 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-125 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-125 | C/C++ | cpp/dangerous-use-convert-function | 危险地使用转换函数。 |
| CWE-125 | Go | go/wrong-usage-of-unsafe | 错误地使用 unsafe 包 |
| CWE-126 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-126 | Go | go/wrong-usage-of-unsafe | 错误地使用 unsafe 包 |
| CWE-128 | C/C++ | cpp/signed-overflow-check | 有符号溢出检查 |
| CWE-128 | C/C++ | cpp/multiplication-overflow-in-alloc | 乘法结果可能会溢出并用于分配 |
| CWE-129 | C/C++ | cpp/unclear-array-index-validation | 数组索引验证不明确 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的大小进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定大小进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-131 | C/C++ | cpp/overflow-calculated | 缓冲区不足以容纳字符串 |
| CWE-131 | C/C++ | cpp/overflow-destination | 使用源大小的复制函数 |
| CWE-131 | C/C++ | cpp/static-buffer-overflow | 静态数组访问可能会导致溢出 |
| CWE-131 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-131 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-131 | C/C++ | cpp/overrun-write | 溢出写入 |
| CWE-131 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-134 | C/C++ | cpp/non-constant-format | 非常量格式字符串 |
| CWE-134 | C/C++ | cpp/tainted-format-string | 不受控制的格式字符串 |
| CWE-134 | C# | cs/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-134 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-134 | JavaScript/TypeScript | js/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-134 | JavaScript/TypeScript | js/tainted-format-string-more-sources | 使用外部控制的格式字符串,并带有额外的启发式来源 |
| CWE-134 | Ruby | rb/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-134 | Swift | swift/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-135 | Swift | swift/string-length-conflation | 字符串长度混淆 |
| CWE-170 | C/C++ | cpp/improper-null-termination | 潜在的不正确的空终止 |
| CWE-170 | C/C++ | cpp/user-controlled-null-termination-tainted | 用户控制的数据可能未进行空终止 |
| CWE-172 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-172 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-176 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-176 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-178 | JavaScript/TypeScript | js/case-sensitive-middleware-path | 区分大小写的中间件路径 |
| CWE-179 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-179 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-180 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-180 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-183 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-183 | JavaScript/TypeScript | js/angular/insecure-url-whitelist | 不安全的 URL 白名单 |
| CWE-183 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-183 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-183 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-184 | JavaScript/TypeScript | js/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-184 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-185 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-185 | JavaScript/TypeScript | js/angular/insecure-url-whitelist | 不安全的 URL 白名单 |
| CWE-185 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-185 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-185 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-185 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-186 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-186 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-186 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-186 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-190 | C/C++ | cpp/ambiguously-signed-bit-field | 符号不明确的位域成员 |
| CWE-190 | C/C++ | cpp/bad-addition-overflow-check | 对整数加法溢出的错误检查 |
| CWE-190 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-190 | C/C++ | cpp/signed-overflow-check | 有符号溢出检查 |
| CWE-190 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-190 | C/C++ | cpp/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-190 | C/C++ | cpp/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-190 | C/C++ | cpp/arithmetic-with-extreme-values | 在算术表达式中使用极端值 |
| CWE-190 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-190 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-190 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-190 | C/C++ | cpp/multiplication-overflow-in-alloc | 乘法结果可能会溢出并用于分配 |
| CWE-190 | C/C++ | cpp/dangerous-use-of-transformation-after-operation | 危险地使用操作后的转换。 |
| CWE-190 | C/C++ | cpp/signed-bit-field | 可能的带符号位域成员 |
| CWE-190 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-190 | Go | go/allocation-size-overflow | 分配大小计算可能会溢出 |
| CWE-190 | Go | go/incorrect-integer-conversion | 整数类型之间的错误转换 |
| CWE-190 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-190 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-190 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-190 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-190 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-190 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-191 | C/C++ | cpp/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-191 | C/C++ | cpp/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-191 | C/C++ | cpp/arithmetic-with-extreme-values | 在算术表达式中使用极端值 |
| CWE-191 | C/C++ | cpp/unsigned-difference-expression-compared-zero | 无符号差值表达式与零进行比较 |
| CWE-191 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-191 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-191 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-193 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-193 | C# | cs/index-out-of-bounds | 与容器长度进行的“越界”比较 |
| CWE-193 | Go | go/index-out-of-bounds | 与长度进行的“越界”比较 |
| CWE-193 | Java/Kotlin | java/index-out-of-bounds | 数组索引越界 |
| CWE-193 | JavaScript/TypeScript | js/index-out-of-bounds | 与长度进行的“越界”比较 |
| CWE-197 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-197 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-197 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-197 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-197 | Go | go/shift-out-of-range | 移位超出范围 |
| CWE-197 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-197 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-197 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-197 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中的用户控制数据 |
| CWE-197 | JavaScript/TypeScript | js/shift-out-of-range | 移位超出范围 |
| CWE-200 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-200 | C/C++ | cpp/system-data-exposure | 将系统数据暴露给未经授权的控制域 |
| CWE-200 | C/C++ | cpp/potential-system-data-exposure | 将敏感系统数据暴露给未经授权的控制域的可能性 |
| CWE-200 | C/C++ | cpp/work-with-file-without-permissions-rights | 在未设置权限的情况下写入文件。 |
| CWE-200 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-200 | C/C++ | cpp/private-cleartext-write | 暴露私人信息 |
| CWE-200 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-200 | C# | cs/sensitive-data-transmission | 通过传输的数据泄露信息 |
| CWE-200 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-200 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-200 | C# | cs/exposure-of-sensitive-information | 暴露私人信息 |
| CWE-200 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-200 | C# | cs/web/persistent-cookie | Cookie 安全性:持久性 Cookie |
| CWE-200 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-200 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-200 | Go | go/timing-attack | 由于敏感密钥的比较导致的时间攻击 |
| CWE-200 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-200 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-200 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-200 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-200 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-200 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-200 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-200 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-200 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-200 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-200 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证的可能时间攻击 |
| CWE-200 | Java/Kotlin | java/timing-attack-against-headers-value | 对头值的时间攻击 |
| CWE-200 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的时间攻击 |
| CWE-200 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-200 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-200 | JavaScript/TypeScript | js/unsafe-external-link | 潜在的不安全的外部链接 |
| CWE-200 | JavaScript/TypeScript | js/file-access-to-http | 出站网络请求中的文件数据 |
| CWE-200 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-200 | JavaScript/TypeScript | js/cross-window-information-leak | 跨窗口通信,目标来源不受限制 |
| CWE-200 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-200 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-200 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-200 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-200 | JavaScript/TypeScript | js/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-200 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-200 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-200 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-200 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-200 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-200 | Python | py/possible-timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-200 | Python | py/timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-200 | Python | py/timing-attack-against-header-value | 对头值的时间攻击 |
| CWE-200 | Python | py/possible-timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-200 | Python | py/timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-200 | Ruby | rb/unsafe-hmac-comparison | 不安全的 HMAC 比较 |
| CWE-200 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-200 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-200 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-200 | Ruby | rb/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-200 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-201 | C# | cs/sensitive-data-transmission | 通过传输的数据泄露信息 |
| CWE-201 | JavaScript/TypeScript | js/cross-window-information-leak | 跨窗口通信,目标来源不受限制 |
| CWE-203 | Go | go/timing-attack | 由于敏感密钥的比较导致的时间攻击 |
| CWE-203 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证的可能时间攻击 |
| CWE-203 | Java/Kotlin | java/timing-attack-against-headers-value | 对头值的时间攻击 |
| CWE-203 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的时间攻击 |
| CWE-203 | Python | py/possible-timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-203 | Python | py/timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-203 | Python | py/timing-attack-against-header-value | 对头值的时间攻击 |
| CWE-203 | Python | py/possible-timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-203 | Python | py/timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-203 | Ruby | rb/unsafe-hmac-comparison | 不安全的 HMAC 比较 |
| CWE-208 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证的可能时间攻击 |
| CWE-208 | Java/Kotlin | java/timing-attack-against-headers-value | 对头值的时间攻击 |
| CWE-208 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的时间攻击 |
| CWE-208 | Python | py/possible-timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-208 | Python | py/timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-208 | Python | py/timing-attack-against-header-value | 对头值的时间攻击 |
| CWE-208 | Python | py/possible-timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-208 | Python | py/timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-208 | Ruby | rb/unsafe-hmac-comparison | 不安全的 HMAC 比较 |
| CWE-209 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-209 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-209 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-209 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-209 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-209 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-215 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-215 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-216 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-219 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-221 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-221 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-221 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-221 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-221 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-227 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-227 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-227 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-227 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-227 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-227 | C/C++ | cpp/wrong-type-format-argument | 格式化函数的参数类型错误 |
| CWE-227 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-227 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-227 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-227 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-227 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-227 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-227 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-227 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-227 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-227 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-227 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-227 | C# | cs/inconsistent-equals-and-gethashcode | Equals(object) 和 GetHashCode() 不一致 |
| CWE-227 | C# | cs/invalid-dynamic-call | 动态调用错误 |
| CWE-227 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-227 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-227 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-227 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-227 | Java/Kotlin | java/ejb/native-code | EJB 使用本地代码 |
| CWE-227 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-227 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-227 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-227 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-227 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-227 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-227 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-227 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-227 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-227 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-227 | Java/Kotlin | java/inconsistent-equals-and-hashcode | equals 和 hashCode 不一致 |
| CWE-227 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-227 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-227 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-227 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-227 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-227 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-227 | JavaScript/TypeScript | js/superfluous-trailing-arguments | 多余的尾随参数 |
| CWE-227 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-227 | Python | py/equals-hash-mismatch | 不一致的相等性和散列 |
| CWE-227 | Python | py/call/wrong-named-class-argument | 类实例化中参数名称错误 |
| CWE-227 | Python | py/call/wrong-number-class-arguments | 类实例化中的参数数量错误 |
| CWE-227 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-227 | Python | py/call/wrong-named-argument | 调用中的参数名称错误 |
| CWE-227 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-227 | Python | py/call/wrong-arguments | 调用中的参数数量错误 |
| CWE-227 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-228 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-228 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-233 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-233 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-234 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-234 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-242 | C/C++ | cpp/dangerous-function-overflow | 使用危险函数 |
| CWE-243 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-247 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-247 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-248 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-248 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-248 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-248 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-248 | JavaScript/TypeScript | js/server-crash | 服务器崩溃 |
| CWE-250 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-250 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-252 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-252 | C/C++ | cpp/return-value-ignored | 忽略函数的返回值 |
| CWE-252 | C/C++ | cpp/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-252 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-252 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-252 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-252 | C# | cs/unchecked-return-value | 未检查的返回值 |
| CWE-252 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-252 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-252 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-253 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-253 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-253 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-253 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-256 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-256 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-256 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-256 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-258 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-258 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-259 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-259 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-259 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-259 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-259 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-259 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-259 | Swift | swift/constant-password | 常量密码 |
| CWE-260 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-260 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-260 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-260 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-260 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-260 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-260 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-266 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-266 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-269 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-269 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-269 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-269 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-269 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-269 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-271 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-271 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-273 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-273 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-284 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-284 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-284 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-284 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-284 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-284 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-284 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-284 | C/C++ | cpp/pam-auth-bypass | PAM 授权绕过 |
| CWE-284 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-284 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-284 | C# | cs/web/missing-function-level-access-control | 缺少函数级访问控制 |
| CWE-284 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-284 | C# | cs/session-reuse | 无法放弃会话 |
| CWE-284 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-284 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-284 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-284 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-284 | C# | cs/web/broad-cookie-domain | Cookie 安全:域过于宽泛 |
| CWE-284 | C# | cs/web/broad-cookie-path | Cookie 安全:路径过于宽泛 |
| CWE-284 | Go | go/insecure-hostkeycallback | 使用不安全的 HostKeyCallback 实现 |
| CWE-284 | Go | go/email-injection | 电子邮件内容注入 |
| CWE-284 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-284 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-284 | Go | go/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-284 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-284 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-284 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-284 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-284 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-284 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-284 | Java/Kotlin | java/android/insecure-local-key-gen | 为本地身份验证不安全地生成密钥 |
| CWE-284 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-284 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-284 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-284 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-284 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-284 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-284 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-284 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-284 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-284 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-284 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-284 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 的验证不当 |
| CWE-284 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供程序中缺少读或写权限 |
| CWE-284 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-284 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-284 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-284 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-284 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-284 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-284 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-284 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-284 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-284 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-284 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-284 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-284 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-284 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-284 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-284 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-284 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-284 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-284 | JavaScript/TypeScript | js/session-fixation | 无法放弃会话 |
| CWE-284 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-284 | JavaScript/TypeScript | js/host-header-forgery-in-email-generation | 电子邮件生成中的主机头中毒 |
| CWE-284 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-284 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-284 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-284 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-284 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-284 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-284 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-284 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-284 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-284 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-284 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-284 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-284 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-284 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-284 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-284 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-284 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-284 | Ruby | rb/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-284 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-284 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-284 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-284 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-284 | Swift | swift/constant-password | 常量密码 |
| CWE-284 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-285 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-285 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-285 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-285 | C/C++ | cpp/pam-auth-bypass | PAM 授权绕过 |
| CWE-285 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-285 | C# | cs/web/missing-function-level-access-control | 缺少函数级访问控制 |
| CWE-285 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-285 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-285 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-285 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-285 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-285 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供程序中缺少读或写权限 |
| CWE-285 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-285 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-285 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-285 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-285 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-285 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-285 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-285 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-285 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-285 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-285 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-285 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-285 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-285 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-285 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-287 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-287 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-287 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-287 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-287 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-287 | C# | cs/session-reuse | 无法放弃会话 |
| CWE-287 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-287 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-287 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-287 | C# | cs/web/broad-cookie-domain | Cookie 安全:域过于宽泛 |
| CWE-287 | C# | cs/web/broad-cookie-path | Cookie 安全:路径过于宽泛 |
| CWE-287 | Go | go/email-injection | 电子邮件内容注入 |
| CWE-287 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-287 | Go | go/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-287 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-287 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-287 | Java/Kotlin | java/android/insecure-local-key-gen | 为本地身份验证不安全地生成密钥 |
| CWE-287 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-287 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-287 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-287 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-287 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-287 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-287 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-287 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-287 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-287 | JavaScript/TypeScript | js/session-fixation | 无法放弃会话 |
| CWE-287 | JavaScript/TypeScript | js/host-header-forgery-in-email-generation | 电子邮件生成中的主机头中毒 |
| CWE-287 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-287 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-287 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-287 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-287 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-287 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-287 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-287 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-287 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-287 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-287 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-287 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-287 | Ruby | rb/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-287 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-287 | Swift | swift/constant-password | 常量密码 |
| CWE-287 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-290 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-290 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-290 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-290 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-290 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-290 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-290 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-290 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-290 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-295 | C/C++ | cpp/certificate-result-conflation | 证书结果混淆 |
| CWE-295 | C/C++ | cpp/certificate-not-checked | 未检查证书 |
| CWE-295 | Go | go/disabled-certificate-check | 禁用的 TLS 证书检查 |
| CWE-295 | Java/Kotlin | java/android/missing-certificate-pinning | Android 缺少证书固定 |
| CWE-295 | Java/Kotlin | java/improper-webview-certificate-validation | Android WebView 接受所有证书 |
| CWE-295 | Java/Kotlin | java/insecure-trustmanager | TrustManager 接受所有证书 |
| CWE-295 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-295 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-295 | Java/Kotlin | java/jxbrowser/disabled-certificate-validation | JxBrowser 禁用了证书验证 |
| CWE-295 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-295 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-295 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用了证书吊销检查 |
| CWE-295 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-295 | Python | py/paramiko-missing-host-key-validation | 使用 Paramiko 时接受未知 SSH 主机密钥 |
| CWE-295 | Python | py/request-without-cert-validation | 未经证书验证的请求 |
| CWE-295 | Ruby | rb/request-without-cert-validation | 未经证书验证的请求 |
| CWE-297 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-297 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-297 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-297 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-297 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-299 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用了证书吊销检查 |
| CWE-300 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-300 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-300 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-307 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-311 | C/C++ | cpp/cleartext-storage-buffer | 缓冲区中敏感信息的明文存储 |
| CWE-311 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-311 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-311 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-311 | C/C++ | cpp/non-https-url | 无法使用 HTTPS URL |
| CWE-311 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-311 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-311 | C# | cs/web/requiressl-not-set | 'requireSSL' 属性未设置为 true |
| CWE-311 | C# | cs/web/cookie-secure-not-set | 'Secure' 属性未设置为 true |
| CWE-311 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-311 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 明文存储敏感信息 |
| CWE-311 | Java/Kotlin | java/non-https-url | 无法使用 HTTPS URL |
| CWE-311 | Java/Kotlin | java/non-ssl-connection | 无法使用 SSL |
| CWE-311 | Java/Kotlin | java/non-ssl-socket-factory | 无法使用 SSL 套接字工厂 |
| CWE-311 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-311 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-311 | Java/Kotlin | java/insecure-cookie | 无法使用安全 Cookie |
| CWE-311 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-311 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-311 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-311 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-311 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-311 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-311 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-311 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-311 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-311 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-311 | Python | py/insecure-cookie | 无法使用安全 Cookie |
| CWE-311 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-311 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-311 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-311 | Swift | swift/cleartext-storage-database | 本地数据库中敏感信息的明文存储 |
| CWE-311 | Swift | swift/cleartext-transmission | 敏感信息的明文传输 |
| CWE-311 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-311 | Swift | swift/cleartext-storage-preferences | 应用程序首选项存储中敏感信息的明文存储 |
| CWE-312 | C/C++ | cpp/cleartext-storage-buffer | 缓冲区中敏感信息的明文存储 |
| CWE-312 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-312 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-312 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-312 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-312 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-312 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 明文存储敏感信息 |
| CWE-312 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-312 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-312 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-312 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-312 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-312 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-312 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-312 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-312 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-312 | Swift | swift/cleartext-storage-database | 本地数据库中敏感信息的明文存储 |
| CWE-312 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-312 | Swift | swift/cleartext-storage-preferences | 应用程序首选项存储中敏感信息的明文存储 |
| CWE-313 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-313 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-313 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-313 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-313 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-315 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-315 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-315 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-315 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-315 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-315 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-319 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-319 | C/C++ | cpp/non-https-url | 无法使用 HTTPS URL |
| CWE-319 | C# | cs/web/requiressl-not-set | 'requireSSL' 属性未设置为 true |
| CWE-319 | C# | cs/web/cookie-secure-not-set | 'Secure' 属性未设置为 true |
| CWE-319 | Java/Kotlin | java/non-https-url | 无法使用 HTTPS URL |
| CWE-319 | Java/Kotlin | java/non-ssl-connection | 无法使用 SSL |
| CWE-319 | Java/Kotlin | java/non-ssl-socket-factory | 无法使用 SSL 套接字工厂 |
| CWE-319 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-319 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-319 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-319 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-319 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-319 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-319 | Swift | swift/cleartext-transmission | 敏感信息的明文传输 |
| CWE-321 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-321 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-321 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-321 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-321 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-321 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-321 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-321 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-321 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-322 | Go | go/insecure-hostkeycallback | 使用不安全的 HostKeyCallback 实现 |
| CWE-326 | C/C++ | cpp/boost/tls-settings-misconfiguration | boost::asio TLS 设置配置错误 |
| CWE-326 | C/C++ | cpp/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-326 | C/C++ | cpp/unknown-asymmetric-key-gen-size | 未知密钥生成密钥大小 |
| CWE-326 | C/C++ | cpp/weak-asymmetric-key-gen-size | 弱非对称密钥生成密钥大小(< 2048 位) |
| CWE-326 | C# | cs/insufficient-key-size | 弱加密:密钥长度不足 |
| CWE-326 | Go | go/weak-crypto-key | 使用弱加密密钥 |
| CWE-326 | Go | go/weak-crypto-algorithm | 使用弱加密算法 |
| CWE-326 | Java/Kotlin | java/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-326 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-326 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-326 | JavaScript/TypeScript | js/insufficient-key-size | 使用弱加密密钥 |
| CWE-326 | JavaScript/TypeScript | js/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-326 | Python | py/weak-crypto-key | 使用弱加密密钥 |
| CWE-326 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-326 | Python | py/unknown-asymmetric-key-gen-size | 未知密钥生成密钥大小 |
| CWE-326 | Python | py/weak-asymmetric-key-gen-size | 弱密钥生成密钥大小(< 2048 位) |
| CWE-326 | Swift | swift/weak-password-hashing | 对密码使用不合适的加密哈希算法 |
| CWE-326 | Swift | swift/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-327 | C/C++ | cpp/boost/use-of-deprecated-hardcoded-security-protocol | boost::asio 使用已弃用的硬编码协议 |
| CWE-327 | C/C++ | cpp/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-327 | C/C++ | cpp/openssl-heartbleed | 使用受心脏滴血漏洞影响的 OpenSSL 版本 |
| CWE-327 | C/C++ | cpp/weak-block-mode | 弱分组模式 |
| CWE-327 | C/C++ | cpp/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-327 | C/C++ | cpp/weak-crypto/banned-encryption-algorithms | 弱密码学 |
| CWE-327 | C/C++ | cpp/weak-crypto/banned-hash-algorithms | 弱密码学 |
| CWE-327 | C# | cs/adding-cert-to-root-store | 不要将证书添加到系统根存储区。 |
| CWE-327 | C# | cs/insecure-sql-connection | 不安全的 SQL 连接 |
| CWE-327 | C# | cs/ecb-encryption | 使用 ECB 加密 |
| CWE-327 | C# | cs/inadequate-rsa-padding | 弱加密:RSA 填充不足 |
| CWE-327 | C# | cs/weak-encryption | 弱加密 |
| CWE-327 | C# | cs/azure-storage/unsafe-usage-of-client-side-encryption-version | 不安全地使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-327 | C# | cs/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-327 | Go | go/insecure-tls | 不安全的 TLS 配置 |
| CWE-327 | Go | go/weak-crypto-algorithm | 使用弱加密算法 |
| CWE-327 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-327 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-327 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-327 | Java/Kotlin | java/azure-storage/unsafe-client-side-encryption-in-use | 不安全地使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-327 | Java/Kotlin | java/unsafe-tls-version | 不安全的 TLS 版本 |
| CWE-327 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-327 | JavaScript/TypeScript | js/biased-cryptographic-random | 从加密安全的来源创建有偏差的随机数 |
| CWE-327 | JavaScript/TypeScript | js/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-327 | JavaScript/TypeScript | js/insufficient-password-hash | 使用计算量不足的密码哈希 |
| CWE-327 | Python | py/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-327 | Python | py/insecure-default-protocol | SSL/TLS 的默认版本可能不安全 |
| CWE-327 | Python | py/insecure-protocol | 使用不安全的 SSL/TLS 版本 |
| CWE-327 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-327 | Python | py/azure-storage/unsafe-client-side-encryption-in-use | 不安全地使用 Azure 存储客户端侧加密的 v1 版本。 |
| CWE-327 | Python | py/weak-block-mode | 弱分组模式 |
| CWE-327 | Python | py/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-327 | Python | py/weak-hashes | 弱哈希 |
| CWE-327 | Python | py/weak-symmetric-encryption | 弱对称加密算法 |
| CWE-327 | Ruby | rb/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-327 | Swift | swift/ecb-encryption | 使用 ECB 加密 |
| CWE-327 | Swift | swift/weak-password-hashing | 对密码使用不合适的加密哈希算法 |
| CWE-327 | Swift | swift/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-327 | Swift | swift/constant-salt | 使用常量盐 |
| CWE-327 | Swift | swift/insufficient-hash-iterations | 哈希迭代次数不足 |
| CWE-328 | Go | go/weak-crypto-algorithm | 使用弱加密算法 |
| CWE-328 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-328 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-328 | JavaScript/TypeScript | js/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-328 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-328 | Swift | swift/weak-password-hashing | 对密码使用不合适的加密哈希算法 |
| CWE-328 | Swift | swift/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-329 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-329 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-330 | C# | cs/random-used-once | 随机数只使用一次 |
| CWE-330 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-330 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-330 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-330 | C# | cs/insecure-randomness | 不安全的随机性 |
| CWE-330 | Go | go/insecure-randomness | 使用随机性不足作为加密算法的密钥 |
| CWE-330 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-330 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-330 | Java/Kotlin | java/random-used-once | 随机数只使用一次 |
| CWE-330 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-330 | Java/Kotlin | java/insecure-randomness | 不安全的随机性 |
| CWE-330 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-330 | Java/Kotlin | java/jhipster-prng | 检测 JHipster Generator 漏洞 CVE-2019-16303 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-330 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-330 | JavaScript/TypeScript | js/insecure-randomness | 不安全的随机性 |
| CWE-330 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-330 | JavaScript/TypeScript | js/predictable-token | 可预测的令牌 |
| CWE-330 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-330 | Python | py/insecure-randomness | 不安全的随机性 |
| CWE-330 | Python | py/predictable-token | 可预测的令牌 |
| CWE-330 | Ruby | rb/insecure-randomness | 不安全的随机性 |
| CWE-330 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-330 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-330 | Swift | swift/constant-password | 常量密码 |
| CWE-330 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-335 | C# | cs/random-used-once | 随机数只使用一次 |
| CWE-335 | Java/Kotlin | java/random-used-once | 随机数只使用一次 |
| CWE-335 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-337 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-338 | C# | cs/insecure-randomness | 不安全的随机性 |
| CWE-338 | Go | go/insecure-randomness | 使用随机性不足作为加密算法的密钥 |
| CWE-338 | Java/Kotlin | java/insecure-randomness | 不安全的随机性 |
| CWE-338 | Java/Kotlin | java/jhipster-prng | 检测 JHipster Generator 漏洞 CVE-2019-16303 |
| CWE-338 | JavaScript/TypeScript | js/insecure-randomness | 不安全的随机性 |
| CWE-338 | Python | py/insecure-randomness | 不安全的随机性 |
| CWE-338 | Ruby | rb/insecure-randomness | 不安全的随机性 |
| CWE-340 | JavaScript/TypeScript | js/predictable-token | 可预测的令牌 |
| CWE-340 | Python | py/predictable-token | 可预测的令牌 |
| CWE-344 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-344 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-344 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-344 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-344 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-344 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-344 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-344 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-344 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-344 | Swift | swift/constant-password | 常量密码 |
| CWE-344 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-345 | C/C++ | cpp/non-https-url | 无法使用 HTTPS URL |
| CWE-345 | C# | cs/web/ambiguous-client-variable | 值遮蔽 |
| CWE-345 | C# | cs/web/ambiguous-server-variable | 值遮蔽:服务器变量 |
| CWE-345 | C# | cs/web/missing-token-validation | 缺少跨站点请求伪造令牌验证 |
| CWE-345 | Go | go/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-345 | Go | go/constant-oauth2-state | 在 OAuth 2.0 URL 中使用常量state 值 |
| CWE-345 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-345 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-345 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-345 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-345 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-345 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-345 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-345 | JavaScript/TypeScript | js/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-345 | JavaScript/TypeScript | js/missing-token-validation | 缺少 CSRF 中间件 |
| CWE-345 | JavaScript/TypeScript | js/decode-jwt-without-verification | JWT 缺少密钥或公钥验证 |
| CWE-345 | JavaScript/TypeScript | js/decode-jwt-without-verification-local-source | JWT 缺少密钥或公钥验证 |
| CWE-345 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-345 | Python | py/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-345 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-345 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-345 | Ruby | rb/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-345 | Ruby | rb/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-345 | Ruby | rb/csrf-protection-not-enabled | 未启用 CSRF 保护 |
| CWE-346 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-346 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-346 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-346 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-347 | Go | go/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-347 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-347 | JavaScript/TypeScript | js/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-347 | JavaScript/TypeScript | js/decode-jwt-without-verification | JWT 缺少密钥或公钥验证 |
| CWE-347 | JavaScript/TypeScript | js/decode-jwt-without-verification-local-source | JWT 缺少密钥或公钥验证 |
| CWE-347 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-347 | Ruby | rb/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-348 | C# | cs/web/ambiguous-client-variable | 值遮蔽 |
| CWE-348 | C# | cs/web/ambiguous-server-variable | 值遮蔽:服务器变量 |
| CWE-348 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-348 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-350 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-350 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-352 | C# | cs/web/missing-token-validation | 缺少跨站点请求伪造令牌验证 |
| CWE-352 | Go | go/constant-oauth2-state | 在 OAuth 2.0 URL 中使用常量state 值 |
| CWE-352 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-352 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-352 | JavaScript/TypeScript | js/missing-token-validation | 缺少 CSRF 中间件 |
| CWE-352 | Python | py/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-352 | Ruby | rb/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-352 | Ruby | rb/csrf-protection-not-enabled | 未启用 CSRF 保护 |
| CWE-359 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-359 | C/C++ | cpp/private-cleartext-write | 暴露私人信息 |
| CWE-359 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-359 | C# | cs/exposure-of-sensitive-information | 暴露私人信息 |
| CWE-359 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-359 | JavaScript/TypeScript | js/cross-window-information-leak | 跨窗口通信,目标来源不受限制 |
| CWE-359 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-359 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-359 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-359 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-359 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-359 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-359 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-359 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-362 | C/C++ | cpp/toctou-race-condition | 检查时-使用时文件系统竞争条件 |
| CWE-362 | C/C++ | cpp/linux-kernel-double-fetch-vulnerability | Linux 内核双重获取漏洞检测 |
| CWE-362 | C# | cs/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-362 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-362 | C# | cs/thread-unsafe-icryptotransform-field-in-class | 线程不安全的静态 ICryptoTransform 字段使用 |
| CWE-362 | C# | cs/thread-unsafe-icryptotransform-captured-in-lambda | 线程不安全地捕获 ICryptoTransform 对象 |
| CWE-362 | Java/Kotlin | java/toctou-race-condition | 检查时-使用时竞争条件 |
| CWE-362 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-362 | JavaScript/TypeScript | js/file-system-race | 潜在的文件系统竞争条件 |
| CWE-366 | C# | cs/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-367 | C/C++ | cpp/toctou-race-condition | 检查时-使用时文件系统竞争条件 |
| CWE-367 | Java/Kotlin | java/toctou-race-condition | 检查时-使用时竞争条件 |
| CWE-367 | JavaScript/TypeScript | js/file-system-race | 潜在的文件系统竞争条件 |
| CWE-369 | C/C++ | cpp/divide-by-zero-using-return-value | 使用返回值除以零 |
| CWE-369 | Go | go/divide-by-zero | 除以零 |
| CWE-377 | C/C++ | cpp/insecure-generation-of-filename | 不安全地生成文件名。 |
| CWE-377 | JavaScript/TypeScript | js/insecure-temporary-file | 不安全的临时文件 |
| CWE-377 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-378 | JavaScript/TypeScript | js/insecure-temporary-file | 不安全的临时文件 |
| CWE-382 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-382 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-383 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-384 | C# | cs/session-reuse | 无法放弃会话 |
| CWE-384 | JavaScript/TypeScript | js/session-fixation | 无法放弃会话 |
| CWE-390 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-390 | C# | cs/empty-catch-block | 错误处理不佳:空 catch 块 |
| CWE-390 | Python | py/empty-except | 空的 except |
| CWE-391 | C# | cs/empty-catch-block | 错误处理不佳:空 catch 块 |
| CWE-391 | Java/Kotlin | java/discarded-exception | 丢弃的异常 |
| CWE-391 | Java/Kotlin | java/ignored-error-status-of-call | 忽略调用的错误状态 |
| CWE-395 | C# | cs/catch-nullreferenceexception | 错误处理不佳:捕获 NullReferenceException |
| CWE-396 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-396 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-396 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-398 | C/C++ | cpp/unused-local-variable | 未使用的局部变量 |
| CWE-398 | C/C++ | cpp/unused-static-function | 未使用的静态函数 |
| CWE-398 | C/C++ | cpp/unused-static-variable | 未使用的静态变量 |
| CWE-398 | C/C++ | cpp/dead-code-condition | 分支条件始终计算为相同的值 |
| CWE-398 | C/C++ | cpp/dead-code-function | 函数从未被调用 |
| CWE-398 | C/C++ | cpp/dead-code-goto | 由于 goto 或 break 语句导致的死代码 |
| CWE-398 | C/C++ | cpp/inconsistent-nullness-testing | 指针的空检查不一致 |
| CWE-398 | C/C++ | cpp/missing-null-test | 返回的指针未检查 |
| CWE-398 | C/C++ | cpp/unused-variable | 变量被赋值一个从未读取的值 |
| CWE-398 | C/C++ | cpp/fixme-comment | FIXME 注释 |
| CWE-398 | C/C++ | cpp/todo-comment | TODO 注释 |
| CWE-398 | C/C++ | cpp/inconsistent-null-check | 空检查不一致 |
| CWE-398 | C/C++ | cpp/useless-expression | 表达式没有效果 |
| CWE-398 | C/C++ | cpp/bad-strncpy-size | 字符串复制中可能错误的缓冲区大小 |
| CWE-398 | C/C++ | cpp/suspicious-call-to-memset | 对 memset 的可疑调用 |
| CWE-398 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-398 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-398 | C/C++ | cpp/redundant-null-check-simple | 由于先前的解引用导致的冗余空检查 |
| CWE-398 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-398 | C/C++ | cpp/dangerous-function-overflow | 使用危险函数 |
| CWE-398 | C/C++ | cpp/dangerous-cin | 危险使用 'cin' |
| CWE-398 | C/C++ | cpp/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-398 | C/C++ | cpp/deref-null-result | 来自函数结果的空解引用 |
| CWE-398 | C/C++ | cpp/redundant-null-check-param | 冗余空检查或缺少参数的空检查 |
| CWE-398 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-398 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-398 | C# | cs/call-to-obsolete-method | 调用已弃用的方法 |
| CWE-398 | C# | cs/todo-comment | TODO 注释 |
| CWE-398 | C# | cs/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-398 | C# | cs/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-398 | C# | cs/unused-reftype | 死引用类型 |
| CWE-398 | C# | cs/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-398 | C# | cs/unused-field | 未使用的字段 |
| CWE-398 | C# | cs/unused-method | 未使用的函数 |
| CWE-398 | C# | cs/useless-cast-to-self | 转换为相同类型 |
| CWE-398 | C# | cs/useless-is-before-as | 无用的 'is' 在 'as' 之前 |
| CWE-398 | C# | cs/coalesce-of-identical-expressions | 无用的 ?? 表达式 |
| CWE-398 | C# | cs/useless-type-test | 无用的类型测试 |
| CWE-398 | C# | cs/useless-upcast | 无用的向上转型 |
| CWE-398 | C# | cs/empty-collection | 容器内容从未初始化 |
| CWE-398 | C# | cs/unused-collection | 容器内容从未访问 |
| CWE-398 | C# | cs/empty-lock-statement | 空的锁语句 |
| CWE-398 | C# | cs/linq/useless-select | 冗余 Select |
| CWE-398 | Go | go/comparison-of-identical-expressions | 比较相同的值 |
| CWE-398 | Go | go/useless-assignment-to-field | 对字段的无用赋值 |
| CWE-398 | Go | go/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-398 | Go | go/duplicate-branches | 重复的 'if' 分支 |
| CWE-398 | Go | go/duplicate-condition | 重复的 'if' 条件 |
| CWE-398 | Go | go/duplicate-switch-case | 重复的 switch case |
| CWE-398 | Go | go/useless-expression | 表达式没有效果 |
| CWE-398 | Go | go/redundant-operation | 相同的操作数 |
| CWE-398 | Go | go/redundant-assignment | 自我赋值 |
| CWE-398 | Go | go/unreachable-statement | 不可达的语句 |
| CWE-398 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-398 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-398 | Java/Kotlin | java/dead-class | 死类 |
| CWE-398 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-398 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-398 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-398 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码的行数 |
| CWE-398 | Java/Kotlin | java/unused-parameter | 无用的参数 |
| CWE-398 | Java/Kotlin | java/useless-null-check | 无用的空检查 |
| CWE-398 | Java/Kotlin | java/useless-type-test | 无用的类型测试 |
| CWE-398 | Java/Kotlin | java/useless-upcast | 无用的向上转型 |
| CWE-398 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-398 | Java/Kotlin | java/unused-container | 容器内容从未访问 |
| CWE-398 | Java/Kotlin | java/constant-comparison | 无用的比较测试 |
| CWE-398 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-398 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用的表达式可能为 null |
| CWE-398 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-398 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-398 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-398 | Java/Kotlin | java/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-398 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-398 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-398 | Java/Kotlin | java/overwritten-assignment-to-local | 分配的值被覆盖 |
| CWE-398 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-398 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-398 | Java/Kotlin | java/local-variable-is-never-read | 未读的局部变量 |
| CWE-398 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-398 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-398 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-398 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-398 | Java/Kotlin | java/redundant-cast | 不必要的强制转换 |
| CWE-398 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-398 | JavaScript/TypeScript | js/todo-comment | TODO 注释 |
| CWE-398 | JavaScript/TypeScript | js/eval-like-call | 调用类似 eval 的 DOM 函数 |
| CWE-398 | JavaScript/TypeScript | js/variable-initialization-conflict | 冲突的变量初始化 |
| CWE-398 | JavaScript/TypeScript | js/function-declaration-conflict | 冲突的函数声明 |
| CWE-398 | JavaScript/TypeScript | js/useless-assignment-to-global | 对全局变量的无用赋值 |
| CWE-398 | JavaScript/TypeScript | js/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-398 | JavaScript/TypeScript | js/overwritten-property | 覆盖的属性 |
| CWE-398 | JavaScript/TypeScript | js/comparison-of-identical-expressions | 比较相同的值 |
| CWE-398 | JavaScript/TypeScript | js/comparison-with-nan | 与 NaN 的比较 |
| CWE-398 | JavaScript/TypeScript | js/duplicate-condition | 重复的 'if' 条件 |
| CWE-398 | JavaScript/TypeScript | js/duplicate-property | 重复的属性 |
| CWE-398 | JavaScript/TypeScript | js/duplicate-switch-case | 重复的 switch case |
| CWE-398 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-398 | JavaScript/TypeScript | js/comparison-between-incompatible-types | 不可转换类型之间的比较 |
| CWE-398 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-398 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-398 | JavaScript/TypeScript | js/call-to-non-callable | 调用非函数 |
| CWE-398 | JavaScript/TypeScript | js/property-access-on-non-object | 对 null 或 undefined 的属性访问 |
| CWE-398 | JavaScript/TypeScript | js/unneeded-defensive-code | 不必要的防御性代码 |
| CWE-398 | JavaScript/TypeScript | js/useless-type-test | 无用的类型测试 |
| CWE-398 | JavaScript/TypeScript | js/eval-call | 使用 eval |
| CWE-398 | JavaScript/TypeScript | js/node/assignment-to-exports-variable | 对 exports 变量赋值 |
| CWE-398 | JavaScript/TypeScript | js/regex/unmatchable-caret | 正则表达式中不匹配的脱字符号 |
| CWE-398 | JavaScript/TypeScript | js/regex/unmatchable-dollar | 正则表达式中不匹配的美元符号 |
| CWE-398 | JavaScript/TypeScript | js/useless-assignment-in-return | return 语句分配局部变量 |
| CWE-398 | JavaScript/TypeScript | js/unreachable-statement | 不可达的语句 |
| CWE-398 | JavaScript/TypeScript | js/trivial-conditional | 无用的条件 |
| CWE-398 | Python | py/unreachable-except | 不可达的 'except' 块 |
| CWE-398 | Python | py/comparison-of-constants | 常量的比较 |
| CWE-398 | Python | py/comparison-of-identical-expressions | 比较相同的值 |
| CWE-398 | Python | py/comparison-missing-self | 可能在比较中缺少 'self' |
| CWE-398 | Python | py/redundant-comparison | 冗余比较 |
| CWE-398 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-398 | Python | py/import-deprecated-module | 导入已弃用的模块 |
| CWE-398 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-398 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-398 | Python | py/ineffectual-statement | 语句没有效果 |
| CWE-398 | Python | py/unreachable-statement | 不可达的代码 |
| CWE-398 | Python | py/multiple-definition | 变量定义多次 |
| CWE-398 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-398 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-398 | Ruby | rb/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-398 | Ruby | rb/unused-parameter | 未使用的参数。 |
| CWE-400 | C/C++ | cpp/catch-missing-free | 泄漏的捕获 |
| CWE-400 | C/C++ | cpp/descriptor-may-not-be-closed | 打开的描述符可能未关闭 |
| CWE-400 | C/C++ | cpp/descriptor-never-closed | 打开的描述符从未关闭 |
| CWE-400 | C/C++ | cpp/file-may-not-be-closed | 打开的文件可能未关闭 |
| CWE-400 | C/C++ | cpp/file-never-closed | 打开的文件未关闭 |
| CWE-400 | C/C++ | cpp/memory-may-not-be-freed | 内存可能未释放 |
| CWE-400 | C/C++ | cpp/memory-never-freed | 内存从未释放 |
| CWE-400 | C/C++ | cpp/new-free-mismatch | new/free 或 malloc/delete 不匹配 |
| CWE-400 | C/C++ | cpp/alloca-in-loop | 循环中调用 alloca |
| CWE-400 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-400 | C/C++ | cpp/memory-leak-on-failed-call-to-realloc | realloc 调用失败时出现内存泄漏 |
| CWE-400 | C# | cs/redos | 拒绝服务,原因是将用户输入与代价高昂的正则表达式进行比较 |
| CWE-400 | C# | cs/regex-injection | 正则表达式注入 |
| CWE-400 | Go | go/uncontrolled-allocation-size | 切片内存分配的大小值过大 |
| CWE-400 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-400 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-400 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-400 | Java/Kotlin | java/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-400 | Java/Kotlin | java/redos | 效率低下的正则表达式 |
| CWE-400 | Java/Kotlin | java/regex-injection | 正则表达式注入 |
| CWE-400 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-400 | Java/Kotlin | java/local-thread-resource-abuse | 来自本地输入源的线程资源消耗不受控制 |
| CWE-400 | Java/Kotlin | java/thread-resource-abuse | 线程资源消耗不受控制 |
| CWE-400 | JavaScript/TypeScript | js/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-400 | JavaScript/TypeScript | js/redos | 效率低下的正则表达式 |
| CWE-400 | JavaScript/TypeScript | js/resource-exhaustion-from-deep-object-traversal | 深度对象遍历导致资源耗尽 |
| CWE-400 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-400 | JavaScript/TypeScript | js/regex-injection | 正则表达式注入 |
| CWE-400 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-400 | JavaScript/TypeScript | js/resource-exhaustion | 资源耗尽 |
| CWE-400 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-400 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-400 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-400 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-400 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-400 | JavaScript/TypeScript | js/regex-injection-more-sources | 使用其他启发式源的正则表达式注入 |
| CWE-400 | JavaScript/TypeScript | js/resource-exhaustion-more-sources | 使用其他启发式源的资源耗尽 |
| CWE-400 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-400 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-400 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-400 | Python | py/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-400 | Python | py/redos | 效率低下的正则表达式 |
| CWE-400 | Python | py/regex-injection | 正则表达式注入 |
| CWE-400 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-400 | Python | py/unicode-dos | 使用 Unicode 字符的拒绝服务 |
| CWE-400 | Ruby | rb/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-400 | Ruby | rb/redos | 效率低下的正则表达式 |
| CWE-400 | Ruby | rb/regexp-injection | 正则表达式注入 |
| CWE-400 | Swift | swift/redos | 效率低下的正则表达式 |
| CWE-400 | Swift | swift/regex-injection | 正则表达式注入 |
| CWE-401 | C/C++ | cpp/catch-missing-free | 泄漏的捕获 |
| CWE-401 | C/C++ | cpp/memory-may-not-be-freed | 内存可能未释放 |
| CWE-401 | C/C++ | cpp/memory-never-freed | 内存从未释放 |
| CWE-401 | C/C++ | cpp/new-free-mismatch | new/free 或 malloc/delete 不匹配 |
| CWE-401 | C/C++ | cpp/memory-leak-on-failed-call-to-realloc | realloc 调用失败时出现内存泄漏 |
| CWE-404 | C/C++ | cpp/catch-missing-free | 泄漏的捕获 |
| CWE-404 | C/C++ | cpp/descriptor-may-not-be-closed | 打开的描述符可能未关闭 |
| CWE-404 | C/C++ | cpp/descriptor-never-closed | 打开的描述符从未关闭 |
| CWE-404 | C/C++ | cpp/file-may-not-be-closed | 打开的文件可能未关闭 |
| CWE-404 | C/C++ | cpp/file-never-closed | 打开的文件未关闭 |
| CWE-404 | C/C++ | cpp/memory-may-not-be-freed | 内存可能未释放 |
| CWE-404 | C/C++ | cpp/memory-never-freed | 内存从未释放 |
| CWE-404 | C/C++ | cpp/new-free-mismatch | new/free 或 malloc/delete 不匹配 |
| CWE-404 | C/C++ | cpp/memory-leak-on-failed-call-to-realloc | realloc 调用失败时出现内存泄漏 |
| CWE-404 | C/C++ | cpp/resource-not-released-in-destructor | 资源未在析构函数中释放 |
| CWE-404 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-404 | C# | cs/member-not-disposed | 缺少 Dispose 调用 |
| CWE-404 | C# | cs/missing-dispose-method | 缺少 Dispose 方法 |
| CWE-404 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-404 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-404 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-404 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-404 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-404 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-404 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用了证书吊销检查 |
| CWE-404 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-405 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-405 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-405 | Go | go/uncontrolled-file-decompression | 不受控制的文件解压缩 |
| CWE-405 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-405 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-405 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-405 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-405 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-405 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-405 | Ruby | rb/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-405 | Ruby | rb/user-controlled-file-decompression | 用户控制的文件解压缩 |
| CWE-405 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-405 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-409 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-409 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-409 | Go | go/uncontrolled-file-decompression | 不受控制的文件解压缩 |
| CWE-409 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-409 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-409 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-409 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-409 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-409 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-409 | Ruby | rb/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-409 | Ruby | rb/user-controlled-file-decompression | 用户控制的文件解压缩 |
| CWE-409 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-409 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-413 | Java/Kotlin | java/unsynchronized-getter | 获取器和设置器的同步不一致 |
| CWE-415 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-415 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-415 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-416 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-416 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-416 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-416 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-416 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-420 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-421 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-428 | C/C++ | cpp/unsafe-create-process-call | 在调用 CreateProcess 时使用未加引号的路径的 NULL 应用程序名称 |
| CWE-434 | C# | cs/web/file-upload | 使用文件上传 |
| CWE-434 | JavaScript/TypeScript | js/http-to-file-access | 网络数据写入文件 |
| CWE-434 | Ruby | rb/http-to-file-access | 网络数据写入文件 |
| CWE-435 | C/C++ | cpp/memset-may-be-deleted | 对 memset 的调用可能会被删除 |
| CWE-435 | JavaScript/TypeScript | js/insecure-http-parser | 不安全的 http 解析器 |
| CWE-436 | JavaScript/TypeScript | js/insecure-http-parser | 不安全的 http 解析器 |
| CWE-441 | C# | cs/request-forgery | 服务器端请求伪造 |
| CWE-441 | Go | go/request-forgery | 网络请求中使用的不受控制的数据 |
| CWE-441 | Go | go/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-441 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 内容解析中使用的不受控制的数据 |
| CWE-441 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-441 | JavaScript/TypeScript | js/client-side-request-forgery | 客户端请求伪造 |
| CWE-441 | JavaScript/TypeScript | js/request-forgery | 服务器端请求伪造 |
| CWE-441 | JavaScript/TypeScript | javascript/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-441 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-441 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-441 | Ruby | rb/request-forgery | 服务器端请求伪造 |
| CWE-444 | JavaScript/TypeScript | js/insecure-http-parser | 不安全的 http 解析器 |
| CWE-451 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-451 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-454 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-456 | C/C++ | cpp/initialization-not-run | 未运行初始化代码 |
| CWE-457 | C/C++ | cpp/global-use-before-init | 全局变量可能在初始化之前使用 |
| CWE-457 | C/C++ | cpp/not-initialised | 变量在使用之前未初始化 |
| CWE-457 | C/C++ | cpp/uninitialized-local | 可能未初始化的局部变量 |
| CWE-457 | C/C++ | cpp/conditionally-uninitialized-variable | 有条件地未初始化的变量 |
| CWE-457 | C# | cs/unassigned-field | 字段从未分配非默认值 |
| CWE-457 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-459 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-459 | C# | cs/member-not-disposed | 缺少 Dispose 调用 |
| CWE-459 | C# | cs/missing-dispose-method | 缺少 Dispose 方法 |
| CWE-459 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-459 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-459 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-460 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-460 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-467 | C/C++ | cpp/suspicious-sizeof | 可疑的 'sizeof' 使用 |
| CWE-468 | C/C++ | cpp/suspicious-pointer-scaling | 可疑的指针缩放 |
| CWE-468 | C/C++ | cpp/incorrect-pointer-scaling-char | 可疑的指针缩放为 char |
| CWE-468 | C/C++ | cpp/suspicious-pointer-scaling-void | 可疑的指针缩放为 void |
| CWE-468 | C/C++ | cpp/suspicious-add-sizeof | 可疑的加法与 sizeof |
| CWE-470 | Java/Kotlin | java/android/fragment-injection | Android 碎片注入 |
| CWE-470 | Java/Kotlin | java/android/fragment-injection-preference-activity | Android PreferenceActivity 中的碎片注入 |
| CWE-470 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-470 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-471 | C# | cs/web/html-hidden-input | 使用 HTMLInputHidden |
| CWE-471 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-471 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-471 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-471 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-472 | C# | cs/web/html-hidden-input | 使用 HTMLInputHidden |
| CWE-476 | C/C++ | cpp/inconsistent-nullness-testing | 指针的空检查不一致 |
| CWE-476 | C/C++ | cpp/missing-null-test | 返回的指针未检查 |
| CWE-476 | C/C++ | cpp/inconsistent-null-check | 空检查不一致 |
| CWE-476 | C/C++ | cpp/redundant-null-check-simple | 由于先前的解引用导致的冗余空检查 |
| CWE-476 | C/C++ | cpp/deref-null-result | 来自函数结果的空解引用 |
| CWE-476 | C/C++ | cpp/redundant-null-check-param | 冗余空检查或缺少参数的空检查 |
| CWE-476 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-476 | C# | cs/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-476 | C# | cs/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-476 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-476 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用的表达式可能为 null |
| CWE-476 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-476 | JavaScript/TypeScript | js/call-to-non-callable | 调用非函数 |
| CWE-476 | JavaScript/TypeScript | js/property-access-on-non-object | 对 null 或 undefined 的属性访问 |
| CWE-477 | C# | cs/call-to-obsolete-method | 调用已弃用的方法 |
| CWE-477 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-477 | Python | py/import-deprecated-module | 导入已弃用的模块 |
| CWE-478 | C/C++ | cpp/missing-case-in-switch | switch 中缺少枚举情况 |
| CWE-478 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-478 | Java/Kotlin | java/missing-default-in-switch | switch 中缺少默认情况 |
| CWE-478 | Java/Kotlin | java/missing-case-in-switch | switch 中缺少枚举情况 |
| CWE-480 | C/C++ | cpp/assign-where-compare-meant | 赋值,本意是比较 |
| CWE-480 | C/C++ | cpp/compare-where-assign-meant | 比较,本意是赋值 |
| CWE-480 | C/C++ | cpp/incorrect-not-operator-usage | 不正确的 'not' 运算符用法 |
| CWE-480 | C/C++ | cpp/logical-operator-applied-to-flag | 对标志应用短路运算符 |
| CWE-480 | C/C++ | cpp/operator-precedence-logic-error-when-use-bitwise-logical-operations | 使用按位或逻辑运算符时的运算符优先级逻辑错误 |
| CWE-480 | C/C++ | cpp/operator-precedence-logic-error-when-use-bool-type | 使用布尔类型时的运算符优先级逻辑错误 |
| CWE-480 | C# | cs/non-short-circuit | 可能不安全的非短路逻辑使用 |
| CWE-480 | Go | go/useless-expression | 表达式没有效果 |
| CWE-480 | Go | go/redundant-operation | 相同的操作数 |
| CWE-480 | Go | go/redundant-assignment | 自我赋值 |
| CWE-480 | Java/Kotlin | java/assignment-in-boolean-expression | 布尔表达式中的赋值 |
| CWE-480 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-480 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-480 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-480 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-480 | JavaScript/TypeScript | js/deletion-of-non-property | 删除非属性 |
| CWE-481 | C/C++ | cpp/assign-where-compare-meant | 赋值,本意是比较 |
| CWE-481 | Java/Kotlin | java/assignment-in-boolean-expression | 布尔表达式中的赋值 |
| CWE-482 | C/C++ | cpp/compare-where-assign-meant | 比较,本意是赋值 |
| CWE-483 | JavaScript/TypeScript | js/misleading-indentation-of-dangling-else | 悬挂的 'else' 的误导性缩进 |
| CWE-483 | JavaScript/TypeScript | js/misleading-indentation-after-control-statement | 控制语句后的误导性缩进 |
| CWE-484 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-485 | C# | cs/class-name-comparison | 错误的类比较 |
| CWE-485 | C# | cs/cast-from-abstract-to-concrete-collection | 从抽象集合到具体集合的转换 |
| CWE-485 | C# | cs/expose-implementation | 暴露内部表示 |
| CWE-485 | C# | cs/web/debug-code | ASP.NET:残留的调试代码 |
| CWE-485 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-485 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-485 | Java/Kotlin | java/android/debuggable-attribute-enabled | Android 可调试属性已启用 |
| CWE-485 | Java/Kotlin | java/android/webview-debugging-enabled | Android Webview 调试已启用 |
| CWE-485 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-485 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-485 | Java/Kotlin | java/abstract-to-concrete-cast | 从抽象集合到具体集合的转换 |
| CWE-485 | Java/Kotlin | java/internal-representation-exposure | 暴露内部表示 |
| CWE-485 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 main 方法 |
| CWE-485 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 main 方法 |
| CWE-485 | Java/Kotlin | java/struts-development-mode | 已启用 Apache Struts 开发模式 |
| CWE-485 | JavaScript/TypeScript | js/alert-call | 调用 alert |
| CWE-485 | JavaScript/TypeScript | js/debugger-statement | 使用调试器语句 |
| CWE-485 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-485 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-485 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-485 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-486 | C# | cs/class-name-comparison | 错误的类比较 |
| CWE-489 | C# | cs/web/debug-code | ASP.NET:残留的调试代码 |
| CWE-489 | Java/Kotlin | java/android/debuggable-attribute-enabled | Android 可调试属性已启用 |
| CWE-489 | Java/Kotlin | java/android/webview-debugging-enabled | Android Webview 调试已启用 |
| CWE-489 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 main 方法 |
| CWE-489 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 main 方法 |
| CWE-489 | Java/Kotlin | java/struts-development-mode | 已启用 Apache Struts 开发模式 |
| CWE-489 | JavaScript/TypeScript | js/alert-call | 调用 alert |
| CWE-489 | JavaScript/TypeScript | js/debugger-statement | 使用调试器语句 |
| CWE-489 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-494 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-494 | JavaScript/TypeScript | js/enabling-electron-insecure-content | 启用 Electron allowRunningInsecureContent |
| CWE-494 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-494 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-497 | C/C++ | cpp/system-data-exposure | 将系统数据暴露给未经授权的控制域 |
| CWE-497 | C/C++ | cpp/potential-system-data-exposure | 将敏感系统数据暴露给未经授权的控制域的可能性 |
| CWE-497 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-497 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-497 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-497 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-497 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-497 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-499 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-501 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-502 | C# | cs/deserialized-delegate | 反序列化的委托 |
| CWE-502 | C# | cs/unsafe-deserialization | 不安全的反序列化器 |
| CWE-502 | C# | cs/unsafe-deserialization-untrusted-input | 反序列化不可信数据 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-502 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-rmi | 在远程可调用方法中进行不安全的反序列化。 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-502 | JavaScript/TypeScript | js/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-502 | JavaScript/TypeScript | js/unsafe-deserialization-more-sources | 使用其他启发式源的反序列化用户控制的数据 |
| CWE-502 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-502 | Ruby | rb/unsafe-unsafeyamldeserialization | 反序列化用户控制的 yaml 数据 |
| CWE-502 | Ruby | rb/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-506 | JavaScript/TypeScript | js/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-506 | Ruby | rb/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-521 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-521 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-522 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-522 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-522 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-522 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-522 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-522 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-522 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-522 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-522 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-522 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-522 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-523 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-524 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-532 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-532 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-532 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-532 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-532 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-532 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-532 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-538 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-538 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-538 | C# | cs/web/persistent-cookie | Cookie 安全性:持久性 Cookie |
| CWE-538 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-538 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-538 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-538 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-538 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-538 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-538 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-538 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-539 | C# | cs/web/persistent-cookie | Cookie 安全性:持久性 Cookie |
| CWE-543 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-546 | C/C++ | cpp/fixme-comment | FIXME 注释 |
| CWE-546 | C/C++ | cpp/todo-comment | TODO 注释 |
| CWE-546 | C# | cs/todo-comment | TODO 注释 |
| CWE-546 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-546 | JavaScript/TypeScript | js/todo-comment | TODO 注释 |
| CWE-548 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-548 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-548 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-552 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-552 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-552 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-552 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-552 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-552 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-552 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-552 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-552 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-552 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-552 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-555 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-555 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-560 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-561 | C/C++ | cpp/unused-static-function | 未使用的静态函数 |
| CWE-561 | C/C++ | cpp/dead-code-condition | 分支条件始终计算为相同的值 |
| CWE-561 | C/C++ | cpp/dead-code-function | 函数从未被调用 |
| CWE-561 | C/C++ | cpp/dead-code-goto | 由于 goto 或 break 语句导致的死代码 |
| CWE-561 | C/C++ | cpp/useless-expression | 表达式没有效果 |
| CWE-561 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-561 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-561 | C# | cs/unused-reftype | 死引用类型 |
| CWE-561 | C# | cs/unused-field | 未使用的字段 |
| CWE-561 | C# | cs/unused-method | 未使用的函数 |
| CWE-561 | C# | cs/useless-cast-to-self | 转换为相同类型 |
| CWE-561 | C# | cs/useless-is-before-as | 无用的 'is' 在 'as' 之前 |
| CWE-561 | C# | cs/coalesce-of-identical-expressions | 无用的 ?? 表达式 |
| CWE-561 | C# | cs/useless-type-test | 无用的类型测试 |
| CWE-561 | C# | cs/useless-upcast | 无用的向上转型 |
| CWE-561 | C# | cs/empty-collection | 容器内容从未初始化 |
| CWE-561 | C# | cs/unused-collection | 容器内容从未访问 |
| CWE-561 | C# | cs/linq/useless-select | 冗余 Select |
| CWE-561 | Go | go/comparison-of-identical-expressions | 比较相同的值 |
| CWE-561 | Go | go/duplicate-branches | 重复的 'if' 分支 |
| CWE-561 | Go | go/duplicate-condition | 重复的 'if' 条件 |
| CWE-561 | Go | go/duplicate-switch-case | 重复的 switch case |
| CWE-561 | Go | go/useless-expression | 表达式没有效果 |
| CWE-561 | Go | go/redundant-operation | 相同的操作数 |
| CWE-561 | Go | go/redundant-assignment | 自我赋值 |
| CWE-561 | Go | go/unreachable-statement | 不可达的语句 |
| CWE-561 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-561 | Java/Kotlin | java/dead-class | 死类 |
| CWE-561 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-561 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-561 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-561 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码的行数 |
| CWE-561 | Java/Kotlin | java/unused-parameter | 无用的参数 |
| CWE-561 | Java/Kotlin | java/useless-null-check | 无用的空检查 |
| CWE-561 | Java/Kotlin | java/useless-type-test | 无用的类型测试 |
| CWE-561 | Java/Kotlin | java/useless-upcast | 无用的向上转型 |
| CWE-561 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-561 | Java/Kotlin | java/unused-container | 容器内容从未访问 |
| CWE-561 | Java/Kotlin | java/constant-comparison | 无用的比较测试 |
| CWE-561 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-561 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-561 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-561 | Java/Kotlin | java/local-variable-is-never-read | 未读的局部变量 |
| CWE-561 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-561 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-561 | Java/Kotlin | java/redundant-cast | 不必要的强制转换 |
| CWE-561 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-561 | JavaScript/TypeScript | js/comparison-of-identical-expressions | 比较相同的值 |
| CWE-561 | JavaScript/TypeScript | js/comparison-with-nan | 与 NaN 的比较 |
| CWE-561 | JavaScript/TypeScript | js/duplicate-condition | 重复的 'if' 条件 |
| CWE-561 | JavaScript/TypeScript | js/duplicate-switch-case | 重复的 switch case |
| CWE-561 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-561 | JavaScript/TypeScript | js/comparison-between-incompatible-types | 不可转换类型之间的比较 |
| CWE-561 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-561 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-561 | JavaScript/TypeScript | js/unneeded-defensive-code | 不必要的防御性代码 |
| CWE-561 | JavaScript/TypeScript | js/useless-type-test | 无用的类型测试 |
| CWE-561 | JavaScript/TypeScript | js/regex/unmatchable-caret | 正则表达式中不匹配的脱字符号 |
| CWE-561 | JavaScript/TypeScript | js/regex/unmatchable-dollar | 正则表达式中不匹配的美元符号 |
| CWE-561 | JavaScript/TypeScript | js/unreachable-statement | 不可达的语句 |
| CWE-561 | JavaScript/TypeScript | js/trivial-conditional | 无用的条件 |
| CWE-561 | Python | py/unreachable-except | 不可达的 'except' 块 |
| CWE-561 | Python | py/comparison-of-constants | 常量的比较 |
| CWE-561 | Python | py/comparison-of-identical-expressions | 比较相同的值 |
| CWE-561 | Python | py/comparison-missing-self | 可能在比较中缺少 'self' |
| CWE-561 | Python | py/redundant-comparison | 冗余比较 |
| CWE-561 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-561 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-561 | Python | py/ineffectual-statement | 语句没有效果 |
| CWE-561 | Python | py/unreachable-statement | 不可达的代码 |
| CWE-563 | C/C++ | cpp/unused-local-variable | 未使用的局部变量 |
| CWE-563 | C/C++ | cpp/unused-static-variable | 未使用的静态变量 |
| CWE-563 | C/C++ | cpp/unused-variable | 变量被赋值一个从未读取的值 |
| CWE-563 | C# | cs/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-563 | Go | go/useless-assignment-to-field | 对字段的无用赋值 |
| CWE-563 | Go | go/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-563 | Java/Kotlin | java/overwritten-assignment-to-local | 分配的值被覆盖 |
| CWE-563 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-563 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-563 | JavaScript/TypeScript | js/variable-initialization-conflict | 冲突的变量初始化 |
| CWE-563 | JavaScript/TypeScript | js/function-declaration-conflict | 冲突的函数声明 |
| CWE-563 | JavaScript/TypeScript | js/useless-assignment-to-global | 对全局变量的无用赋值 |
| CWE-563 | JavaScript/TypeScript | js/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-563 | JavaScript/TypeScript | js/overwritten-property | 覆盖的属性 |
| CWE-563 | JavaScript/TypeScript | js/duplicate-property | 重复的属性 |
| CWE-563 | JavaScript/TypeScript | js/node/assignment-to-exports-variable | 对 exports 变量赋值 |
| CWE-563 | JavaScript/TypeScript | js/useless-assignment-in-return | return 语句分配局部变量 |
| CWE-563 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-563 | Python | py/multiple-definition | 变量定义多次 |
| CWE-563 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-563 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-563 | Ruby | rb/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-563 | Ruby | rb/unused-parameter | 未使用的参数。 |
| CWE-564 | Java/Kotlin | java/concatenated-sql-query | 通过与可能不可信的字符串连接构建的查询 |
| CWE-564 | Java/Kotlin | java/sql-injection | 从用户控制的源构建的查询 |
| CWE-567 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-568 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-568 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-570 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-570 | Go | go/comparison-of-identical-expressions | 比较相同的值 |
| CWE-570 | Java/Kotlin | java/constant-comparison | 无用的比较测试 |
| CWE-570 | JavaScript/TypeScript | js/comparison-of-identical-expressions | 比较相同的值 |
| CWE-570 | JavaScript/TypeScript | js/comparison-with-nan | 与 NaN 的比较 |
| CWE-570 | JavaScript/TypeScript | js/comparison-between-incompatible-types | 不可转换类型之间的比较 |
| CWE-570 | JavaScript/TypeScript | js/unneeded-defensive-code | 不必要的防御性代码 |
| CWE-570 | JavaScript/TypeScript | js/useless-type-test | 无用的类型测试 |
| CWE-570 | JavaScript/TypeScript | js/trivial-conditional | 无用的条件 |
| CWE-570 | Python | py/comparison-of-constants | 常量的比较 |
| CWE-570 | Python | py/comparison-of-identical-expressions | 比较相同的值 |
| CWE-570 | Python | py/comparison-missing-self | 可能在比较中缺少 'self' |
| CWE-570 | Python | py/redundant-comparison | 冗余比较 |
| CWE-570 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-571 | Go | go/comparison-of-identical-expressions | 比较相同的值 |
| CWE-571 | Java/Kotlin | java/constant-comparison | 无用的比较测试 |
| CWE-571 | JavaScript/TypeScript | js/comparison-of-identical-expressions | 比较相同的值 |
| CWE-571 | JavaScript/TypeScript | js/comparison-with-nan | 与 NaN 的比较 |
| CWE-571 | JavaScript/TypeScript | js/comparison-between-incompatible-types | 不可转换类型之间的比较 |
| CWE-571 | JavaScript/TypeScript | js/unneeded-defensive-code | 不必要的防御性代码 |
| CWE-571 | JavaScript/TypeScript | js/useless-type-test | 无用的类型测试 |
| CWE-571 | JavaScript/TypeScript | js/trivial-conditional | 无用的条件 |
| CWE-571 | Python | py/comparison-of-constants | 常量的比较 |
| CWE-571 | Python | py/comparison-of-identical-expressions | 比较相同的值 |
| CWE-571 | Python | py/comparison-missing-self | 可能在比较中缺少 'self' |
| CWE-571 | Python | py/redundant-comparison | 冗余比较 |
| CWE-571 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-572 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-573 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-573 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-573 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-573 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-573 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-573 | C/C++ | cpp/wrong-type-format-argument | 格式化函数的参数类型错误 |
| CWE-573 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-573 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-573 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-573 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-573 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-573 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-573 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-573 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-573 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-573 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-573 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-573 | C# | cs/inconsistent-equals-and-gethashcode | Equals(object) 和 GetHashCode() 不一致 |
| CWE-573 | C# | cs/invalid-dynamic-call | 动态调用错误 |
| CWE-573 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-573 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-573 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-573 | Java/Kotlin | java/ejb/native-code | EJB 使用本地代码 |
| CWE-573 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-573 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-573 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-573 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-573 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-573 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-573 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-573 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-573 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-573 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-573 | Java/Kotlin | java/inconsistent-equals-and-hashcode | equals 和 hashCode 不一致 |
| CWE-573 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-573 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-573 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-573 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-573 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-573 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-573 | JavaScript/TypeScript | js/superfluous-trailing-arguments | 多余的尾随参数 |
| CWE-573 | Python | py/equals-hash-mismatch | 不一致的相等性和散列 |
| CWE-573 | Python | py/call/wrong-named-class-argument | 类实例化中参数名称错误 |
| CWE-573 | Python | py/call/wrong-number-class-arguments | 类实例化中的参数数量错误 |
| CWE-573 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-573 | Python | py/call/wrong-named-argument | 调用中的参数名称错误 |
| CWE-573 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-573 | Python | py/call/wrong-arguments | 调用中的参数数量错误 |
| CWE-573 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-574 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-575 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-576 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-577 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-577 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-578 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-580 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-581 | C# | cs/inconsistent-equals-and-gethashcode | Equals(object) 和 GetHashCode() 不一致 |
| CWE-581 | Java/Kotlin | java/inconsistent-equals-and-hashcode | equals 和 hashCode 不一致 |
| CWE-581 | Python | py/equals-hash-mismatch | 不一致的相等性和散列 |
| CWE-582 | C# | cs/static-array | 容易发生改变的数组常量 |
| CWE-582 | Java/Kotlin | java/static-array | 容易发生改变的数组常量 |
| CWE-584 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-584 | JavaScript/TypeScript | js/exit-from-finally | 从 finally 中跳出 |
| CWE-584 | Python | py/exit-from-finally | 'break' 或 'return' 语句在 finally 中 |
| CWE-585 | C# | cs/empty-lock-statement | 空的锁语句 |
| CWE-585 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-592 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-592 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-592 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-592 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-592 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-592 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-592 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-592 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-592 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-595 | C# | cs/reference-equality-with-object | 对 System.Object 进行引用相等性测试 |
| CWE-595 | C# | cs/reference-equality-on-valuetypes | 对值类型表达式调用 ReferenceEquals(...) |
| CWE-595 | Java/Kotlin | java/reference-equality-with-object | 对 java.lang.Object 进行引用相等性测试 |
| CWE-595 | Java/Kotlin | java/reference-equality-of-boxed-types | 对装箱类型进行引用相等性测试 |
| CWE-595 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-597 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-598 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-598 | JavaScript/TypeScript | js/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-598 | Ruby | rb/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-600 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-601 | C# | cs/web/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-601 | Go | go/bad-redirect-check | 错误的重定向检查 |
| CWE-601 | Go | go/unvalidated-url-redirection | 打开的 URL 重定向 |
| CWE-601 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-601 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring url 重定向 |
| CWE-601 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-601 | JavaScript/TypeScript | js/server-side-unvalidated-url-redirection | 服务器端 URL 重定向 |
| CWE-601 | Python | py/url-redirection | 来自远程源的 URL 重定向 |
| CWE-601 | Ruby | rb/url-redirection | 来自远程源的 URL 重定向 |
| CWE-609 | C# | cs/unsafe-double-checked-lock | 双重检查锁不安全 |
| CWE-609 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不安全 |
| CWE-609 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-609 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-610 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | C/C++ | cpp/external-entity-expansion | XML 外部实体扩展 |
| CWE-610 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | C# | cs/web/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-610 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-610 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-610 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-610 | C# | cs/request-forgery | 服务器端请求伪造 |
| CWE-610 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | Go | go/bad-redirect-check | 错误的重定向检查 |
| CWE-610 | Go | go/unvalidated-url-redirection | 打开的 URL 重定向 |
| CWE-610 | Go | go/request-forgery | 网络请求中使用的不受控制的数据 |
| CWE-610 | Go | go/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-610 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 内容解析中使用的不受控制的数据 |
| CWE-610 | Java/Kotlin | java/android/fragment-injection | Android 碎片注入 |
| CWE-610 | Java/Kotlin | java/android/fragment-injection-preference-activity | Android PreferenceActivity 中的碎片注入 |
| CWE-610 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-610 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-610 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-610 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-610 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-610 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-610 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring url 重定向 |
| CWE-610 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-610 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-610 | JavaScript/TypeScript | js/server-side-unvalidated-url-redirection | 服务器端 URL 重定向 |
| CWE-610 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-610 | JavaScript/TypeScript | js/client-side-request-forgery | 客户端请求伪造 |
| CWE-610 | JavaScript/TypeScript | js/request-forgery | 服务器端请求伪造 |
| CWE-610 | JavaScript/TypeScript | javascript/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-610 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-610 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-610 | Python | py/url-redirection | 来自远程源的 URL 重定向 |
| CWE-610 | Python | py/xxe | XML 外部实体扩展 |
| CWE-610 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-610 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-610 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-610 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-610 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-610 | Ruby | rb/url-redirection | 来自远程源的 URL 重定向 |
| CWE-610 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-610 | Ruby | rb/request-forgery | 服务器端请求伪造 |
| CWE-610 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-610 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-611 | C/C++ | cpp/external-entity-expansion | XML 外部实体扩展 |
| CWE-611 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-611 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-611 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-611 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-611 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-611 | Python | py/xxe | XML 外部实体扩展 |
| CWE-611 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-611 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-614 | C# | cs/web/requiressl-not-set | 'requireSSL' 属性未设置为 true |
| CWE-614 | C# | cs/web/cookie-secure-not-set | 'Secure' 属性未设置为 true |
| CWE-614 | Java/Kotlin | java/insecure-cookie | 无法使用安全 Cookie |
| CWE-614 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-614 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-614 | Python | py/insecure-cookie | 无法使用安全 Cookie |
| CWE-625 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-625 | JavaScript/TypeScript | js/angular/insecure-url-whitelist | 不安全的 URL 白名单 |
| CWE-628 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-628 | C/C++ | cpp/wrong-type-format-argument | 格式化函数的参数类型错误 |
| CWE-628 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-628 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-628 | C# | cs/invalid-dynamic-call | 动态调用错误 |
| CWE-628 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-628 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-628 | JavaScript/TypeScript | js/superfluous-trailing-arguments | 多余的尾随参数 |
| CWE-628 | Python | py/call/wrong-named-class-argument | 类实例化中参数名称错误 |
| CWE-628 | Python | py/call/wrong-number-class-arguments | 类实例化中的参数数量错误 |
| CWE-628 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-628 | Python | py/call/wrong-named-argument | 调用中的参数名称错误 |
| CWE-628 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-628 | Python | py/call/wrong-arguments | 调用中的参数数量错误 |
| CWE-639 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-639 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-639 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-640 | Go | go/email-injection | 电子邮件内容注入 |
| CWE-640 | JavaScript/TypeScript | js/host-header-forgery-in-email-generation | 电子邮件生成中的主机头中毒 |
| CWE-642 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | C# | cs/web/html-hidden-input | 使用 HTMLInputHidden |
| CWE-642 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-642 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-642 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-642 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-642 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-642 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-642 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-642 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-642 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-643 | C# | cs/xml/xpath-injection | XPath 注入 |
| CWE-643 | Go | go/xml/xpath-injection | XPath 注入 |
| CWE-643 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-643 | JavaScript/TypeScript | js/xpath-injection | XPath 注入 |
| CWE-643 | JavaScript/TypeScript | js/xpath-injection-more-sources | 具有额外启发式来源的XPath注入 |
| CWE-643 | Python | py/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-643 | Python | py/xslt-injection | 使用用户控制的来源构建的XSLT查询 |
| CWE-643 | Ruby | rb/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-652 | Java/Kotlin | java/xquery-injection | 从用户控制的源构建的 XQuery 查询 |
| CWE-657 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-657 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-657 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-657 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-657 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-657 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-657 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-657 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-657 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-657 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-657 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-657 | Swift | swift/constant-password | 常量密码 |
| CWE-657 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-662 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-662 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-662 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-662 | C# | cs/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-662 | C# | cs/inconsistent-lock-sequence | 锁顺序不一致 |
| CWE-662 | C# | cs/lock-this | 在锁语句中锁定 'this' 对象 |
| CWE-662 | C# | cs/locked-wait | 在等待期间保持锁 |
| CWE-662 | C# | cs/unsynchronized-getter | 属性同步不一致 |
| CWE-662 | C# | cs/unsafe-double-checked-lock | 双重检查锁不安全 |
| CWE-662 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-662 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-662 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-662 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-662 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不安全 |
| CWE-662 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-662 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-662 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-662 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-662 | Java/Kotlin | java/non-sync-override | 同步方法的非同步覆盖 |
| CWE-662 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-662 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态下休眠 |
| CWE-662 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-662 | Java/Kotlin | java/unsynchronized-getter | 获取器和设置器的同步不一致 |
| CWE-662 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-662 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-662 | Java/Kotlin | java/wait-with-two-locks | 保持两个锁状态下等待 |
| CWE-662 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-664 | C/C++ | cpp/catch-missing-free | 泄漏的捕获 |
| CWE-664 | C/C++ | cpp/descriptor-may-not-be-closed | 打开的描述符可能未关闭 |
| CWE-664 | C/C++ | cpp/descriptor-never-closed | 打开的描述符从未关闭 |
| CWE-664 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-664 | C/C++ | cpp/file-may-not-be-closed | 打开的文件可能未关闭 |
| CWE-664 | C/C++ | cpp/file-never-closed | 打开的文件未关闭 |
| CWE-664 | C/C++ | cpp/global-use-before-init | 全局变量可能在初始化之前使用 |
| CWE-664 | C/C++ | cpp/initialization-not-run | 未运行初始化代码 |
| CWE-664 | C/C++ | cpp/memory-may-not-be-freed | 内存可能未释放 |
| CWE-664 | C/C++ | cpp/memory-never-freed | 内存从未释放 |
| CWE-664 | C/C++ | cpp/new-free-mismatch | new/free 或 malloc/delete 不匹配 |
| CWE-664 | C/C++ | cpp/not-initialised | 变量在使用之前未初始化 |
| CWE-664 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-664 | C/C++ | cpp/bad-addition-overflow-check | 对整数加法溢出的错误检查 |
| CWE-664 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-664 | C/C++ | cpp/upcast-array-pointer-arithmetic | 在指针运算中使用向上转换的数组 |
| CWE-664 | C/C++ | cpp/alloca-in-loop | 循环中调用 alloca |
| CWE-664 | C/C++ | cpp/improper-null-termination | 潜在的不正确的空终止 |
| CWE-664 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-664 | C/C++ | cpp/uninitialized-local | 可能未初始化的局部变量 |
| CWE-664 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-664 | C/C++ | cpp/self-assignment-check | 自赋值检查 |
| CWE-664 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-664 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-664 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-664 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-664 | C/C++ | cpp/cleartext-storage-buffer | 缓冲区中敏感信息的明文存储 |
| CWE-664 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-664 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-664 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-664 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-664 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-664 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-664 | C/C++ | cpp/unsafe-create-process-call | 在调用 CreateProcess 时使用未加引号的路径的 NULL 应用程序名称 |
| CWE-664 | C/C++ | cpp/conditionally-uninitialized-variable | 有条件地未初始化的变量 |
| CWE-664 | C/C++ | cpp/system-data-exposure | 将系统数据暴露给未经授权的控制域 |
| CWE-664 | C/C++ | cpp/potential-system-data-exposure | 将敏感系统数据暴露给未经授权的控制域的可能性 |
| CWE-664 | C/C++ | cpp/external-entity-expansion | XML 外部实体扩展 |
| CWE-664 | C/C++ | cpp/incorrect-string-type-conversion | 从 char* 到 wchar_t* 的转换 |
| CWE-664 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-664 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-664 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-664 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-664 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-664 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-664 | C/C++ | cpp/type-confusion | 类型混淆 |
| CWE-664 | C/C++ | cpp/work-with-file-without-permissions-rights | 在未设置权限的情况下写入文件。 |
| CWE-664 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-664 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-664 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-664 | C/C++ | cpp/pam-auth-bypass | PAM 授权绕过 |
| CWE-664 | C/C++ | cpp/private-cleartext-write | 暴露私人信息 |
| CWE-664 | C/C++ | cpp/insecure-generation-of-filename | 不安全地生成文件名。 |
| CWE-664 | C/C++ | cpp/memory-leak-on-failed-call-to-realloc | realloc 调用失败时出现内存泄漏 |
| CWE-664 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-664 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-664 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-664 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-664 | C/C++ | cpp/improper-check-return-value-scanf | 对 scanf 的返回值检查不当 |
| CWE-664 | C/C++ | cpp/resource-not-released-in-destructor | 资源未在析构函数中释放 |
| CWE-664 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-664 | C# | cs/member-not-disposed | 缺少 Dispose 调用 |
| CWE-664 | C# | cs/missing-dispose-method | 缺少 Dispose 方法 |
| CWE-664 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-664 | C# | cs/class-name-comparison | 错误的类比较 |
| CWE-664 | C# | cs/cast-from-abstract-to-concrete-collection | 从抽象集合到具体集合的转换 |
| CWE-664 | C# | cs/expose-implementation | 暴露内部表示 |
| CWE-664 | C# | cs/static-array | 容易发生改变的数组常量 |
| CWE-664 | C# | cs/web/debug-code | ASP.NET:残留的调试代码 |
| CWE-664 | C# | cs/web/html-hidden-input | 使用 HTMLInputHidden |
| CWE-664 | C# | cs/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-664 | C# | cs/inconsistent-lock-sequence | 锁顺序不一致 |
| CWE-664 | C# | cs/lock-this | 在锁语句中锁定 'this' 对象 |
| CWE-664 | C# | cs/locked-wait | 在等待期间保持锁 |
| CWE-664 | C# | cs/unsynchronized-getter | 属性同步不一致 |
| CWE-664 | C# | cs/unsafe-double-checked-lock | 双重检查锁不安全 |
| CWE-664 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-664 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-664 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-664 | C# | cs/unassigned-field | 字段从未分配非默认值 |
| CWE-664 | C# | cs/web/file-upload | 使用文件上传 |
| CWE-664 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-664 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-664 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-664 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | C# | cs/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-664 | C# | cs/sensitive-data-transmission | 通过传输的数据泄露信息 |
| CWE-664 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-664 | C# | cs/web/missing-function-level-access-control | 缺少函数级访问控制 |
| CWE-664 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-664 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-664 | C# | cs/exposure-of-sensitive-information | 暴露私人信息 |
| CWE-664 | C# | cs/session-reuse | 无法放弃会话 |
| CWE-664 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-664 | C# | cs/deserialized-delegate | 反序列化的委托 |
| CWE-664 | C# | cs/unsafe-deserialization | 不安全的反序列化器 |
| CWE-664 | C# | cs/unsafe-deserialization-untrusted-input | 反序列化不可信数据 |
| CWE-664 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-664 | C# | cs/web/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-664 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-664 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-664 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-664 | C# | cs/redos | 拒绝服务,原因是将用户输入与代价高昂的正则表达式进行比较 |
| CWE-664 | C# | cs/regex-injection | 正则表达式注入 |
| CWE-664 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-664 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-664 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-664 | C# | cs/web/broad-cookie-domain | Cookie 安全:域过于宽泛 |
| CWE-664 | C# | cs/web/broad-cookie-path | Cookie 安全:路径过于宽泛 |
| CWE-664 | C# | cs/web/persistent-cookie | Cookie 安全性:持久性 Cookie |
| CWE-664 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-664 | C# | cs/request-forgery | 服务器端请求伪造 |
| CWE-664 | Go | go/shift-out-of-range | 移位超出范围 |
| CWE-664 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | Go | go/unsafe-unzip-symlink | 解压缩包含符号链接的档案时的任意文件写入 |
| CWE-664 | Go | go/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-664 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-664 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-664 | Go | go/insecure-hostkeycallback | 使用不安全的 HostKeyCallback 实现 |
| CWE-664 | Go | go/bad-redirect-check | 错误的重定向检查 |
| CWE-664 | Go | go/unvalidated-url-redirection | 打开的 URL 重定向 |
| CWE-664 | Go | go/email-injection | 电子邮件内容注入 |
| CWE-664 | Go | go/incorrect-integer-conversion | 整数类型之间的错误转换 |
| CWE-664 | Go | go/uncontrolled-allocation-size | 切片内存分配的大小值过大 |
| CWE-664 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-664 | Go | go/request-forgery | 网络请求中使用的不受控制的数据 |
| CWE-664 | Go | go/timing-attack | 由于敏感密钥的比较导致的时间攻击 |
| CWE-664 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-664 | Go | go/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-664 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-664 | Go | go/uncontrolled-file-decompression | 不受控制的文件解压缩 |
| CWE-664 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-664 | Go | go/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-664 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-664 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-664 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-664 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-664 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-664 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-664 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-664 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不安全 |
| CWE-664 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-664 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-664 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-664 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-664 | Java/Kotlin | java/non-sync-override | 同步方法的非同步覆盖 |
| CWE-664 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-664 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态下休眠 |
| CWE-664 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-664 | Java/Kotlin | java/unsynchronized-getter | 获取器和设置器的同步不一致 |
| CWE-664 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-664 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-664 | Java/Kotlin | java/wait-with-two-locks | 保持两个锁状态下等待 |
| CWE-664 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-664 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-664 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-664 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-664 | Java/Kotlin | java/impossible-array-cast | 不可能的数组转换 |
| CWE-664 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | Java/Kotlin | java/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-664 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的 partial path traversal 漏洞 |
| CWE-664 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-664 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-664 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-664 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-664 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-664 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-664 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-664 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-664 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-664 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-664 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-664 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-664 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-664 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-664 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-664 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-664 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-664 | Java/Kotlin | java/android/insecure-local-key-gen | 为本地身份验证不安全地生成密钥 |
| CWE-664 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-664 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-664 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-664 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 明文存储敏感信息 |
| CWE-664 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-664 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 内容解析中使用的不受控制的数据 |
| CWE-664 | Java/Kotlin | java/android/fragment-injection | Android 碎片注入 |
| CWE-664 | Java/Kotlin | java/android/fragment-injection-preference-activity | Android PreferenceActivity 中的碎片注入 |
| CWE-664 | Java/Kotlin | java/android/debuggable-attribute-enabled | Android 可调试属性已启用 |
| CWE-664 | Java/Kotlin | java/android/webview-debugging-enabled | Android Webview 调试已启用 |
| CWE-664 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-664 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-664 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-664 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-664 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-664 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-664 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-664 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中的用户控制数据 |
| CWE-664 | Java/Kotlin | java/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-664 | Java/Kotlin | java/redos | 效率低下的正则表达式 |
| CWE-664 | Java/Kotlin | java/regex-injection | 正则表达式注入 |
| CWE-664 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-664 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-664 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-664 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-664 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-664 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-664 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-664 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-664 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 的验证不当 |
| CWE-664 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供程序中缺少读或写权限 |
| CWE-664 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-664 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-664 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-664 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-664 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-664 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-664 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-664 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-664 | Java/Kotlin | java/abstract-to-concrete-cast | 从抽象集合到具体集合的转换 |
| CWE-664 | Java/Kotlin | java/internal-representation-exposure | 暴露内部表示 |
| CWE-664 | Java/Kotlin | java/static-array | 容易发生改变的数组常量 |
| CWE-664 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-664 | Java/Kotlin | java/openstream-called-on-tainted-url | 对从远程源创建的 URL 调用 openStream |
| CWE-664 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-664 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-664 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-664 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-664 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-664 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-664 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-664 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-664 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-664 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-664 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-664 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证的可能时间攻击 |
| CWE-664 | Java/Kotlin | java/timing-attack-against-headers-value | 对头值的时间攻击 |
| CWE-664 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的时间攻击 |
| CWE-664 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-664 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-664 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用了证书吊销检查 |
| CWE-664 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-664 | Java/Kotlin | java/local-thread-resource-abuse | 来自本地输入源的线程资源消耗不受控制 |
| CWE-664 | Java/Kotlin | java/thread-resource-abuse | 线程资源消耗不受控制 |
| CWE-664 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-664 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-664 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 main 方法 |
| CWE-664 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 main 方法 |
| CWE-664 | Java/Kotlin | java/struts-development-mode | 已启用 Apache Struts 开发模式 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-rmi | 在远程可调用方法中进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-664 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-664 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-664 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-664 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring url 重定向 |
| CWE-664 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-664 | Java/Kotlin | java/不安全RMI JMX服务器初始化 | 不安全的RmiJmx身份验证环境 |
| CWE-664 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-664 | JavaScript/TypeScript | js/alert-call | 调用 alert |
| CWE-664 | JavaScript/TypeScript | js/unsafe-external-link | 潜在的不安全的外部链接 |
| CWE-664 | JavaScript/TypeScript | js/enabling-electron-insecure-content | 启用 Electron allowRunningInsecureContent |
| CWE-664 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-664 | JavaScript/TypeScript | js/隐式操作数转换 | 隐式操作数转换 |
| CWE-664 | JavaScript/TypeScript | js/shift-out-of-range | 移位超出范围 |
| CWE-664 | JavaScript/TypeScript | js/debugger-statement | 使用调试器语句 |
| CWE-664 | JavaScript/TypeScript | js/无效原型值 | 无效原型值 |
| CWE-664 | JavaScript/TypeScript | js/原始值上的属性赋值 | 为原始值的属性赋值 |
| CWE-664 | JavaScript/TypeScript | js/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-664 | JavaScript/TypeScript | js/redos | 效率低下的正则表达式 |
| CWE-664 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-664 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | JavaScript/TypeScript | js/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-664 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-664 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-664 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-664 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-664 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-664 | JavaScript/TypeScript | js/case-sensitive-middleware-path | 区分大小写的中间件路径 |
| CWE-664 | JavaScript/TypeScript | js/file-access-to-http | 出站网络请求中的文件数据 |
| CWE-664 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-664 | JavaScript/TypeScript | js/cross-window-information-leak | 跨窗口通信,目标来源不受限制 |
| CWE-664 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-664 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-664 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-664 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-664 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-664 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-664 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-664 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-664 | JavaScript/TypeScript | js/insecure-temporary-file | 不安全的临时文件 |
| CWE-664 | JavaScript/TypeScript | js/session-fixation | 无法放弃会话 |
| CWE-664 | JavaScript/TypeScript | js/resource-exhaustion-from-deep-object-traversal | 深度对象遍历导致资源耗尽 |
| CWE-664 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-664 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-664 | JavaScript/TypeScript | js/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | JavaScript/TypeScript | js/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-664 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-664 | JavaScript/TypeScript | js/server-side-unvalidated-url-redirection | 服务器端 URL 重定向 |
| CWE-664 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-664 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-664 | JavaScript/TypeScript | js/host-header-forgery-in-email-generation | 电子邮件生成中的主机头中毒 |
| CWE-664 | JavaScript/TypeScript | js/regex-injection | 正则表达式注入 |
| CWE-664 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-664 | JavaScript/TypeScript | js/resource-exhaustion | 资源耗尽 |
| CWE-664 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-664 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-664 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-664 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-664 | JavaScript/TypeScript | js/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-664 | JavaScript/TypeScript | js/来自不受信任来源的功能 | 包含来自不受信任来源的功能 |
| CWE-664 | JavaScript/TypeScript | js/通过参数篡改导致的类型混淆 | 通过参数篡改导致的类型混淆 |
| CWE-664 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-664 | JavaScript/TypeScript | js/http-to-file-access | 网络数据写入文件 |
| CWE-664 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-664 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-664 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-664 | JavaScript/TypeScript | js/client-side-request-forgery | 客户端请求伪造 |
| CWE-664 | JavaScript/TypeScript | js/request-forgery | 服务器端请求伪造 |
| CWE-664 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-664 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-664 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-664 | JavaScript/TypeScript | javascript/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-664 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-664 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-664 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-664 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-664 | JavaScript/TypeScript | js/unsafe-deserialization-more-sources | 使用其他启发式源的反序列化用户控制的数据 |
| CWE-664 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-664 | JavaScript/TypeScript | js/regex-injection-more-sources | 使用其他启发式源的正则表达式注入 |
| CWE-664 | JavaScript/TypeScript | js/resource-exhaustion-more-sources | 使用其他启发式源的资源耗尽 |
| CWE-664 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-664 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-664 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-664 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-664 | Python | py/列表中的隐式字符串连接 | 列表中的隐式字符串连接 |
| CWE-664 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-664 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-664 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | Python | py/tarslip | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-664 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-664 | Python | py/code-injection | 代码注入 |
| CWE-664 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-664 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-664 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-664 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-664 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-664 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-664 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | Python | py/url-redirection | 来自远程源的 URL 重定向 |
| CWE-664 | Python | py/xxe | XML 外部实体扩展 |
| CWE-664 | Python | py/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-664 | Python | py/redos | 效率低下的正则表达式 |
| CWE-664 | Python | py/regex-injection | 正则表达式注入 |
| CWE-664 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-664 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-664 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-664 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-664 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-664 | Python | py/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | Python | py/tarslip-extended | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-664 | Python | py/unsafe-unpacking | 从用户控制的源解压缩 tar 包时的任意文件写入 |
| CWE-664 | Python | py/possible-timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-664 | Python | py/timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-664 | Python | py/timing-attack-against-header-value | 对头值的时间攻击 |
| CWE-664 | Python | py/possible-timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-664 | Python | py/timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-664 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-664 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-664 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-664 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-664 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-664 | Python | py/unicode-dos | 使用 Unicode 字符的拒绝服务 |
| CWE-664 | Ruby | rb/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-664 | Ruby | rb/zip-slip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-664 | Ruby | rb/unsafe-hmac-comparison | 不安全的 HMAC 比较 |
| CWE-664 | Ruby | rb/unsafe-unsafeyamldeserialization | 反序列化用户控制的 yaml 数据 |
| CWE-664 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-664 | Ruby | rb/user-controlled-file-decompression | 用户控制的文件解压缩 |
| CWE-664 | Ruby | rb/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-664 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-664 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-664 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-664 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-664 | Ruby | rb/code-injection | 代码注入 |
| CWE-664 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-664 | Ruby | rb/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-664 | Ruby | rb/redos | 效率低下的正则表达式 |
| CWE-664 | Ruby | rb/regexp-injection | 正则表达式注入 |
| CWE-664 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-664 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-664 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-664 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-664 | Ruby | rb/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | Ruby | rb/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-664 | Ruby | rb/url-redirection | 来自远程源的 URL 重定向 |
| CWE-664 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-664 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-664 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-664 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-664 | Ruby | rb/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-664 | Ruby | rb/http-to-file-access | 网络数据写入文件 |
| CWE-664 | Ruby | rb/不安全批量赋值 | 不安全批量赋值 |
| CWE-664 | Ruby | rb/request-forgery | 服务器端请求伪造 |
| CWE-664 | Swift | swift/unsafe-unpacking | 从用户控制的源解压缩 zip 文件时的任意文件写入 |
| CWE-664 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-664 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-664 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-664 | Swift | swift/redos | 效率低下的正则表达式 |
| CWE-664 | Swift | swift/constant-password | 常量密码 |
| CWE-664 | Swift | swift/cleartext-storage-database | 本地数据库中敏感信息的明文存储 |
| CWE-664 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-664 | Swift | swift/cleartext-storage-preferences | 应用程序首选项存储中敏感信息的明文存储 |
| CWE-664 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-664 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-664 | Swift | swift/regex-injection | 正则表达式注入 |
| CWE-665 | C/C++ | cpp/global-use-before-init | 全局变量可能在初始化之前使用 |
| CWE-665 | C/C++ | cpp/initialization-not-run | 未运行初始化代码 |
| CWE-665 | C/C++ | cpp/not-initialised | 变量在使用之前未初始化 |
| CWE-665 | C/C++ | cpp/alloca-in-loop | 循环中调用 alloca |
| CWE-665 | C/C++ | cpp/improper-null-termination | 潜在的不正确的空终止 |
| CWE-665 | C/C++ | cpp/uninitialized-local | 可能未初始化的局部变量 |
| CWE-665 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-665 | C/C++ | cpp/conditionally-uninitialized-variable | 有条件地未初始化的变量 |
| CWE-665 | C# | cs/unassigned-field | 字段从未分配非默认值 |
| CWE-665 | Go | go/uncontrolled-allocation-size | 切片内存分配的大小值过大 |
| CWE-665 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-665 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-665 | Java/Kotlin | java/不安全RMI JMX服务器初始化 | 不安全的RmiJmx身份验证环境 |
| CWE-665 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-665 | JavaScript/TypeScript | js/resource-exhaustion | 资源耗尽 |
| CWE-665 | JavaScript/TypeScript | js/resource-exhaustion-more-sources | 使用其他启发式源的资源耗尽 |
| CWE-665 | Python | py/列表中的隐式字符串连接 | 列表中的隐式字符串连接 |
| CWE-665 | Python | py/unicode-dos | 使用 Unicode 字符的拒绝服务 |
| CWE-666 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-666 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-666 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-666 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-666 | C/C++ | cpp/self-assignment-check | 自赋值检查 |
| CWE-666 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-666 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-666 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-666 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-666 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-666 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-666 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-667 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-667 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-667 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-667 | C# | cs/locked-wait | 在等待期间保持锁 |
| CWE-667 | C# | cs/unsafe-double-checked-lock | 双重检查锁不安全 |
| CWE-667 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不安全 |
| CWE-667 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-667 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-667 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态下休眠 |
| CWE-667 | Java/Kotlin | java/unsynchronized-getter | 获取器和设置器的同步不一致 |
| CWE-667 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-667 | Java/Kotlin | java/wait-with-two-locks | 保持两个锁状态下等待 |
| CWE-667 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-668 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-668 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-668 | C/C++ | cpp/unsafe-create-process-call | 在调用 CreateProcess 时使用未加引号的路径的 NULL 应用程序名称 |
| CWE-668 | C/C++ | cpp/system-data-exposure | 将系统数据暴露给未经授权的控制域 |
| CWE-668 | C/C++ | cpp/potential-system-data-exposure | 将敏感系统数据暴露给未经授权的控制域的可能性 |
| CWE-668 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-668 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-668 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-668 | C/C++ | cpp/work-with-file-without-permissions-rights | 在未设置权限的情况下写入文件。 |
| CWE-668 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-668 | C/C++ | cpp/private-cleartext-write | 暴露私人信息 |
| CWE-668 | C/C++ | cpp/insecure-generation-of-filename | 不安全地生成文件名。 |
| CWE-668 | C# | cs/static-array | 容易发生改变的数组常量 |
| CWE-668 | C# | cs/web/html-hidden-input | 使用 HTMLInputHidden |
| CWE-668 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-668 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-668 | C# | cs/web/debug-binary | 创建 ASP.NET 调试二进制文件可能会泄露敏感信息 |
| CWE-668 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | C# | cs/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | C# | cs/sensitive-data-transmission | 通过传输的数据泄露信息 |
| CWE-668 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-668 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-668 | C# | cs/exposure-of-sensitive-information | 暴露私人信息 |
| CWE-668 | C# | cs/web/directory-browse-enabled | ASP.NET 配置文件启用目录浏览 |
| CWE-668 | C# | cs/web/persistent-cookie | Cookie 安全性:持久性 Cookie |
| CWE-668 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-668 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | Go | go/unsafe-unzip-symlink | 解压缩包含符号链接的档案时的任意文件写入 |
| CWE-668 | Go | go/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-668 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-668 | Go | go/timing-attack | 由于敏感密钥的比较导致的时间攻击 |
| CWE-668 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-668 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | Java/Kotlin | java/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-668 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的 partial path traversal 漏洞 |
| CWE-668 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-668 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-668 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-668 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-668 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-668 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-668 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-668 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-668 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-668 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-668 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-668 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-668 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-668 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-668 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-668 | Java/Kotlin | java/static-array | 容易发生改变的数组常量 |
| CWE-668 | Java/Kotlin | java/openstream-called-on-tainted-url | 对从远程源创建的 URL 调用 openStream |
| CWE-668 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-668 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-668 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-668 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证的可能时间攻击 |
| CWE-668 | Java/Kotlin | java/timing-attack-against-headers-value | 对头值的时间攻击 |
| CWE-668 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的时间攻击 |
| CWE-668 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-668 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-668 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-668 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-668 | JavaScript/TypeScript | js/unsafe-external-link | 潜在的不安全的外部链接 |
| CWE-668 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | JavaScript/TypeScript | js/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-668 | JavaScript/TypeScript | js/file-access-to-http | 出站网络请求中的文件数据 |
| CWE-668 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-668 | JavaScript/TypeScript | js/cross-window-information-leak | 跨窗口通信,目标来源不受限制 |
| CWE-668 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-668 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-668 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-668 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-668 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-668 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-668 | JavaScript/TypeScript | js/insecure-temporary-file | 不安全的临时文件 |
| CWE-668 | JavaScript/TypeScript | js/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-668 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-668 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-668 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-668 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-668 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-668 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | Python | py/tarslip | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-668 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-668 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-668 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-668 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-668 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-668 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-668 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-668 | Python | py/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | Python | py/tarslip-extended | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-668 | Python | py/unsafe-unpacking | 从用户控制的源解压缩 tar 包时的任意文件写入 |
| CWE-668 | Python | py/possible-timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-668 | Python | py/timing-attack-against-hash | 对哈希的时间攻击 |
| CWE-668 | Python | py/timing-attack-against-header-value | 对头值的时间攻击 |
| CWE-668 | Python | py/possible-timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-668 | Python | py/timing-attack-sensitive-info | 对密钥的时间攻击 |
| CWE-668 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-668 | Ruby | rb/zip-slip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-668 | Ruby | rb/unsafe-hmac-comparison | 不安全的 HMAC 比较 |
| CWE-668 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-668 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-668 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-668 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-668 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-668 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-668 | Ruby | rb/sensitive-get-query | 从 GET 请求中读取敏感数据 |
| CWE-668 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-668 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-668 | Swift | swift/unsafe-unpacking | 从用户控制的源解压缩 zip 文件时的任意文件写入 |
| CWE-668 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-668 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-669 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-669 | C# | cs/web/file-upload | 使用文件上传 |
| CWE-669 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-669 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-669 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-669 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-669 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-669 | JavaScript/TypeScript | js/enabling-electron-insecure-content | 启用 Electron allowRunningInsecureContent |
| CWE-669 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-669 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-669 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-669 | JavaScript/TypeScript | js/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-669 | JavaScript/TypeScript | js/来自不受信任来源的功能 | 包含来自不受信任来源的功能 |
| CWE-669 | JavaScript/TypeScript | js/http-to-file-access | 网络数据写入文件 |
| CWE-669 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-669 | Python | py/xxe | XML 外部实体扩展 |
| CWE-669 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-669 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-669 | Ruby | rb/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-669 | Ruby | rb/http-to-file-access | 网络数据写入文件 |
| CWE-669 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-670 | C/C++ | cpp/误导性缩进前的逗号 | 误导性缩进前的逗号 |
| CWE-670 | C/C++ | cpp/assign-where-compare-meant | 赋值,本意是比较 |
| CWE-670 | C/C++ | cpp/compare-where-assign-meant | 比较,本意是赋值 |
| CWE-670 | C/C++ | cpp/incorrect-not-operator-usage | 不正确的 'not' 运算符用法 |
| CWE-670 | C/C++ | cpp/logical-operator-applied-to-flag | 对标志应用短路运算符 |
| CWE-670 | C/C++ | cpp/不安全的this使用 | 在构造函数中不安全的this使用 |
| CWE-670 | C/C++ | cpp/不安全的SSL_shutdown使用 | 不安全使用SSL_shutdown。 |
| CWE-670 | C/C++ | cpp/operator-precedence-logic-error-when-use-bitwise-logical-operations | 使用按位或逻辑运算符时的运算符优先级逻辑错误 |
| CWE-670 | C/C++ | cpp/operator-precedence-logic-error-when-use-bool-type | 使用布尔类型时的运算符优先级逻辑错误 |
| CWE-670 | C# | cs/non-short-circuit | 可能不安全的非短路逻辑使用 |
| CWE-670 | Go | go/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-670 | Go | go/useless-expression | 表达式没有效果 |
| CWE-670 | Go | go/redundant-operation | 相同的操作数 |
| CWE-670 | Go | go/redundant-assignment | 自我赋值 |
| CWE-670 | Java/Kotlin | java/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-670 | Java/Kotlin | java/assignment-in-boolean-expression | 布尔表达式中的赋值 |
| CWE-670 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-670 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-670 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-670 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-670 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-670 | JavaScript/TypeScript | js/不清楚的运算符优先级 | 嵌套运算符的优先级不清楚 |
| CWE-670 | JavaScript/TypeScript | js/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-670 | JavaScript/TypeScript | js/deletion-of-non-property | 删除非属性 |
| CWE-670 | JavaScript/TypeScript | js/misleading-indentation-of-dangling-else | 悬挂的 'else' 的误导性缩进 |
| CWE-670 | JavaScript/TypeScript | js/misleading-indentation-after-control-statement | 控制语句后的误导性缩进 |
| CWE-670 | Python | py/断言元组 | 断言元组 |
| CWE-671 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-671 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-671 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-671 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-671 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-671 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-671 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-671 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-671 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-671 | Swift | swift/constant-password | 常量密码 |
| CWE-671 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-672 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-672 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-672 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-672 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-672 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-672 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-672 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-672 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-672 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-672 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-674 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-674 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-674 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-674 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-674 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-674 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-674 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-674 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-674 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-675 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-675 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-675 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-675 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-675 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-675 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-675 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-675 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-676 | C/C++ | cpp/bad-strncpy-size | 字符串复制中可能错误的缓冲区大小 |
| CWE-676 | C/C++ | cpp/suspicious-call-to-memset | 对 memset 的可疑调用 |
| CWE-676 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-676 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-676 | C/C++ | cpp/dangerous-function-overflow | 使用危险函数 |
| CWE-676 | C/C++ | cpp/dangerous-cin | 危险使用 'cin' |
| CWE-676 | C/C++ | cpp/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-676 | Java/Kotlin | java/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-676 | JavaScript/TypeScript | js/eval-like-call | 调用类似 eval 的 DOM 函数 |
| CWE-676 | JavaScript/TypeScript | js/eval-call | 使用 eval |
| CWE-681 | C/C++ | cpp/bad-addition-overflow-check | 对整数加法溢出的错误检查 |
| CWE-681 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-681 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-681 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-681 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-681 | Go | go/shift-out-of-range | 移位超出范围 |
| CWE-681 | Go | go/incorrect-integer-conversion | 整数类型之间的错误转换 |
| CWE-681 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-681 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-681 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-681 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中的用户控制数据 |
| CWE-681 | JavaScript/TypeScript | js/shift-out-of-range | 移位超出范围 |
| CWE-682 | C/C++ | cpp/overflow-calculated | 缓冲区不足以容纳字符串 |
| CWE-682 | C/C++ | cpp/overflow-destination | 使用源大小的复制函数 |
| CWE-682 | C/C++ | cpp/static-buffer-overflow | 静态数组访问可能会导致溢出 |
| CWE-682 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-682 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-682 | C/C++ | cpp/ambiguously-signed-bit-field | 符号不明确的位域成员 |
| CWE-682 | C/C++ | cpp/bad-addition-overflow-check | 对整数加法溢出的错误检查 |
| CWE-682 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-682 | C/C++ | cpp/signed-overflow-check | 有符号溢出检查 |
| CWE-682 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-682 | C/C++ | cpp/suspicious-sizeof | 可疑的 'sizeof' 使用 |
| CWE-682 | C/C++ | cpp/overrun-write | 溢出写入 |
| CWE-682 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-682 | C/C++ | cpp/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-682 | C/C++ | cpp/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-682 | C/C++ | cpp/arithmetic-with-extreme-values | 在算术表达式中使用极端值 |
| CWE-682 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-682 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-682 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-682 | C/C++ | cpp/unsigned-difference-expression-compared-zero | 无符号差值表达式与零进行比较 |
| CWE-682 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-682 | C/C++ | cpp/suspicious-pointer-scaling | 可疑的指针缩放 |
| CWE-682 | C/C++ | cpp/incorrect-pointer-scaling-char | 可疑的指针缩放为 char |
| CWE-682 | C/C++ | cpp/suspicious-pointer-scaling-void | 可疑的指针缩放为 void |
| CWE-682 | C/C++ | cpp/suspicious-add-sizeof | 可疑的加法与 sizeof |
| CWE-682 | C/C++ | cpp/multiplication-overflow-in-alloc | 乘法结果可能会溢出并用于分配 |
| CWE-682 | C/C++ | cpp/dangerous-use-of-transformation-after-operation | 危险地使用操作后的转换。 |
| CWE-682 | C/C++ | cpp/divide-by-zero-using-return-value | 使用返回值除以零 |
| CWE-682 | C/C++ | cpp/signed-bit-field | 可能的带符号位域成员 |
| CWE-682 | C# | cs/index-out-of-bounds | 与容器长度进行的“越界”比较 |
| CWE-682 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-682 | Go | go/index-out-of-bounds | 与长度进行的“越界”比较 |
| CWE-682 | Go | go/allocation-size-overflow | 分配大小计算可能会溢出 |
| CWE-682 | Go | go/incorrect-integer-conversion | 整数类型之间的错误转换 |
| CWE-682 | Go | go/divide-by-zero | 除以零 |
| CWE-682 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-682 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-682 | Java/Kotlin | java/index-out-of-bounds | 数组索引越界 |
| CWE-682 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中的用户控制数据 |
| CWE-682 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中的无控制数据 |
| CWE-682 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-682 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-682 | JavaScript/TypeScript | js/index-out-of-bounds | 与长度进行的“越界”比较 |
| CWE-682 | Swift | swift/string-length-conflation | 字符串长度混淆 |
| CWE-684 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-684 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-685 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-685 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-685 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-685 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-685 | JavaScript/TypeScript | js/superfluous-trailing-arguments | 多余的尾随参数 |
| CWE-685 | Python | py/call/wrong-number-class-arguments | 类实例化中的参数数量错误 |
| CWE-685 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-685 | Python | py/call/wrong-arguments | 调用中的参数数量错误 |
| CWE-686 | C/C++ | cpp/wrong-type-format-argument | 格式化函数的参数类型错误 |
| CWE-687 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-687 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-691 | C/C++ | cpp/误导性缩进前的逗号 | 误导性缩进前的逗号 |
| CWE-691 | C/C++ | cpp/assign-where-compare-meant | 赋值,本意是比较 |
| CWE-691 | C/C++ | cpp/compare-where-assign-meant | 比较,本意是赋值 |
| CWE-691 | C/C++ | cpp/incorrect-not-operator-usage | 不正确的 'not' 运算符用法 |
| CWE-691 | C/C++ | cpp/logical-operator-applied-to-flag | 对标志应用短路运算符 |
| CWE-691 | C/C++ | cpp/不一致的循环方向 | 不一致的for循环方向 |
| CWE-691 | C/C++ | cpp/不安全的this使用 | 在构造函数中不安全的this使用 |
| CWE-691 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-691 | C/C++ | cpp/toctou-race-condition | 检查时-使用时文件系统竞争条件 |
| CWE-691 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-691 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-691 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-691 | C/C++ | cpp/具有不可满足退出条件的无限循环 | 具有不可满足退出条件的无限循环 |
| CWE-691 | C/C++ | cpp/linux-kernel-double-fetch-vulnerability | Linux 内核双重获取漏洞检测 |
| CWE-691 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-691 | C/C++ | cpp/不安全的SSL_shutdown使用 | 不安全使用SSL_shutdown。 |
| CWE-691 | C/C++ | cpp/重构后的错误 | 重构后的错误 |
| CWE-691 | C/C++ | cpp/使用位运算时的错误 | 使用位运算时的错误 |
| CWE-691 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-691 | C/C++ | cpp/operator-precedence-logic-error-when-use-bitwise-logical-operations | 使用按位或逻辑运算符时的运算符优先级逻辑错误 |
| CWE-691 | C/C++ | cpp/operator-precedence-logic-error-when-use-bool-type | 使用布尔类型时的运算符优先级逻辑错误 |
| CWE-691 | C# | cs/catch-nullreferenceexception | 错误处理不佳:捕获 NullReferenceException |
| CWE-691 | C# | cs/常量条件 | 常量条件 |
| CWE-691 | C# | cs/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-691 | C# | cs/inconsistent-lock-sequence | 锁顺序不一致 |
| CWE-691 | C# | cs/lock-this | 在锁语句中锁定 'this' 对象 |
| CWE-691 | C# | cs/locked-wait | 在等待期间保持锁 |
| CWE-691 | C# | cs/unsynchronized-getter | 属性同步不一致 |
| CWE-691 | C# | cs/unsafe-double-checked-lock | 双重检查锁不安全 |
| CWE-691 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-691 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-691 | C# | cs/non-short-circuit | 可能不安全的非短路逻辑使用 |
| CWE-691 | C# | cs/thread-unsafe-icryptotransform-field-in-class | 线程不安全的静态 ICryptoTransform 字段使用 |
| CWE-691 | C# | cs/thread-unsafe-icryptotransform-captured-in-lambda | 线程不安全地捕获 ICryptoTransform 对象 |
| CWE-691 | C# | cs/linq/不一致的枚举 | 错误的多次迭代 |
| CWE-691 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-691 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-691 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-691 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-691 | Go | go/不一致的循环方向 | 不一致的for循环方向 |
| CWE-691 | Go | go/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-691 | Go | go/useless-expression | 表达式没有效果 |
| CWE-691 | Go | go/redundant-operation | 相同的操作数 |
| CWE-691 | Go | go/redundant-assignment | 自我赋值 |
| CWE-691 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-691 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-691 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-691 | Java/Kotlin | java/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-691 | Java/Kotlin | java/assignment-in-boolean-expression | 布尔表达式中的赋值 |
| CWE-691 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-691 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-691 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-691 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不安全 |
| CWE-691 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-691 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用的同步 |
| CWE-691 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-691 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-691 | Java/Kotlin | java/non-sync-override | 同步方法的非同步覆盖 |
| CWE-691 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-691 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态下休眠 |
| CWE-691 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-691 | Java/Kotlin | java/unsynchronized-getter | 获取器和设置器的同步不一致 |
| CWE-691 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-691 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-691 | Java/Kotlin | java/wait-with-two-locks | 保持两个锁状态下等待 |
| CWE-691 | Java/Kotlin | java/非短路求值 | 危险的非短路逻辑 |
| CWE-691 | Java/Kotlin | java/常量循环条件 | 常量循环条件 |
| CWE-691 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-691 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-691 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-691 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-691 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-691 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-691 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-691 | Java/Kotlin | java/toctou-race-condition | 检查时-使用时竞争条件 |
| CWE-691 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-691 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-691 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-691 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-691 | Java/Kotlin | java/循环中不可达的退出 | 具有不可达退出条件的循环 |
| CWE-691 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-691 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-691 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-691 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-691 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-691 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-691 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-691 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-691 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-691 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-691 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-691 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-691 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-691 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-691 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-691 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-691 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-691 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-691 | JavaScript/TypeScript | js/不清楚的运算符优先级 | 嵌套运算符的优先级不清楚 |
| CWE-691 | JavaScript/TypeScript | js/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-691 | JavaScript/TypeScript | js/deletion-of-non-property | 删除非属性 |
| CWE-691 | JavaScript/TypeScript | js/exit-from-finally | 从 finally 中跳出 |
| CWE-691 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-691 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-691 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-691 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-691 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-691 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-691 | JavaScript/TypeScript | js/file-system-race | 潜在的文件系统竞争条件 |
| CWE-691 | JavaScript/TypeScript | js/server-crash | 服务器崩溃 |
| CWE-691 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-691 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-691 | JavaScript/TypeScript | js/循环边界注入 | 循环边界注入 |
| CWE-691 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-691 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-691 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-691 | JavaScript/TypeScript | js/misleading-indentation-of-dangling-else | 悬挂的 'else' 的误导性缩进 |
| CWE-691 | JavaScript/TypeScript | js/不一致的循环方向 | 不一致的for循环方向 |
| CWE-691 | JavaScript/TypeScript | js/misleading-indentation-after-control-statement | 控制语句后的误导性缩进 |
| CWE-691 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-691 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-691 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-691 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-691 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-691 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-691 | Python | py/code-injection | 代码注入 |
| CWE-691 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-691 | Python | py/断言元组 | 断言元组 |
| CWE-691 | Python | py/exit-from-finally | 'break' 或 'return' 语句在 finally 中 |
| CWE-691 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-691 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-691 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-691 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-691 | Ruby | rb/code-injection | 代码注入 |
| CWE-691 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-691 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-691 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-691 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-691 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-693 | C/C++ | cpp/boost/tls-settings-misconfiguration | boost::asio TLS 设置配置错误 |
| CWE-693 | C/C++ | cpp/boost/use-of-deprecated-hardcoded-security-protocol | boost::asio 使用已弃用的硬编码协议 |
| CWE-693 | C/C++ | cpp/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | C/C++ | cpp/count-untrusted-data-external-api-ir | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | C/C++ | cpp/untrusted-data-to-external-api-ir | 将不可信数据传递给外部 API |
| CWE-693 | C/C++ | cpp/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | C/C++ | cpp/uncontrolled-process-operation | 不受控制的进程操作 |
| CWE-693 | C/C++ | cpp/unclear-array-index-validation | 数组索引验证不明确 |
| CWE-693 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-693 | C/C++ | cpp/user-controlled-bypass | 通过欺骗绕过身份验证 |
| CWE-693 | C/C++ | cpp/certificate-result-conflation | 证书结果混淆 |
| CWE-693 | C/C++ | cpp/certificate-not-checked | 未检查证书 |
| CWE-693 | C/C++ | cpp/cleartext-storage-buffer | 缓冲区中敏感信息的明文存储 |
| CWE-693 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-693 | C/C++ | cpp/cleartext-transmission | 敏感信息的明文传输 |
| CWE-693 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-693 | C/C++ | cpp/non-https-url | 无法使用 HTTPS URL |
| CWE-693 | C/C++ | cpp/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-693 | C/C++ | cpp/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-693 | C/C++ | cpp/openssl-heartbleed | 使用受心脏滴血漏洞影响的 OpenSSL 版本 |
| CWE-693 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-693 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-693 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-693 | C/C++ | cpp/受污染的权限检查 | 条件的不可信输入 |
| CWE-693 | C/C++ | cpp/late-check-of-function-argument | 函数参数的延迟检查 |
| CWE-693 | C/C++ | cpp/linux-kernel-no-check-before-unsafe-put-user | Linux 内核在 unsafe_put_user 之前未进行检查的漏洞检测 |
| CWE-693 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-693 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-693 | C/C++ | cpp/pam-auth-bypass | PAM 授权绕过 |
| CWE-693 | C/C++ | cpp/unknown-asymmetric-key-gen-size | 未知密钥生成密钥大小 |
| CWE-693 | C/C++ | cpp/weak-asymmetric-key-gen-size | 弱非对称密钥生成密钥大小(< 2048 位) |
| CWE-693 | C/C++ | cpp/weak-block-mode | 弱分组模式 |
| CWE-693 | C/C++ | cpp/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-693 | C/C++ | cpp/weak-crypto/banned-encryption-algorithms | 弱密码学 |
| CWE-693 | C/C++ | cpp/weak-crypto/banned-hash-algorithms | 弱密码学 |
| CWE-693 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-693 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-693 | C# | cs/web/ambiguous-client-variable | 值遮蔽 |
| CWE-693 | C# | cs/web/ambiguous-server-variable | 值遮蔽:服务器变量 |
| CWE-693 | C# | cs/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | C# | cs/serialization-check-bypass | 序列化检查绕过 |
| CWE-693 | C# | cs/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | C# | cs/xml/missing-validation | 缺少 XML 验证 |
| CWE-693 | C# | cs/assembly-path-injection | 程序集路径注入 |
| CWE-693 | C# | cs/web/missing-function-level-access-control | 缺少函数级访问控制 |
| CWE-693 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-693 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-693 | C# | cs/adding-cert-to-root-store | 不要将证书添加到系统根存储区。 |
| CWE-693 | C# | cs/insecure-sql-connection | 不安全的 SQL 连接 |
| CWE-693 | C# | cs/web/missing-token-validation | 缺少跨站点请求伪造令牌验证 |
| CWE-693 | C# | cs/session-reuse | 无法放弃会话 |
| CWE-693 | C# | cs/web/requiressl-not-set | 'requireSSL' 属性未设置为 true |
| CWE-693 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-693 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-693 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-693 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-693 | C# | cs/web/broad-cookie-domain | Cookie 安全:域过于宽泛 |
| CWE-693 | C# | cs/web/broad-cookie-path | Cookie 安全:路径过于宽泛 |
| CWE-693 | C# | cs/ecb-encryption | 使用 ECB 加密 |
| CWE-693 | C# | cs/inadequate-rsa-padding | 弱加密:RSA 填充不足 |
| CWE-693 | C# | cs/insufficient-key-size | 弱加密:密钥长度不足 |
| CWE-693 | C# | cs/weak-encryption | 弱加密 |
| CWE-693 | C# | cs/azure-storage/unsafe-usage-of-client-side-encryption-version | 不安全地使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-693 | C# | cs/web/cookie-secure-not-set | 'Secure' 属性未设置为 true |
| CWE-693 | C# | cs/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-693 | Go | go/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | Go | go/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-693 | Go | go/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-693 | Go | go/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-693 | Go | go/suspicious-character-in-regex | 正则表达式中的可疑字符 |
| CWE-693 | Go | go/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | Go | go/untrusted-data-to-unknown-external-api | 将不可信数据传递给未知的外部 API |
| CWE-693 | Go | go/disabled-certificate-check | 禁用的 TLS 证书检查 |
| CWE-693 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-693 | Go | go/insecure-hostkeycallback | 使用不安全的 HostKeyCallback 实现 |
| CWE-693 | Go | go/weak-crypto-key | 使用弱加密密钥 |
| CWE-693 | Go | go/insecure-tls | 不安全的 TLS 配置 |
| CWE-693 | Go | go/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-693 | Go | go/constant-oauth2-state | 在 OAuth 2.0 URL 中使用常量state 值 |
| CWE-693 | Go | go/email-injection | 电子邮件内容注入 |
| CWE-693 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-693 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-693 | Go | go/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-693 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-693 | Go | go/weak-crypto-algorithm | 使用弱加密算法 |
| CWE-693 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-693 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-693 | Java/Kotlin | java/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | Java/Kotlin | java/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | Java/Kotlin | java/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的大小进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定大小进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-693 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-693 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-693 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-693 | Java/Kotlin | java/android/insecure-local-key-gen | 为本地身份验证不安全地生成密钥 |
| CWE-693 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-693 | Java/Kotlin | java/android/missing-certificate-pinning | Android 缺少证书固定 |
| CWE-693 | Java/Kotlin | java/improper-webview-certificate-validation | Android WebView 接受所有证书 |
| CWE-693 | Java/Kotlin | java/insecure-trustmanager | TrustManager 接受所有证书 |
| CWE-693 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-693 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-693 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 明文存储敏感信息 |
| CWE-693 | Java/Kotlin | java/non-https-url | 无法使用 HTTPS URL |
| CWE-693 | Java/Kotlin | java/non-ssl-connection | 无法使用 SSL |
| CWE-693 | Java/Kotlin | java/non-ssl-socket-factory | 无法使用 SSL 套接字工厂 |
| CWE-693 | Java/Kotlin | java/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-693 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-693 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-693 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-693 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-693 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-693 | Java/Kotlin | java/insecure-basic-auth | 不安全的基本身份验证 |
| CWE-693 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-693 | Java/Kotlin | java/insecure-cookie | 无法使用安全 Cookie |
| CWE-693 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-693 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-693 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-693 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-693 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-693 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-693 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 的验证不当 |
| CWE-693 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供程序中缺少读或写权限 |
| CWE-693 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-693 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-693 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-693 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-693 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-693 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-693 | Java/Kotlin | java/jxbrowser/disabled-certificate-validation | JxBrowser 禁用了证书验证 |
| CWE-693 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-693 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-693 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用了证书吊销检查 |
| CWE-693 | Java/Kotlin | java/azure-storage/unsafe-client-side-encryption-in-use | 不安全地使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-693 | Java/Kotlin | java/unsafe-tls-version | 不安全的 TLS 版本 |
| CWE-693 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-693 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-693 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-693 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-693 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-693 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-693 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-693 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-693 | JavaScript/TypeScript | js/angular/insecure-url-whitelist | 不安全的 URL 白名单 |
| CWE-693 | JavaScript/TypeScript | js/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-693 | JavaScript/TypeScript | js/incorrect-suffix-check | 后缀检查不正确 |
| CWE-693 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-693 | JavaScript/TypeScript | js/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-693 | JavaScript/TypeScript | js/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | JavaScript/TypeScript | js/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | JavaScript/TypeScript | js/useless-regexp-character-escape | 无用的正则表达式字符转义 |
| CWE-693 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-693 | JavaScript/TypeScript | js/double-escaping | 双重转义或取消转义 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-693 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-693 | JavaScript/TypeScript | js/exposure-of-private-files | 暴露私有文件 |
| CWE-693 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-693 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-693 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-693 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-693 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-693 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-693 | JavaScript/TypeScript | js/insufficient-key-size | 使用弱加密密钥 |
| CWE-693 | JavaScript/TypeScript | js/biased-cryptographic-random | 从加密安全的来源创建有偏差的随机数 |
| CWE-693 | JavaScript/TypeScript | js/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-693 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-693 | JavaScript/TypeScript | js/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-693 | JavaScript/TypeScript | js/missing-token-validation | 缺少 CSRF 中间件 |
| CWE-693 | JavaScript/TypeScript | js/session-fixation | 无法放弃会话 |
| CWE-693 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-693 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-693 | JavaScript/TypeScript | js/host-header-forgery-in-email-generation | 电子邮件生成中的主机头中毒 |
| CWE-693 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-693 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-693 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-693 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-693 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-693 | JavaScript/TypeScript | js/insufficient-password-hash | 使用计算量不足的密码哈希 |
| CWE-693 | JavaScript/TypeScript | js/decode-jwt-without-verification | JWT 缺少密钥或公钥验证 |
| CWE-693 | JavaScript/TypeScript | js/decode-jwt-without-verification-local-source | JWT 缺少密钥或公钥验证 |
| CWE-693 | JavaScript/TypeScript | js/user-controlled-data-decompression | 用户控制的文件解压缩 |
| CWE-693 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-693 | JavaScript/TypeScript | js/untrusted-data-to-external-api-more-sources | 将不可信数据传递给外部 API(具有其他启发式来源) |
| CWE-693 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-693 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-693 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-693 | Python | py/count-untrusted-data-external-api | 使用不可信数据调用外部 API 的频率统计 |
| CWE-693 | Python | py/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | Python | py/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-693 | Python | py/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-693 | Python | py/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-693 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-693 | Python | py/paramiko-missing-host-key-validation | 使用 Paramiko 时接受未知 SSH 主机密钥 |
| CWE-693 | Python | py/request-without-cert-validation | 未经证书验证的请求 |
| CWE-693 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-693 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-693 | Python | py/weak-crypto-key | 使用弱加密密钥 |
| CWE-693 | Python | py/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-693 | Python | py/insecure-default-protocol | SSL/TLS 的默认版本可能不安全 |
| CWE-693 | Python | py/insecure-protocol | 使用不安全的 SSL/TLS 版本 |
| CWE-693 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-693 | Python | py/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-693 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-693 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-693 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-693 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-693 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-693 | Python | py/azure-storage/unsafe-client-side-encryption-in-use | 不安全地使用 Azure 存储客户端侧加密的 v1 版本。 |
| CWE-693 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-693 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-693 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-693 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-693 | Python | py/insecure-cookie | 无法使用安全 Cookie |
| CWE-693 | Python | py/unknown-asymmetric-key-gen-size | 未知密钥生成密钥大小 |
| CWE-693 | Python | py/weak-asymmetric-key-gen-size | 弱密钥生成密钥大小(< 2048 位) |
| CWE-693 | Python | py/weak-block-mode | 弱分组模式 |
| CWE-693 | Python | py/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-693 | Python | py/weak-hashes | 弱哈希 |
| CWE-693 | Python | py/weak-symmetric-encryption | 弱对称加密算法 |
| CWE-693 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-693 | Ruby | rb/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-693 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-693 | Ruby | rb/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-693 | Ruby | rb/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-693 | Ruby | rb/incomplete-url-substring-sanitization | URL 子字符串清理不完整 |
| CWE-693 | Ruby | rb/regex/badly-anchored-regexp | 锚点设置不当的正则表达式 |
| CWE-693 | Ruby | rb/regex/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-693 | Ruby | rb/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-693 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-693 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-693 | Ruby | rb/request-without-cert-validation | 未经证书验证的请求 |
| CWE-693 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-693 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-693 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-693 | Ruby | rb/weak-cryptographic-algorithm | 使用已损坏或弱加密算法 |
| CWE-693 | Ruby | rb/csrf-protection-disabled | CSRF 保护被削弱或禁用 |
| CWE-693 | Ruby | rb/csrf-protection-not-enabled | 未启用 CSRF 保护 |
| CWE-693 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-693 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-693 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-693 | Swift | swift/incomplete-hostname-regexp | 主机名正则表达式不完整 |
| CWE-693 | Swift | swift/missing-regexp-anchor | 缺少正则表达式锚点 |
| CWE-693 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-693 | Swift | swift/constant-password | 常量密码 |
| CWE-693 | Swift | swift/cleartext-storage-database | 本地数据库中敏感信息的明文存储 |
| CWE-693 | Swift | swift/cleartext-transmission | 敏感信息的明文传输 |
| CWE-693 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-693 | Swift | swift/cleartext-storage-preferences | 应用程序首选项存储中敏感信息的明文存储 |
| CWE-693 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-693 | Swift | swift/ecb-encryption | 使用 ECB 加密 |
| CWE-693 | Swift | swift/weak-password-hashing | 对密码使用不合适的加密哈希算法 |
| CWE-693 | Swift | swift/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-693 | Swift | swift/不安全的TLS | 不安全的 TLS 配置 |
| CWE-693 | Swift | swift/constant-salt | 使用常量盐 |
| CWE-693 | Swift | swift/insufficient-hash-iterations | 哈希迭代次数不足 |
| CWE-695 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-695 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-695 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-695 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-696 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-696 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-697 | C/C++ | cpp/missing-case-in-switch | switch 中缺少枚举情况 |
| CWE-697 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-697 | C# | cs/class-name-comparison | 错误的类比较 |
| CWE-697 | C# | cs/reference-equality-with-object | 对 System.Object 进行引用相等性测试 |
| CWE-697 | C# | cs/reference-equality-on-valuetypes | 对值类型表达式调用 ReferenceEquals(...) |
| CWE-697 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-697 | Java/Kotlin | java/missing-default-in-switch | switch 中缺少默认情况 |
| CWE-697 | Java/Kotlin | java/reference-equality-with-object | 对 java.lang.Object 进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/reference-equality-of-boxed-types | 对装箱类型进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/missing-case-in-switch | switch 中缺少枚举情况 |
| CWE-697 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-697 | JavaScript/TypeScript | js/angular/insecure-url-whitelist | 不安全的 URL 白名单 |
| CWE-697 | JavaScript/TypeScript | js/incomplete-url-scheme-check | URL 方案检查不完整 |
| CWE-697 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-697 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-697 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-697 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-697 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-697 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-697 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-703 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-703 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-703 | C/C++ | cpp/return-value-ignored | 忽略函数的返回值 |
| CWE-703 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-703 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-703 | C/C++ | cpp/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-703 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-703 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-703 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-703 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-703 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-703 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-703 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-703 | C/C++ | cpp/improper-check-return-value-scanf | 对 scanf 的返回值检查不当 |
| CWE-703 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-703 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-703 | C# | cs/unchecked-return-value | 未检查的返回值 |
| CWE-703 | C# | cs/catch-nullreferenceexception | 错误处理不佳:捕获 NullReferenceException |
| CWE-703 | C# | cs/empty-catch-block | 错误处理不佳:空 catch 块 |
| CWE-703 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-703 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-703 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-703 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-703 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-703 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-703 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-703 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-703 | Java/Kotlin | java/discarded-exception | 丢弃的异常 |
| CWE-703 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-703 | Java/Kotlin | java/ignored-error-status-of-call | 忽略调用的错误状态 |
| CWE-703 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-703 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-703 | Java/Kotlin | java/android/nfe-local-android-dos | NumberFormatException 导致的本地Android拒绝服务攻击 |
| CWE-703 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-703 | JavaScript/TypeScript | js/server-crash | 服务器崩溃 |
| CWE-703 | JavaScript/TypeScript | js/未验证的动态方法调用 | 未验证的动态方法调用 |
| CWE-703 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-703 | Python | py/empty-except | 空的 except |
| CWE-703 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-703 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-703 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-704 | C/C++ | cpp/bad-addition-overflow-check | 对整数加法溢出的错误检查 |
| CWE-704 | C/C++ | cpp/integer-multiplication-cast-to-long | 乘法结果转换为更大类型 |
| CWE-704 | C/C++ | cpp/upcast-array-pointer-arithmetic | 在指针运算中使用向上转换的数组 |
| CWE-704 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-704 | C/C++ | cpp/integer-overflow-tainted | 潜在的整数算术溢出 |
| CWE-704 | C/C++ | cpp/incorrect-string-type-conversion | 从 char* 到 wchar_t* 的转换 |
| CWE-704 | C/C++ | cpp/type-confusion | 类型混淆 |
| CWE-704 | C# | cs/loss-of-precision | 可能精度丢失 |
| CWE-704 | Go | go/shift-out-of-range | 移位超出范围 |
| CWE-704 | Go | go/incorrect-integer-conversion | 整数类型之间的错误转换 |
| CWE-704 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-704 | Java/Kotlin | java/integer-multiplication-cast-to-long | 乘法结果转换为更宽的类型 |
| CWE-704 | Java/Kotlin | java/impossible-array-cast | 不可能的数组转换 |
| CWE-704 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-704 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中的用户控制数据 |
| CWE-704 | JavaScript/TypeScript | js/隐式操作数转换 | 隐式操作数转换 |
| CWE-704 | JavaScript/TypeScript | js/shift-out-of-range | 移位超出范围 |
| CWE-704 | JavaScript/TypeScript | js/无效原型值 | 无效原型值 |
| CWE-704 | JavaScript/TypeScript | js/原始值上的属性赋值 | 为原始值的属性赋值 |
| CWE-704 | JavaScript/TypeScript | js/通过参数篡改导致的类型混淆 | 通过参数篡改导致的类型混淆 |
| CWE-705 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-705 | C# | cs/catch-nullreferenceexception | 错误处理不佳:捕获 NullReferenceException |
| CWE-705 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-705 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-705 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-705 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-705 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-705 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-705 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-705 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-705 | JavaScript/TypeScript | js/exit-from-finally | 从 finally 中跳出 |
| CWE-705 | JavaScript/TypeScript | js/server-crash | 服务器崩溃 |
| CWE-705 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-705 | Python | py/exit-from-finally | 'break' 或 'return' 语句在 finally 中 |
| CWE-706 | C/C++ | cpp/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | C# | cs/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-706 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-706 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-706 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | Go | go/unsafe-unzip-symlink | 解压缩包含符号链接的档案时的任意文件写入 |
| CWE-706 | Go | go/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | Java/Kotlin | java/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | Java/Kotlin | java/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-706 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的 partial path traversal 漏洞 |
| CWE-706 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-706 | Java/Kotlin | java/openstream-called-on-tainted-url | 对从远程源创建的 URL 调用 openStream |
| CWE-706 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | JavaScript/TypeScript | js/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | JavaScript/TypeScript | js/case-sensitive-middleware-path | 区分大小写的中间件路径 |
| CWE-706 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-706 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-706 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | Python | py/tarslip | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-706 | Python | py/xxe | XML 外部实体扩展 |
| CWE-706 | Python | py/zipslip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | Python | py/tarslip-extended | 在解压缩 tar 文件时进行任意文件写入 |
| CWE-706 | Python | py/unsafe-unpacking | 从用户控制的源解压缩 tar 包时的任意文件写入 |
| CWE-706 | Ruby | rb/zip-slip | 在解压缩档案时进行任意文件访问(“Zip Slip”) |
| CWE-706 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-706 | Swift | swift/unsafe-unpacking | 从用户控制的源解压缩 zip 文件时的任意文件写入 |
| CWE-706 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-706 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-707 | C/C++ | cpp/non-constant-format | 非常量格式字符串 |
| CWE-707 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-707 | C/C++ | cpp/improper-null-termination | 潜在的不正确的空终止 |
| CWE-707 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-707 | C/C++ | cpp/command-line-injection | 在 OS 命令中使用了不受控制的数据 |
| CWE-707 | C/C++ | cpp/cgi-xss | 易受跨站脚本攻击的 CGI 脚本 |
| CWE-707 | C/C++ | cpp/sql-injection | SQL 查询中使用了不受控制的数据 |
| CWE-707 | C/C++ | cpp/tainted-format-string | 不受控制的格式字符串 |
| CWE-707 | C/C++ | cpp/user-controlled-null-termination-tainted | 用户控制的数据可能未进行空终止 |
| CWE-707 | C/C++ | cpp/wordexp-injection | 在 wordexp 命令中使用了不受控制的数据 |
| CWE-707 | C# | cs/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | C# | cs/command-line-injection | 不受控制的命令行 |
| CWE-707 | C# | cs/web/xss | 跨站脚本攻击 |
| CWE-707 | C# | cs/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-707 | C# | cs/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-707 | C# | cs/xml-injection | XML 注入 |
| CWE-707 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-707 | C# | cs/resource-injection | 资源注入 |
| CWE-707 | C# | cs/log-forging | 使用用户输入创建日志条目 |
| CWE-707 | C# | cs/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-707 | C# | cs/xml/xpath-injection | XPath 注入 |
| CWE-707 | C# | cs/inappropriate-encoding | 不合适的编码 |
| CWE-707 | C# | cs/web/disabled-header-checking | 已禁用标头检查 |
| CWE-707 | C# | cs/webclient-path-injection | 在 WebClient 中使用了不受控制的数据 |
| CWE-707 | Go | go/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | Go | go/command-injection | 从用户控制的源构建的命令 |
| CWE-707 | Go | go/stored-command | 从存储数据构建的命令 |
| CWE-707 | Go | go/reflected-xss | 反射型跨站脚本攻击 |
| CWE-707 | Go | go/stored-xss | 存储型跨站脚本攻击 |
| CWE-707 | Go | go/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-707 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-707 | Go | go/log-injection | 使用用户输入创建日志条目 |
| CWE-707 | Go | go/xml/xpath-injection | XPath 注入 |
| CWE-707 | Go | go/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-707 | Go | go/dsn-injection | 从用户控制的源构建的 SQL 数据源 URI |
| CWE-707 | Go | go/dsn-injection-local | 从本地用户控制的源构建的 SQL 数据源 URI |
| CWE-707 | Go | go/html-template-escaping-passthrough | HTML 模板转义直通 |
| CWE-707 | Java/Kotlin | java/jndi-injection | 具有用户控制的名称的 JNDI 查找 |
| CWE-707 | Java/Kotlin | java/xslt-injection | 使用用户控制的样式表进行 XSLT 转换 |
| CWE-707 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-707 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-707 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-707 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-707 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 公开访问 Java 对象方法 |
| CWE-707 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-707 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-707 | Java/Kotlin | java/concatenated-sql-query | 通过与可能不可信的字符串连接构建的查询 |
| CWE-707 | Java/Kotlin | java/sql-injection | 从用户控制的源构建的查询 |
| CWE-707 | Java/Kotlin | java/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-707 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-707 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-707 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-707 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-707 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-707 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-707 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-707 | Java/Kotlin | java/netty-http-request-or-response-splitting | 已禁用 Netty HTTP 标头验证 |
| CWE-707 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-707 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-707 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-707 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-707 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-707 | Java/Kotlin | java/ognl-injection | 具有用户控制的输入的 OGNL 表达式语言语句 |
| CWE-707 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-707 | Java/Kotlin | java/command-line-injection-extra | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-707 | Java/Kotlin | java/command-line-injection-extra-local | 对 Runtime.exec() 的命令注入(使用危险命令) |
| CWE-707 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-707 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-707 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-707 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-707 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-707 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-707 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-707 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-707 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-707 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-707 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-707 | Java/Kotlin | java/xquery-injection | 从用户控制的源构建的 XQuery 查询 |
| CWE-707 | JavaScript/TypeScript | js/angular/disabling-sce | 禁用 SCE |
| CWE-707 | JavaScript/TypeScript | js/disabling-electron-websecurity | 禁用 Electron webSecurity |
| CWE-707 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-707 | JavaScript/TypeScript | js/identity-replacement | 用自身替换子字符串 |
| CWE-707 | JavaScript/TypeScript | js/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-707 | JavaScript/TypeScript | js/command-line-injection | 不受控制的命令行 |
| CWE-707 | JavaScript/TypeScript | js/indirect-command-line-injection | 间接不受控制的命令行 |
| CWE-707 | JavaScript/TypeScript | js/second-order-command-line-injection | 二阶命令注入 |
| CWE-707 | JavaScript/TypeScript | js/shell-command-injection-from-environment | 从环境值构建的 shell 命令 |
| CWE-707 | JavaScript/TypeScript | js/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-707 | JavaScript/TypeScript | js/unnecessary-use-of-cat | 不必要地使用 cat 进程 |
| CWE-707 | JavaScript/TypeScript | js/xss-through-exception | 将异常文本重新解释为 HTML |
| CWE-707 | JavaScript/TypeScript | js/reflected-xss | 反射型跨站脚本攻击 |
| CWE-707 | JavaScript/TypeScript | js/stored-xss | 存储型跨站脚本攻击 |
| CWE-707 | JavaScript/TypeScript | js/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-707 | JavaScript/TypeScript | js/unsafe-jquery-plugin | 不安全的 jQuery 插件 |
| CWE-707 | JavaScript/TypeScript | js/xss | 客户端跨站脚本攻击 |
| CWE-707 | JavaScript/TypeScript | js/xss-through-dom | 将 DOM 文本重新解释为 HTML |
| CWE-707 | JavaScript/TypeScript | js/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-707 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-707 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-707 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-707 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-707 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-707 | JavaScript/TypeScript | js/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-707 | JavaScript/TypeScript | js/double-escaping | 双重转义或取消转义 |
| CWE-707 | JavaScript/TypeScript | js/incomplete-html-attribute-sanitization | HTML 属性清理不完整 |
| CWE-707 | JavaScript/TypeScript | js/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-707 | JavaScript/TypeScript | js/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-707 | JavaScript/TypeScript | js/unsafe-html-expansion | 自闭合 HTML 标记的不安全扩展 |
| CWE-707 | JavaScript/TypeScript | js/log-injection | 日志注入 |
| CWE-707 | JavaScript/TypeScript | js/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-707 | JavaScript/TypeScript | js/client-side-unvalidated-url-redirection | 客户端 URL 重定向 |
| CWE-707 | JavaScript/TypeScript | js/xpath-injection | XPath 注入 |
| CWE-707 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-707 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-707 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-707 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-707 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-707 | JavaScript/TypeScript | js/env-key-and-value-injection | 用户控制的任意环境变量注入 |
| CWE-707 | JavaScript/TypeScript | js/env-value-injection | 用户控制的环境变量值注入 |
| CWE-707 | JavaScript/TypeScript | js/command-line-injection-more-sources | 具有额外启发式来源的无控制命令行 |
| CWE-707 | JavaScript/TypeScript | js/xss-more-sources | 具有额外启发式来源的客户端跨站脚本 |
| CWE-707 | JavaScript/TypeScript | js/sql-injection-more-sources | 使用用户控制的来源构建的数据库查询,并带有额外的启发式来源 |
| CWE-707 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-707 | JavaScript/TypeScript | js/log-injection-more-sources | 具有额外启发式来源的日志注入 |
| CWE-707 | JavaScript/TypeScript | js/tainted-format-string-more-sources | 使用外部控制的格式字符串,并带有额外的启发式来源 |
| CWE-707 | JavaScript/TypeScript | js/xpath-injection-more-sources | 具有额外启发式来源的XPath注入 |
| CWE-707 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-707 | Python | py/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-707 | Python | py/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-707 | Python | py/jinja2/autoescape-false | Jinja2 模板,autoescape=False |
| CWE-707 | Python | py/reflective-xss | 反射型服务器端跨站脚本 |
| CWE-707 | Python | py/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-707 | Python | py/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-707 | Python | py/code-injection | 代码注入 |
| CWE-707 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-707 | Python | py/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-707 | Python | py/log-injection | 日志注入 |
| CWE-707 | Python | py/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-707 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-707 | Python | py/template-injection | 服务器端模板注入 |
| CWE-707 | Python | py/paramiko-command-injection | 在辅助远程服务器上执行命令 |
| CWE-707 | Python | py/reflective-xss-email | 反射型服务器端跨站脚本 |
| CWE-707 | Python | py/xslt-injection | 使用用户控制的来源构建的XSLT查询 |
| CWE-707 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-707 | Ruby | rb/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-707 | Ruby | rb/ldap-injection | LDAP 注入 |
| CWE-707 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-707 | Ruby | rb/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-707 | Ruby | rb/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | Ruby | rb/command-line-injection | 不受控制的命令行 |
| CWE-707 | Ruby | rb/kernel-open | 使用用户控制的输入调用 Kernel.open、IO.read 或类似的接收器 |
| CWE-707 | Ruby | rb/non-constant-kernel-open | 使用非常量值调用 Kernel.open 或 IO.read 或类似的接收器 |
| CWE-707 | Ruby | rb/shell-command-constructed-from-input | 从库输入构建的不安全的 shell 命令 |
| CWE-707 | Ruby | rb/reflected-xss | 反射型服务器端跨站脚本 |
| CWE-707 | Ruby | rb/stored-xss | 存储型跨站脚本攻击 |
| CWE-707 | Ruby | rb/html-constructed-from-input | 从库输入构建的不安全的 HTML |
| CWE-707 | Ruby | rb/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-707 | Ruby | rb/code-injection | 代码注入 |
| CWE-707 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-707 | Ruby | rb/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-707 | Ruby | rb/incomplete-multi-character-sanitization | 多字符清理不完整 |
| CWE-707 | Ruby | rb/incomplete-sanitization | 字符串转义或编码不完整 |
| CWE-707 | Ruby | rb/log-injection | 日志注入 |
| CWE-707 | Ruby | rb/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-707 | Swift | swift/path-injection | 路径表达式中使用了不受控制的数据 |
| CWE-707 | Swift | swift/command-line-injection | 使用用户控制的来源构建的系统命令 |
| CWE-707 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-707 | Swift | swift/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-707 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-707 | Swift | swift/bad-tag-filter | 不良的 HTML 过滤正则表达式 |
| CWE-707 | Swift | swift/uncontrolled-format-string | 不受控制的格式字符串 |
| CWE-707 | Swift | swift/predicate-injection | 使用用户控制的来源构建的谓词 |
| CWE-710 | C/C++ | cpp/unused-local-variable | 未使用的局部变量 |
| CWE-710 | C/C++ | cpp/unused-static-function | 未使用的静态函数 |
| CWE-710 | C/C++ | cpp/unused-static-variable | 未使用的静态变量 |
| CWE-710 | C/C++ | cpp/dead-code-condition | 分支条件始终计算为相同的值 |
| CWE-710 | C/C++ | cpp/dead-code-function | 函数从未被调用 |
| CWE-710 | C/C++ | cpp/dead-code-goto | 由于 goto 或 break 语句导致的死代码 |
| CWE-710 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-710 | C/C++ | cpp/inconsistent-nullness-testing | 指针的空检查不一致 |
| CWE-710 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-710 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-710 | C/C++ | cpp/missing-null-test | 返回的指针未检查 |
| CWE-710 | C/C++ | cpp/unused-variable | 变量被赋值一个从未读取的值 |
| CWE-710 | C/C++ | cpp/fixme-comment | FIXME 注释 |
| CWE-710 | C/C++ | cpp/todo-comment | TODO 注释 |
| CWE-710 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-710 | C/C++ | cpp/wrong-number-format-arguments | 格式化函数的参数过少 |
| CWE-710 | C/C++ | cpp/wrong-type-format-argument | 格式化函数的参数类型错误 |
| CWE-710 | C/C++ | cpp/inconsistent-null-check | 空检查不一致 |
| CWE-710 | C/C++ | cpp/useless-expression | 表达式没有效果 |
| CWE-710 | C/C++ | cpp/指针溢出检查 | 指针溢出检查 |
| CWE-710 | C/C++ | cpp/bad-strncpy-size | 字符串复制中可能错误的缓冲区大小 |
| CWE-710 | C/C++ | cpp/suspicious-call-to-memset | 对 memset 的可疑调用 |
| CWE-710 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-710 | C/C++ | cpp/unsafe-strcat | 对 strcat 的潜在不安全使用 |
| CWE-710 | C/C++ | cpp/redundant-null-check-simple | 由于先前的解引用导致的冗余空检查 |
| CWE-710 | C/C++ | cpp/too-few-arguments | 调用函数时参数少于声明的参数 |
| CWE-710 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-710 | C/C++ | cpp/memset-may-be-deleted | 对 memset 的调用可能会被删除 |
| CWE-710 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-710 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-710 | C/C++ | cpp/dangerous-function-overflow | 使用危险函数 |
| CWE-710 | C/C++ | cpp/dangerous-cin | 危险使用 'cin' |
| CWE-710 | C/C++ | cpp/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-710 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-710 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-710 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-710 | C/C++ | cpp/deref-null-result | 来自函数结果的空解引用 |
| CWE-710 | C/C++ | cpp/redundant-null-check-param | 冗余空检查或缺少参数的空检查 |
| CWE-710 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-710 | C/C++ | cpp/wrong-use-of-the-umask | 找到 umask 函数的错误用法。 |
| CWE-710 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-710 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-710 | C/C++ | cpp/operator-find-incorrectly-used-switch | 不正确的 switch 语句 |
| CWE-710 | C/C++ | cpp/double-release | 双重释放时出错 |
| CWE-710 | C/C++ | cpp/未定义程序行为的错误 | 未定义程序行为的错误 |
| CWE-710 | C# | cs/call-to-obsolete-method | 调用已弃用的方法 |
| CWE-710 | C# | cs/inconsistent-equals-and-gethashcode | Equals(object) 和 GetHashCode() 不一致 |
| CWE-710 | C# | cs/todo-comment | TODO 注释 |
| CWE-710 | C# | cs/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-710 | C# | cs/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-710 | C# | cs/unused-reftype | 死引用类型 |
| CWE-710 | C# | cs/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-710 | C# | cs/unused-field | 未使用的字段 |
| CWE-710 | C# | cs/unused-method | 未使用的函数 |
| CWE-710 | C# | cs/捕获的foreach变量 | 捕获foreach变量 |
| CWE-710 | C# | cs/useless-cast-to-self | 转换为相同类型 |
| CWE-710 | C# | cs/useless-is-before-as | 无用的 'is' 在 'as' 之前 |
| CWE-710 | C# | cs/coalesce-of-identical-expressions | 无用的 ?? 表达式 |
| CWE-710 | C# | cs/useless-type-test | 无用的类型测试 |
| CWE-710 | C# | cs/useless-upcast | 无用的向上转型 |
| CWE-710 | C# | cs/empty-collection | 容器内容从未初始化 |
| CWE-710 | C# | cs/unused-collection | 容器内容从未访问 |
| CWE-710 | C# | cs/invalid-dynamic-call | 动态调用错误 |
| CWE-710 | C# | cs/empty-lock-statement | 空的锁语句 |
| CWE-710 | C# | cs/linq/useless-select | 冗余 Select |
| CWE-710 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-710 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-710 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-710 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-710 | Go | go/comparison-of-identical-expressions | 比较相同的值 |
| CWE-710 | Go | go/useless-assignment-to-field | 对字段的无用赋值 |
| CWE-710 | Go | go/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-710 | Go | go/duplicate-branches | 重复的 'if' 分支 |
| CWE-710 | Go | go/duplicate-condition | 重复的 'if' 条件 |
| CWE-710 | Go | go/duplicate-switch-case | 重复的 switch case |
| CWE-710 | Go | go/useless-expression | 表达式没有效果 |
| CWE-710 | Go | go/redundant-operation | 相同的操作数 |
| CWE-710 | Go | go/redundant-assignment | 自我赋值 |
| CWE-710 | Go | go/unreachable-statement | 不可达的语句 |
| CWE-710 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-710 | Go | go/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-710 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-710 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-710 | Java/Kotlin | java/dead-class | 死类 |
| CWE-710 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-710 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-710 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-710 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码的行数 |
| CWE-710 | Java/Kotlin | java/unused-parameter | 无用的参数 |
| CWE-710 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-710 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-710 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-710 | Java/Kotlin | java/ejb/native-code | EJB 使用本地代码 |
| CWE-710 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-710 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-710 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-710 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-710 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-710 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-710 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-710 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-710 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-710 | Java/Kotlin | java/useless-null-check | 无用的空检查 |
| CWE-710 | Java/Kotlin | java/useless-type-test | 无用的类型测试 |
| CWE-710 | Java/Kotlin | java/useless-upcast | 无用的向上转型 |
| CWE-710 | Java/Kotlin | java/missing-call-to-super-clone | 缺少超级克隆 |
| CWE-710 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-710 | Java/Kotlin | java/unused-container | 容器内容从未访问 |
| CWE-710 | Java/Kotlin | java/inconsistent-equals-and-hashcode | equals 和 hashCode 不一致 |
| CWE-710 | Java/Kotlin | java/constant-comparison | 无用的比较测试 |
| CWE-710 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-710 | Java/Kotlin | java/missing-super-finalize | 析构函数不一致 |
| CWE-710 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-710 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-710 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用的变量始终为 null |
| CWE-710 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用的表达式可能为 null |
| CWE-710 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用的变量可能为 null |
| CWE-710 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-710 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-710 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-710 | Java/Kotlin | java/potentially-dangerous-function | 使用可能危险的函数 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-710 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-710 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-710 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-710 | Java/Kotlin | java/overwritten-assignment-to-local | 分配的值被覆盖 |
| CWE-710 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-710 | Java/Kotlin | java/empty-finalizer | 析构函数的主体为空 |
| CWE-710 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-710 | Java/Kotlin | java/local-variable-is-never-read | 未读的局部变量 |
| CWE-710 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-710 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-710 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-710 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-710 | Java/Kotlin | java/redundant-cast | 不必要的强制转换 |
| CWE-710 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-710 | JavaScript/TypeScript | js/todo-comment | TODO 注释 |
| CWE-710 | JavaScript/TypeScript | js/冲突的HTML属性 | 冲突的HTML元素属性 |
| CWE-710 | JavaScript/TypeScript | js/格式错误的HTML id | 格式错误的id属性 |
| CWE-710 | JavaScript/TypeScript | js/eval-like-call | 调用类似 eval 的 DOM 函数 |
| CWE-710 | JavaScript/TypeScript | js/variable-initialization-conflict | 冲突的变量初始化 |
| CWE-710 | JavaScript/TypeScript | js/function-declaration-conflict | 冲突的函数声明 |
| CWE-710 | JavaScript/TypeScript | js/useless-assignment-to-global | 对全局变量的无用赋值 |
| CWE-710 | JavaScript/TypeScript | js/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-710 | JavaScript/TypeScript | js/overwritten-property | 覆盖的属性 |
| CWE-710 | JavaScript/TypeScript | js/comparison-of-identical-expressions | 比较相同的值 |
| CWE-710 | JavaScript/TypeScript | js/comparison-with-nan | 与 NaN 的比较 |
| CWE-710 | JavaScript/TypeScript | js/duplicate-condition | 重复的 'if' 条件 |
| CWE-710 | JavaScript/TypeScript | js/duplicate-property | 重复的属性 |
| CWE-710 | JavaScript/TypeScript | js/duplicate-switch-case | 重复的 switch case |
| CWE-710 | JavaScript/TypeScript | js/useless-expression | 表达式没有效果 |
| CWE-710 | JavaScript/TypeScript | js/comparison-between-incompatible-types | 不可转换类型之间的比较 |
| CWE-710 | JavaScript/TypeScript | js/redundant-operation | 相同的操作数 |
| CWE-710 | JavaScript/TypeScript | js/redundant-assignment | 自我赋值 |
| CWE-710 | JavaScript/TypeScript | js/call-to-non-callable | 调用非函数 |
| CWE-710 | JavaScript/TypeScript | js/property-access-on-non-object | 对 null 或 undefined 的属性访问 |
| CWE-710 | JavaScript/TypeScript | js/unneeded-defensive-code | 不必要的防御性代码 |
| CWE-710 | JavaScript/TypeScript | js/useless-type-test | 无用的类型测试 |
| CWE-710 | JavaScript/TypeScript | js/条件注释 | 条件注释 |
| CWE-710 | JavaScript/TypeScript | js/eval-call | 使用 eval |
| CWE-710 | JavaScript/TypeScript | js/非标准语言特性 | 使用平台特定的语言特性 |
| CWE-710 | JavaScript/TypeScript | js/for-in理解 | 使用for-in理解块 |
| CWE-710 | JavaScript/TypeScript | js/superfluous-trailing-arguments | 多余的尾随参数 |
| CWE-710 | JavaScript/TypeScript | js/生成器函数之外的yield | 在非生成器函数中使用yield |
| CWE-710 | JavaScript/TypeScript | js/node/assignment-to-exports-variable | 对 exports 变量赋值 |
| CWE-710 | JavaScript/TypeScript | js/regex/unmatchable-caret | 正则表达式中不匹配的脱字符号 |
| CWE-710 | JavaScript/TypeScript | js/regex/unmatchable-dollar | 正则表达式中不匹配的美元符号 |
| CWE-710 | JavaScript/TypeScript | js/remote-property-injection | 远程属性注入 |
| CWE-710 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-710 | JavaScript/TypeScript | js/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-710 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-710 | JavaScript/TypeScript | js/http-to-file-access | 网络数据写入文件 |
| CWE-710 | JavaScript/TypeScript | js/useless-assignment-in-return | return 语句分配局部变量 |
| CWE-710 | JavaScript/TypeScript | js/unreachable-statement | 不可达的语句 |
| CWE-710 | JavaScript/TypeScript | js/trivial-conditional | 无用的条件 |
| CWE-710 | JavaScript/TypeScript | js/remote-property-injection-more-sources | 具有额外启发式源的远程属性注入 |
| CWE-710 | Python | py/equals-hash-mismatch | 不一致的相等性和散列 |
| CWE-710 | Python | py/call/wrong-named-class-argument | 类实例化中参数名称错误 |
| CWE-710 | Python | py/call/wrong-number-class-arguments | 类实例化中的参数数量错误 |
| CWE-710 | Python | py/unreachable-except | 不可达的 'except' 块 |
| CWE-710 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-710 | Python | py/comparison-of-constants | 常量的比较 |
| CWE-710 | Python | py/comparison-of-identical-expressions | 比较相同的值 |
| CWE-710 | Python | py/comparison-missing-self | 可能在比较中缺少 'self' |
| CWE-710 | Python | py/redundant-comparison | 冗余比较 |
| CWE-710 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-710 | Python | py/call/wrong-named-argument | 调用中的参数名称错误 |
| CWE-710 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-710 | Python | py/call/wrong-arguments | 调用中的参数数量错误 |
| CWE-710 | Python | py/import-deprecated-module | 导入已弃用的模块 |
| CWE-710 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-710 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-710 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-710 | Python | py/ineffectual-statement | 语句没有效果 |
| CWE-710 | Python | py/unreachable-statement | 不可达的代码 |
| CWE-710 | Python | py/multiple-definition | 变量定义多次 |
| CWE-710 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-710 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-710 | Ruby | rb/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-710 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-710 | Ruby | rb/http-to-file-access | 网络数据写入文件 |
| CWE-710 | Ruby | rb/useless-assignment-to-local | 对局部变量的无用赋值 |
| CWE-710 | Ruby | rb/unused-parameter | 未使用的参数。 |
| CWE-710 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-710 | Swift | swift/constant-password | 常量密码 |
| CWE-710 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-732 | C/C++ | cpp/world-writable-file-creation | 创建文件时未限制权限 |
| CWE-732 | C/C++ | cpp/open-call-with-mode-argument | 使用 O_CREAT 标志打开文件,但没有模式参数 |
| CWE-732 | C/C++ | cpp/unsafe-dacl-security-descriptor | 在 SECURITY_DESCRIPTOR 中将 DACL 设置为 NULL |
| CWE-732 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-732 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-732 | Python | py/overly-permissive-file | 文件权限过于宽松 |
| CWE-732 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-732 | Ruby | rb/overly-permissive-file | 文件权限过于宽松 |
| CWE-733 | C/C++ | cpp/memset-may-be-deleted | 对 memset 的调用可能会被删除 |
| CWE-749 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中的不安全资源获取 |
| CWE-749 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-749 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-754 | C/C++ | cpp/incorrectly-checked-scanf | 对 'scanf' 类函数的返回值检查不正确 |
| CWE-754 | C/C++ | cpp/missing-check-scanf | 缺少对 'scanf' 类函数的返回值检查 |
| CWE-754 | C/C++ | cpp/return-value-ignored | 忽略函数的返回值 |
| CWE-754 | C/C++ | cpp/overflowing-snprintf | 对 snprintf 的潜在溢出调用 |
| CWE-754 | C/C++ | cpp/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-754 | C/C++ | cpp/ignore-return-value-sal | SAL 要求检查返回值 |
| CWE-754 | C/C++ | cpp/hresult-boolean-conversion | HRESULT 和布尔类型之间的转换 |
| CWE-754 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-754 | C/C++ | cpp/work-with-changing-working-directories | 查找使用更改工作目录的工作,存在安全错误。 |
| CWE-754 | C/C++ | cpp/drop-linux-privileges-outoforder | LinuxPrivilegeDroppingOutoforder |
| CWE-754 | C/C++ | cpp/improper-check-return-value-scanf | 对 scanf 的返回值检查不当 |
| CWE-754 | C# | cs/unchecked-return-value | 未检查的返回值 |
| CWE-754 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值的操作不一致 |
| CWE-754 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-754 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-754 | JavaScript/TypeScript | js/未验证的动态方法调用 | 未验证的动态方法调用 |
| CWE-754 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-755 | C/C++ | cpp/incorrect-allocation-error-handling | 分配错误处理不正确 |
| CWE-755 | C/C++ | cpp/operator-find-incorrectly-used-exceptions | 运算符 Find 错误地使用了异常 |
| CWE-755 | C# | cs/dispose-not-called-on-throw | 如果在执行过程中抛出异常,则可能不会调用 Dispose |
| CWE-755 | C# | cs/local-not-disposed | 本地 IDisposable 上缺少 Dispose 调用 |
| CWE-755 | C# | cs/catch-nullreferenceexception | 错误处理不佳:捕获 NullReferenceException |
| CWE-755 | C# | cs/empty-catch-block | 错误处理不佳:空 catch 块 |
| CWE-755 | C# | cs/catch-of-all-exceptions | 通用 catch 语句 |
| CWE-755 | C# | cs/information-exposure-through-exception | 通过异常泄露信息 |
| CWE-755 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-755 | Go | go/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-755 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-755 | Java/Kotlin | java/overly-general-catch | 过于通用的 catch 语句 |
| CWE-755 | Java/Kotlin | java/android/nfe-local-android-dos | NumberFormatException 导致的本地Android拒绝服务攻击 |
| CWE-755 | JavaScript/TypeScript | js/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-755 | Python | py/catch-base-exception | Except 块处理 'BaseException' |
| CWE-755 | Python | py/empty-except | 空的 except |
| CWE-755 | Python | py/stack-trace-exposure | 通过异常泄露信息 |
| CWE-755 | Ruby | rb/stack-trace-exposure | 通过异常泄露信息 |
| CWE-756 | C# | cs/web/missing-global-error-handler | 缺少全局错误处理程序 |
| CWE-757 | Swift | swift/不安全的TLS | 不安全的 TLS 配置 |
| CWE-758 | C/C++ | cpp/指针溢出检查 | 指针溢出检查 |
| CWE-758 | C/C++ | cpp/memset-may-be-deleted | 对 memset 的调用可能会被删除 |
| CWE-758 | C/C++ | cpp/未定义程序行为的错误 | 未定义程序行为的错误 |
| CWE-758 | C# | cs/捕获的foreach变量 | 捕获foreach变量 |
| CWE-758 | JavaScript/TypeScript | js/冲突的HTML属性 | 冲突的HTML元素属性 |
| CWE-758 | JavaScript/TypeScript | js/格式错误的HTML id | 格式错误的id属性 |
| CWE-758 | JavaScript/TypeScript | js/条件注释 | 条件注释 |
| CWE-758 | JavaScript/TypeScript | js/非标准语言特性 | 使用平台特定的语言特性 |
| CWE-758 | JavaScript/TypeScript | js/for-in理解 | 使用for-in理解块 |
| CWE-758 | JavaScript/TypeScript | js/生成器函数之外的yield | 在非生成器函数中使用yield |
| CWE-759 | C# | cs/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-759 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-760 | Swift | swift/constant-salt | 使用常量盐 |
| CWE-764 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-764 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-764 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-764 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-770 | C/C++ | cpp/alloca-in-loop | 循环中调用 alloca |
| CWE-770 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-770 | Go | go/uncontrolled-allocation-size | 切片内存分配的大小值过大 |
| CWE-770 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-770 | JavaScript/TypeScript | js/resource-exhaustion | 资源耗尽 |
| CWE-770 | JavaScript/TypeScript | js/resource-exhaustion-more-sources | 使用其他启发式源的资源耗尽 |
| CWE-770 | Python | py/unicode-dos | 使用 Unicode 字符的拒绝服务 |
| CWE-772 | C/C++ | cpp/catch-missing-free | 泄漏的捕获 |
| CWE-772 | C/C++ | cpp/descriptor-may-not-be-closed | 打开的描述符可能未关闭 |
| CWE-772 | C/C++ | cpp/descriptor-never-closed | 打开的描述符从未关闭 |
| CWE-772 | C/C++ | cpp/file-may-not-be-closed | 打开的文件可能未关闭 |
| CWE-772 | C/C++ | cpp/file-never-closed | 打开的文件未关闭 |
| CWE-772 | C/C++ | cpp/memory-may-not-be-freed | 内存可能未释放 |
| CWE-772 | C/C++ | cpp/memory-never-freed | 内存从未释放 |
| CWE-772 | C/C++ | cpp/new-free-mismatch | new/free 或 malloc/delete 不匹配 |
| CWE-772 | C/C++ | cpp/memory-leak-on-failed-call-to-realloc | realloc 调用失败时出现内存泄漏 |
| CWE-772 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-772 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-772 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-772 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-775 | C/C++ | cpp/descriptor-may-not-be-closed | 打开的描述符可能未关闭 |
| CWE-775 | C/C++ | cpp/descriptor-never-closed | 打开的描述符从未关闭 |
| CWE-775 | C/C++ | cpp/file-may-not-be-closed | 打开的文件可能未关闭 |
| CWE-775 | C/C++ | cpp/file-never-closed | 打开的文件未关闭 |
| CWE-776 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-776 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-776 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-776 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-776 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-776 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-776 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-776 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-776 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-780 | C# | cs/inadequate-rsa-padding | 弱加密:RSA 填充不足 |
| CWE-780 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-783 | C/C++ | cpp/operator-precedence-logic-error-when-use-bitwise-logical-operations | 使用按位或逻辑运算符时的运算符优先级逻辑错误 |
| CWE-783 | C/C++ | cpp/operator-precedence-logic-error-when-use-bool-type | 使用布尔类型时的运算符优先级逻辑错误 |
| CWE-783 | Go | go/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-783 | Java/Kotlin | java/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-783 | JavaScript/TypeScript | js/不清楚的运算符优先级 | 嵌套运算符的优先级不清楚 |
| CWE-783 | JavaScript/TypeScript | js/空格与运算符优先级冲突 | 空格与运算符优先级冲突 |
| CWE-787 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-787 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-787 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-787 | C/C++ | cpp/badly-bounded-write | 边界不确定的写入 |
| CWE-787 | C/C++ | cpp/overrunning-write | 潜在的溢出写入 |
| CWE-787 | C/C++ | cpp/overrunning-write-with-float | 使用浮点数到字符串转换的潜在溢出写入 |
| CWE-787 | C/C++ | cpp/unbounded-write | 无界写入 |
| CWE-787 | C/C++ | cpp/very-likely-overrunning-write | 可能溢出的写入 |
| CWE-787 | C/C++ | cpp/unterminated-variadic-call | 未终止的变参调用 |
| CWE-787 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-787 | C/C++ | cpp/invalid-pointer-deref | 无效的指针解除引用 |
| CWE-787 | C/C++ | cpp/sign-conversion-pointer-arithmetic | 在指针运算中使用无符号到有符号的转换 |
| CWE-787 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-788 | C/C++ | cpp/allocation-too-small | 为指针类型分配的内存不足 |
| CWE-788 | C/C++ | cpp/suspicious-allocation-size | 为指针类型数组分配的内存不足 |
| CWE-788 | C/C++ | cpp/unsafe-strncat | 对 strncat 的潜在不安全调用 |
| CWE-788 | C/C++ | cpp/overflow-buffer | 对内存访问函数的调用可能会导致缓冲区溢出 |
| CWE-788 | C/C++ | cpp/unterminated-variadic-call | 未终止的变参调用 |
| CWE-788 | C/C++ | cpp/no-space-for-terminator | 没有空间用于零终止符 |
| CWE-788 | C/C++ | cpp/openssl-heartbleed | 使用受心脏滴血漏洞影响的 OpenSSL 版本 |
| CWE-788 | C/C++ | cpp/access-memory-location-after-end-buffer-strlen | 访问缓冲区末尾之后的内存位置 |
| CWE-788 | C# | cs/unvalidated-local-pointer-arithmetic | 未验证的本地指针运算 |
| CWE-788 | Go | go/wrong-usage-of-unsafe | 错误地使用 unsafe 包 |
| CWE-789 | C/C++ | cpp/uncontrolled-allocation-size | 不受控制的分配大小溢出 |
| CWE-798 | C# | cs/hard-coded-symmetric-encryption-key | 硬编码的对称加密密钥 |
| CWE-798 | C# | cs/hardcoded-connection-string-credentials | 包含凭据的硬编码连接字符串 |
| CWE-798 | C# | cs/hardcoded-credentials | 硬编码凭据 |
| CWE-798 | Go | go/hardcoded-credentials | 硬编码凭据 |
| CWE-798 | Go | go/parse-jwt-with-hardcoded-key | 使用硬编码密钥解码 JWT |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-798 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-798 | JavaScript/TypeScript | js/hardcoded-credentials | 硬编码凭据 |
| CWE-798 | Python | py/hardcoded-credentials | 硬编码凭据 |
| CWE-798 | Ruby | rb/hardcoded-credentials | 硬编码凭据 |
| CWE-798 | Swift | swift/constant-password | 常量密码 |
| CWE-798 | Swift | swift/hardcoded-key | 硬编码加密密钥 |
| CWE-799 | JavaScript/TypeScript | js/missing-rate-limiting | 缺少速率限制 |
| CWE-805 | C/C++ | cpp/badly-bounded-write | 边界不确定的写入 |
| CWE-805 | C/C++ | cpp/overrunning-write | 潜在的溢出写入 |
| CWE-805 | C/C++ | cpp/overrunning-write-with-float | 使用浮点数到字符串转换的潜在溢出写入 |
| CWE-805 | C/C++ | cpp/unbounded-write | 无界写入 |
| CWE-805 | C/C++ | cpp/very-likely-overrunning-write | 可能溢出的写入 |
| CWE-805 | C/C++ | cpp/buffer-access-with-incorrect-length-value | 使用不正确的长度值访问缓冲区 |
| CWE-807 | C/C++ | cpp/受污染的权限检查 | 条件的不可信输入 |
| CWE-807 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-807 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-807 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-807 | Java/Kotlin | java/tainted-permissions-check | 用户控制的数据用于权限检查 |
| CWE-807 | JavaScript/TypeScript | js/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-807 | JavaScript/TypeScript | js/different-kinds-comparison-bypass | 比较不同类型的用户控制数据 |
| CWE-807 | JavaScript/TypeScript | js/user-controlled-bypass-more-sources | 具有额外启发式源的用户控制的安全检查绕过 |
| CWE-807 | Ruby | rb/user-controlled-bypass | 用户控制的安全检查绕过 |
| CWE-820 | C# | cs/unsynchronized-static-access | 在非静态上下文中对静态集合成员进行未同步的访问 |
| CWE-820 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-820 | Java/Kotlin | java/non-sync-override | 同步方法的非同步覆盖 |
| CWE-821 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-821 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-823 | C/C++ | cpp/late-negative-test | 在检查之前使用指针偏移量 |
| CWE-823 | C/C++ | cpp/missing-negativity-test | 使用未经检查的返回值作为偏移量 |
| CWE-825 | C/C++ | cpp/double-free | 潜在的双重释放 |
| CWE-825 | C/C++ | cpp/use-after-free | 潜在的释放后使用 |
| CWE-825 | C/C++ | cpp/return-stack-allocated-memory | 返回堆栈分配的内存 |
| CWE-825 | C/C++ | cpp/using-expired-stack-address | 使用过期的堆栈地址 |
| CWE-825 | C/C++ | cpp/iterator-to-expired-container | 指向已过期的容器的迭代器 |
| CWE-825 | C/C++ | cpp/use-of-string-after-lifetime-ends | 在生命周期结束之后使用字符串 |
| CWE-825 | C/C++ | cpp/use-of-unique-pointer-after-lifetime-ends | 在生命周期结束之后使用唯一指针 |
| CWE-825 | C/C++ | cpp/experimental-double-free | 双重释放时的错误 |
| CWE-825 | C/C++ | cpp/use-after-expired-lifetime | 在对象的生命周期结束后使用对象 |
| CWE-825 | C/C++ | cpp/dangerous-use-of-exception-blocks | 危险地使用异常块。 |
| CWE-826 | C/C++ | cpp/self-assignment-check | 自赋值检查 |
| CWE-827 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-827 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-827 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-827 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-827 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-827 | Python | py/xxe | XML 外部实体扩展 |
| CWE-827 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-827 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-829 | C# | cs/web/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-829 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-829 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-829 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-829 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-829 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-829 | JavaScript/TypeScript | js/missing-x-frame-options | 缺少 X-Frame-Options HTTP 标头 |
| CWE-829 | JavaScript/TypeScript | js/xxe | XML 外部实体扩展 |
| CWE-829 | JavaScript/TypeScript | js/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-829 | JavaScript/TypeScript | js/来自不受信任来源的功能 | 包含来自不受信任来源的功能 |
| CWE-829 | JavaScript/TypeScript | js/xxe-more-sources | 使用其他启发式源的 XML 外部实体扩展 |
| CWE-829 | Python | py/xxe | XML 外部实体扩展 |
| CWE-829 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-829 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-829 | Ruby | rb/不安全下载 | 通过不安全连接下载敏感文件 |
| CWE-829 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-830 | JavaScript/TypeScript | js/来自不受信任来源的功能 | 包含来自不受信任来源的功能 |
| CWE-833 | C/C++ | cpp/lock-order-cycle | 循环锁顺序依赖 |
| CWE-833 | C/C++ | cpp/twice-locked | 互斥锁被锁定两次 |
| CWE-833 | C/C++ | cpp/unreleased-lock | 锁可能没有被释放 |
| CWE-833 | C# | cs/locked-wait | 在等待期间保持锁 |
| CWE-833 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态下休眠 |
| CWE-833 | Java/Kotlin | java/unreleased-lock | 未释放锁 |
| CWE-833 | Java/Kotlin | java/wait-with-two-locks | 保持两个锁状态下等待 |
| CWE-833 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-834 | C/C++ | cpp/不一致的循环方向 | 不一致的for循环方向 |
| CWE-834 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-834 | C/C++ | cpp/具有不可满足退出条件的无限循环 | 具有不可满足退出条件的无限循环 |
| CWE-834 | C# | cs/常量条件 | 常量条件 |
| CWE-834 | C# | cs/linq/不一致的枚举 | 错误的多次迭代 |
| CWE-834 | C# | cs/xml/insecure-dtd-handling | 不安全的读取不可信的 XML |
| CWE-834 | C# | cs/insecure-xml-read | 不安全的读取 XML |
| CWE-834 | Go | go/不一致的循环方向 | 不一致的for循环方向 |
| CWE-834 | Java/Kotlin | java/常量循环条件 | 常量循环条件 |
| CWE-834 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-834 | Java/Kotlin | java/循环中不可达的退出 | 具有不可达退出条件的循环 |
| CWE-834 | JavaScript/TypeScript | js/xml-bomb | XML 内部实体扩展 |
| CWE-834 | JavaScript/TypeScript | js/循环边界注入 | 循环边界注入 |
| CWE-834 | JavaScript/TypeScript | js/不一致的循环方向 | 不一致的for循环方向 |
| CWE-834 | JavaScript/TypeScript | js/xml-bomb-more-sources | 使用其他启发式源的 XML 内部实体扩展 |
| CWE-834 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-834 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-834 | Ruby | rb/xxe | XML 外部实体扩展 |
| CWE-834 | Swift | swift/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-835 | C/C++ | cpp/不一致的循环方向 | 不一致的for循环方向 |
| CWE-835 | C/C++ | cpp/comparison-with-wider-type | 在循环条件中比较窄类型与宽类型 |
| CWE-835 | C/C++ | cpp/具有不可满足退出条件的无限循环 | 具有不可满足退出条件的无限循环 |
| CWE-835 | C# | cs/常量条件 | 常量条件 |
| CWE-835 | Go | go/不一致的循环方向 | 不一致的for循环方向 |
| CWE-835 | Java/Kotlin | java/常量循环条件 | 常量循环条件 |
| CWE-835 | Java/Kotlin | java/循环中不可达的退出 | 具有不可达退出条件的循环 |
| CWE-835 | JavaScript/TypeScript | js/不一致的循环方向 | 不一致的for循环方向 |
| CWE-838 | C# | cs/inappropriate-encoding | 不合适的编码 |
| CWE-843 | C/C++ | cpp/upcast-array-pointer-arithmetic | 在指针运算中使用向上转换的数组 |
| CWE-843 | C/C++ | cpp/type-confusion | 类型混淆 |
| CWE-843 | JavaScript/TypeScript | js/通过参数篡改导致的类型混淆 | 通过参数篡改导致的类型混淆 |
| CWE-862 | C# | cs/empty-password-in-configuration | 配置文件中的空密码 |
| CWE-862 | C# | cs/web/missing-function-level-access-control | 缺少函数级访问控制 |
| CWE-862 | C# | cs/web/insecure-direct-object-reference | 不安全的直接对象引用 |
| CWE-862 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-862 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-862 | JavaScript/TypeScript | js/empty-password-in-configuration-file | 配置文件中的空密码 |
| CWE-862 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-863 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中过于宽松的 . 匹配 URL |
| CWE-908 | C/C++ | cpp/improper-check-return-value-scanf | 对 scanf 的返回值检查不当 |
| CWE-909 | C/C++ | cpp/initialization-not-run | 未运行初始化代码 |
| CWE-912 | JavaScript/TypeScript | js/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-912 | JavaScript/TypeScript | js/http-to-file-access | 网络数据写入文件 |
| CWE-912 | Ruby | rb/hardcoded-data-interpreted-as-code | 硬编码的数据被解释为代码 |
| CWE-912 | Ruby | rb/http-to-file-access | 网络数据写入文件 |
| CWE-913 | C# | cs/code-injection | 对代码生成控制不当 |
| CWE-913 | C# | cs/deserialized-delegate | 反序列化的委托 |
| CWE-913 | C# | cs/unsafe-deserialization | 不安全的反序列化器 |
| CWE-913 | C# | cs/unsafe-deserialization-untrusted-input | 反序列化不可信数据 |
| CWE-913 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-913 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-913 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-913 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-913 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-913 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-913 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-913 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-913 | Java/Kotlin | java/android/fragment-injection | Android 碎片注入 |
| CWE-913 | Java/Kotlin | java/android/fragment-injection-preference-activity | Android PreferenceActivity 中的碎片注入 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-913 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-913 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-913 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-913 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-913 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-913 | Java/Kotlin | java/jython-injection | 在 Jython 中注入 |
| CWE-913 | Java/Kotlin | java/unsafe-eval | 在 Java 脚本引擎中注入 |
| CWE-913 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-913 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-913 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-913 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-rmi | 在远程可调用方法中进行不安全的反序列化。 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-913 | JavaScript/TypeScript | js/enabling-electron-renderer-node-integration | 为 Electron 网页内容呈现器启用 Node.js 集成 |
| CWE-913 | JavaScript/TypeScript | js/template-object-injection | 模板对象注入 |
| CWE-913 | JavaScript/TypeScript | js/code-injection | 代码注入 |
| CWE-913 | JavaScript/TypeScript | js/actions/command-injection | Actions 中的表达式注入 |
| CWE-913 | JavaScript/TypeScript | js/bad-code-sanitization | 代码清理不当 |
| CWE-913 | JavaScript/TypeScript | js/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-913 | JavaScript/TypeScript | js/unsafe-dynamic-method-access | 不安全的动态方法访问 |
| CWE-913 | JavaScript/TypeScript | js/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-913 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-913 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-913 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-913 | JavaScript/TypeScript | js/code-injection-dynamic-import | 代码注入 |
| CWE-913 | JavaScript/TypeScript | js/actions/pull-request-target | 在可信环境中签出不可信代码 |
| CWE-913 | JavaScript/TypeScript | js/code-injection-more-sources | 具有额外启发式来源的代码注入 |
| CWE-913 | JavaScript/TypeScript | js/unsafe-deserialization-more-sources | 使用其他启发式源的反序列化用户控制的数据 |
| CWE-913 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-913 | Python | py/code-injection | 代码注入 |
| CWE-913 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-913 | Ruby | rb/unsafe-unsafeyamldeserialization | 反序列化用户控制的 yaml 数据 |
| CWE-913 | Ruby | rb/server-side-template-injection | 服务器端模板注入 |
| CWE-913 | Ruby | rb/code-injection | 代码注入 |
| CWE-913 | Ruby | rb/unsafe-code-construction | 从库输入构建的不安全的代码 |
| CWE-913 | Ruby | rb/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-913 | Ruby | rb/不安全批量赋值 | 不安全批量赋值 |
| CWE-913 | Swift | swift/unsafe-webview-fetch | 不安全的 WebView 获取 |
| CWE-913 | Swift | swift/unsafe-js-eval | JavaScript 注入 |
| CWE-915 | JavaScript/TypeScript | js/prototype-polluting-assignment | 原型污染赋值 |
| CWE-915 | JavaScript/TypeScript | js/prototype-pollution-utility | 原型污染函数 |
| CWE-915 | JavaScript/TypeScript | js/prototype-pollution | 原型污染合并调用 |
| CWE-915 | JavaScript/TypeScript | js/prototype-polluting-assignment-more-sources | 具有额外启发式来源的原型污染赋值 |
| CWE-915 | Ruby | rb/不安全批量赋值 | 不安全批量赋值 |
| CWE-916 | C# | cs/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-916 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-916 | JavaScript/TypeScript | js/insufficient-password-hash | 使用计算量不足的密码哈希 |
| CWE-916 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用已损坏或弱加密哈希算法 |
| CWE-916 | Swift | swift/weak-password-hashing | 对密码使用不合适的加密哈希算法 |
| CWE-916 | Swift | swift/constant-salt | 使用常量盐 |
| CWE-916 | Swift | swift/insufficient-hash-iterations | 哈希迭代次数不足 |
| CWE-917 | Java/Kotlin | java/ognl-injection | 具有用户控制的输入的 OGNL 表达式语言语句 |
| CWE-918 | C# | cs/request-forgery | 服务器端请求伪造 |
| CWE-918 | Go | go/request-forgery | 网络请求中使用的不受控制的数据 |
| CWE-918 | Go | go/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-918 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-918 | JavaScript/TypeScript | js/client-side-request-forgery | 客户端请求伪造 |
| CWE-918 | JavaScript/TypeScript | js/request-forgery | 服务器端请求伪造 |
| CWE-918 | JavaScript/TypeScript | javascript/ssrf | 网络请求中使用的不受控制的数据 |
| CWE-918 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-918 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-918 | Ruby | rb/request-forgery | 服务器端请求伪造 |
| CWE-922 | C/C++ | cpp/cleartext-storage-buffer | 缓冲区中敏感信息的明文存储 |
| CWE-922 | C/C++ | cpp/cleartext-storage-file | 文件中敏感信息的明文存储 |
| CWE-922 | C/C++ | cpp/cleartext-storage-database | SQLite 数据库中敏感信息的明文存储 |
| CWE-922 | C# | cs/password-in-configuration | 配置文件中的密码 |
| CWE-922 | C# | cs/cleartext-storage-of-sensitive-information | 敏感信息的明文存储 |
| CWE-922 | Go | go/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-922 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类明文存储敏感信息 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类明文存储敏感信息 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 明文存储敏感信息 |
| CWE-922 | JavaScript/TypeScript | js/build-artifact-leak | 在构建工件中存储敏感信息 |
| CWE-922 | JavaScript/TypeScript | js/clear-text-logging | 敏感信息的明文日志记录 |
| CWE-922 | JavaScript/TypeScript | js/clear-text-storage-of-sensitive-data | 敏感信息的明文存储 |
| CWE-922 | JavaScript/TypeScript | js/password-in-configuration-file | 配置文件中的密码 |
| CWE-922 | JavaScript/TypeScript | js/clear-text-cookie | 敏感 Cookie 的明文传输 |
| CWE-922 | Python | py/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-922 | Python | py/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-922 | Ruby | rb/clear-text-logging-sensitive-data | 敏感信息的明文日志记录 |
| CWE-922 | Ruby | rb/clear-text-storage-sensitive-data | 敏感信息的明文存储 |
| CWE-922 | Swift | swift/cleartext-storage-database | 本地数据库中敏感信息的明文存储 |
| CWE-922 | Swift | swift/cleartext-logging | 敏感信息的明文日志记录 |
| CWE-922 | Swift | swift/cleartext-storage-preferences | 应用程序首选项存储中敏感信息的明文存储 |
| CWE-923 | C# | cs/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-923 | Go | go/insecure-hostkeycallback | 使用不安全的 HostKeyCallback 实现 |
| CWE-923 | Go | go/sensitive-condition-bypass | 用户控制的敏感操作绕过 |
| CWE-923 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-923 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-923 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-923 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载时无法使用 HTTPS 或 SFTP URL |
| CWE-923 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 的验证不当 |
| CWE-923 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-923 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-923 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-923 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-923 | JavaScript/TypeScript | js/disabling-certificate-validation | 禁用证书验证 |
| CWE-923 | JavaScript/TypeScript | js/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-923 | Ruby | rb/insecure-dependency | 使用未加密的通信通道下载依赖项 |
| CWE-925 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 的验证不当 |
| CWE-926 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-926 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供程序中缺少读或写权限 |
| CWE-926 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-926 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-927 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-927 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-927 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-939 | Java/Kotlin | java/incorrect-url-verification | URL 验证不正确 |
| CWE-940 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-940 | JavaScript/TypeScript | js/missing-origin-check | postMessage 处理程序中缺少来源验证 |
| CWE-942 | Go | go/cors-misconfiguration | CORS 配置错误 |
| CWE-942 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials | 用于凭据传输的 CORS 配置错误 |
| CWE-942 | JavaScript/TypeScript | js/cors-misconfiguration | 过度的 CORS 配置 |
| CWE-942 | JavaScript/TypeScript | js/cors-misconfiguration-for-credentials-more-sources | 具有额外启发式来源的用于凭据传输的 CORS 配置错误 |
| CWE-943 | C/C++ | cpp/sql-injection | SQL 查询中使用了不受控制的数据 |
| CWE-943 | C# | cs/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-943 | C# | cs/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-943 | C# | cs/xml/xpath-injection | XPath 注入 |
| CWE-943 | Go | go/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-943 | Go | go/unsafe-quoting | 可能不安全的引用 |
| CWE-943 | Go | go/xml/xpath-injection | XPath 注入 |
| CWE-943 | Go | go/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-943 | Java/Kotlin | java/concatenated-sql-query | 通过与可能不可信的字符串连接构建的查询 |
| CWE-943 | Java/Kotlin | java/sql-injection | 从用户控制的源构建的查询 |
| CWE-943 | Java/Kotlin | java/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-943 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-943 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-943 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-943 | Java/Kotlin | java/xquery-injection | 从用户控制的源构建的 XQuery 查询 |
| CWE-943 | JavaScript/TypeScript | js/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-943 | JavaScript/TypeScript | js/xpath-injection | XPath 注入 |
| CWE-943 | JavaScript/TypeScript | js/env-key-and-value-injection | 用户控制的任意环境变量注入 |
| CWE-943 | JavaScript/TypeScript | js/env-value-injection | 用户控制的环境变量值注入 |
| CWE-943 | JavaScript/TypeScript | js/sql-injection-more-sources | 使用用户控制的来源构建的数据库查询,并带有额外的启发式来源 |
| CWE-943 | JavaScript/TypeScript | js/xpath-injection-more-sources | 具有额外启发式来源的XPath注入 |
| CWE-943 | Python | py/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-943 | Python | py/ldap-injection | 从用户控制的源构建的 LDAP 查询 |
| CWE-943 | Python | py/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-943 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-943 | Python | py/xslt-injection | 使用用户控制的来源构建的XSLT查询 |
| CWE-943 | Ruby | rb/ldap-injection | LDAP 注入 |
| CWE-943 | Ruby | rb/xpath-injection | 使用用户控制的来源构建的XPath查询 |
| CWE-943 | Ruby | rb/sql-injection | 从用户控制的源构建的 SQL 查询 |
| CWE-943 | Swift | swift/sql-injection | 从用户控制的源构建的数据库查询 |
| CWE-943 | Swift | swift/predicate-injection | 使用用户控制的来源构建的谓词 |
| CWE-1004 | C# | cs/web/cookie-httponly-not-set | 'HttpOnly' 属性未设置为true |
| CWE-1004 | Go | go/cookie-httponly-not-set | 'HttpOnly' 属性未设置为true |
| CWE-1004 | Java/Kotlin | java/tomcat-disabled-httponly | Tomcat 配置禁用了 'HttpOnly' 标志(XSS 风险) |
| CWE-1004 | Java/Kotlin | java/sensitive-cookie-not-httponly | 未设置 HttpOnly 响应头的敏感 Cookie |
| CWE-1004 | JavaScript/TypeScript | js/client-exposed-cookie | 敏感服务器 Cookie 暴露给客户端 |
| CWE-1022 | JavaScript/TypeScript | js/unsafe-external-link | 潜在的不安全的外部链接 |
| CWE-1041 | C/C++ | cpp/call-to-function-without-wrapper | 错失调用包装函数的机会 |
| CWE-1078 | C/C++ | cpp/误导性缩进前的逗号 | 误导性缩进前的逗号 |
| CWE-1104 | Java/Kotlin | java/maven/dependency-upon-bintray | 依赖于 JCenter/Bintray 作为构件仓库 |
| CWE-1126 | C/C++ | cpp/在循环中使用变量声明时的错误 | 在循环中使用变量声明时的错误 |
| CWE-1176 | JavaScript/TypeScript | js/angular/double-compilation | 双重编译 |
| CWE-1204 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-1204 | Swift | swift/static-initialization-vector | 用于加密的静态初始化向量 |
| CWE-1236 | Python | py/csv-injection | CSV 注入 |
| CWE-1240 | C/C++ | cpp/crypto-primitive | 实现加密原语 |
| CWE-1275 | JavaScript/TypeScript | js/samesite-none-cookie | 未设置 SameSite 限制的敏感 Cookie |
| CWE-1275 | Ruby | rb/weak-cookie-configuration | Cookie 配置薄弱 |
| CWE-1333 | C# | cs/redos | 拒绝服务,原因是将用户输入与代价高昂的正则表达式进行比较 |
| CWE-1333 | Java/Kotlin | java/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-1333 | Java/Kotlin | java/redos | 效率低下的正则表达式 |
| CWE-1333 | JavaScript/TypeScript | js/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-1333 | JavaScript/TypeScript | js/redos | 效率低下的正则表达式 |
| CWE-1333 | Python | py/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-1333 | Python | py/redos | 效率低下的正则表达式 |
| CWE-1333 | Ruby | rb/polynomial-redos | 对不受控制的数据使用多项式正则表达式 |
| CWE-1333 | Ruby | rb/redos | 效率低下的正则表达式 |
| CWE-1333 | Ruby | rb/regexp-injection | 正则表达式注入 |
| CWE-1333 | Swift | swift/redos | 效率低下的正则表达式 |
| CWE-1336 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |