Java 和 Kotlin 的 CWE 覆盖率¶
CodeQL 最新版本中,Java CWE 覆盖率概述。
概述¶
| CWE | 语言 | 查询 ID | 查询名称 |
|---|---|---|---|
| CWE-20 | Java/Kotlin | java/count-untrusted-data-external-api | 使用不可信数据访问外部 API 的频率统计 |
| CWE-20 | Java/Kotlin | java/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | Java/Kotlin | java/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的尺寸进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定的尺寸进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-20 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-20 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-22 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-22 | Java/Kotlin | java/zipslip | 在解压缩存档时出现任意文件访问("Zip Slip") |
| CWE-22 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-22 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的路径遍历漏洞 |
| CWE-22 | Java/Kotlin | java/openstream-called-on-tainted-url | 对来自远程源创建的 URL 调用 openStream |
| CWE-23 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-23 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-23 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的路径遍历漏洞 |
| CWE-36 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-36 | Java/Kotlin | java/openstream-called-on-tainted-url | 对来自远程源创建的 URL 调用 openStream |
| CWE-73 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-73 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-74 | Java/Kotlin | java/jndi-injection | 使用用户控制的名称进行 JNDI 查找 |
| CWE-74 | Java/Kotlin | java/xslt-injection | 使用用户控制的样式表进行 XSLT 转换 |
| CWE-74 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-74 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-74 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-74 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-74 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 暴露访问 Java 对象方法 |
| CWE-74 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-74 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-74 | Java/Kotlin | java/concatenated-sql-query | 使用可能不可信的字符串进行连接构建查询 |
| CWE-74 | Java/Kotlin | java/sql-injection | 从用户控制的来源构建查询 |
| CWE-74 | Java/Kotlin | java/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-74 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-74 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-74 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-74 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-74 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-74 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-74 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-74 | Java/Kotlin | java/netty-http-request-or-response-splitting | 禁用的 Netty HTTP 头部验证 |
| CWE-74 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-74 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-74 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-74 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-74 | Java/Kotlin | java/ognl-injection | 使用用户控制的输入的 OGNL 表达式语言语句 |
| CWE-74 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-74 | Java/Kotlin | java/command-line-injection-extra | 使用危险命令将命令注入 Runtime.exec() |
| CWE-74 | Java/Kotlin | java/command-line-injection-extra-local | 使用危险命令将命令注入 Runtime.exec() |
| CWE-74 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-74 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-74 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-74 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-74 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-74 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-74 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-74 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-74 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-74 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-74 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-74 | Java/Kotlin | java/xquery-injection | 从用户控制的来源构建 XQuery 查询 |
| CWE-77 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-77 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-77 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-77 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-77 | Java/Kotlin | java/ognl-injection | 使用用户控制的输入的 OGNL 表达式语言语句 |
| CWE-77 | Java/Kotlin | java/command-line-injection-extra | 使用危险命令将命令注入 Runtime.exec() |
| CWE-77 | Java/Kotlin | java/command-line-injection-extra-local | 使用危险命令将命令注入 Runtime.exec() |
| CWE-77 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-78 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-78 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-78 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-78 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-78 | Java/Kotlin | java/command-line-injection-extra | 使用危险命令将命令注入 Runtime.exec() |
| CWE-78 | Java/Kotlin | java/command-line-injection-extra-local | 使用危险命令将命令注入 Runtime.exec() |
| CWE-78 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-79 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 暴露访问 Java 对象方法 |
| CWE-79 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-79 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-79 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-88 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-88 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-88 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-88 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-88 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-89 | Java/Kotlin | java/concatenated-sql-query | 使用可能不可信的字符串进行连接构建查询 |
| CWE-89 | Java/Kotlin | java/sql-injection | 从用户控制的来源构建查询 |
| CWE-89 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-89 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-90 | Java/Kotlin | java/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-91 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-91 | Java/Kotlin | java/xquery-injection | 从用户控制的来源构建 XQuery 查询 |
| CWE-93 | Java/Kotlin | java/netty-http-request-or-response-splitting | 禁用的 Netty HTTP 头部验证 |
| CWE-93 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-94 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-94 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-94 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-94 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-94 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-94 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-94 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-94 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-94 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-94 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-94 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-94 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-94 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-94 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-94 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-95 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-113 | Java/Kotlin | java/netty-http-request-or-response-splitting | 禁用的 Netty HTTP 头部验证 |
| CWE-113 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-116 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-117 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的尺寸进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定的尺寸进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-129 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-134 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-185 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-190 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-190 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-190 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中使用用户控制的数据 |
| CWE-190 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中使用不受控制的数据 |
| CWE-190 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-190 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-191 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中使用用户控制的数据 |
| CWE-191 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中使用不受控制的数据 |
| CWE-191 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-193 | Java/Kotlin | java/index-out-of-bounds | 数组索引越界 |
| CWE-197 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-197 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-197 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-197 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中使用用户控制的数据 |
| CWE-200 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-200 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-200 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-200 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-200 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-200 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-200 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-200 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-200 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-200 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-200 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证可能进行的计时攻击 |
| CWE-200 | Java/Kotlin | java/timing-attack-against-headers-value | 对头部值的计时攻击 |
| CWE-200 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的计时攻击 |
| CWE-200 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-200 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-203 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证可能进行的计时攻击 |
| CWE-203 | Java/Kotlin | java/timing-attack-against-headers-value | 对头部值的计时攻击 |
| CWE-203 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的计时攻击 |
| CWE-208 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证可能进行的计时攻击 |
| CWE-208 | Java/Kotlin | java/timing-attack-against-headers-value | 对头部值的计时攻击 |
| CWE-208 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的计时攻击 |
| CWE-209 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-221 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-227 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-227 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-227 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-227 | Java/Kotlin | java/ejb/native-code | EJB 使用原生代码 |
| CWE-227 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-227 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-227 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-227 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-227 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-227 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-227 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-227 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-227 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-227 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-227 | Java/Kotlin | java/inconsistent-equals-and-hashcode | 不一致的 equals 和 hashCode |
| CWE-227 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-227 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-227 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-227 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-227 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-227 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-248 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-248 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-252 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值进行不一致的操作 |
| CWE-252 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-256 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-256 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-260 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-260 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-266 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-269 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-269 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-271 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-273 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-284 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-284 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-284 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-284 | Java/Kotlin | java/android/insecure-local-key-gen | 不安全地生成用于本地身份验证的密钥 |
| CWE-284 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-284 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-284 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-284 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-284 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-284 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-284 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-284 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-284 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-284 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-284 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-284 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-284 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 进行不当验证 |
| CWE-284 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供者中缺少读或写权限 |
| CWE-284 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-284 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-284 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-284 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-284 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-284 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-284 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-284 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-284 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-284 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-284 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-284 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-285 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-285 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-285 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-285 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供者中缺少读或写权限 |
| CWE-285 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-285 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-285 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-285 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-285 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-285 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-285 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-287 | Java/Kotlin | java/android/insecure-local-key-gen | 不安全地生成用于本地身份验证的密钥 |
| CWE-287 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-287 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-287 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-287 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-287 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-287 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-287 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-287 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-287 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-290 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-290 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-295 | Java/Kotlin | java/android/missing-certificate-pinning | Android 缺少证书固定 |
| CWE-295 | Java/Kotlin | java/improper-webview-certificate-validation | Android WebView 接受所有证书 |
| CWE-295 | Java/Kotlin | java/insecure-trustmanager | TrustManager 接受所有证书 |
| CWE-295 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-295 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-295 | Java/Kotlin | java/jxbrowser/disabled-certificate-validation | 禁用证书验证的 JxBrowser |
| CWE-295 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-295 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-295 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用证书吊销检查 |
| CWE-297 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-297 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-297 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-297 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-299 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用证书吊销检查 |
| CWE-300 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-311 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-311 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-311 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 存储敏感信息的明文 |
| CWE-311 | Java/Kotlin | java/non-https-url | 未使用 HTTPS URL |
| CWE-311 | Java/Kotlin | java/non-ssl-connection | 未使用 SSL |
| CWE-311 | Java/Kotlin | java/non-ssl-socket-factory | 未使用 SSL 套接字工厂 |
| CWE-311 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-311 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-311 | Java/Kotlin | java/insecure-cookie | 未使用安全 Cookie |
| CWE-311 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-312 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-312 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-312 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 存储敏感信息的明文 |
| CWE-313 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-315 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-319 | Java/Kotlin | java/non-https-url | 未使用 HTTPS URL |
| CWE-319 | Java/Kotlin | java/non-ssl-connection | 未使用 SSL |
| CWE-319 | Java/Kotlin | java/non-ssl-socket-factory | 未使用 SSL 套接字工厂 |
| CWE-319 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-319 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-319 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-326 | Java/Kotlin | java/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-326 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-326 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-327 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-327 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-327 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-327 | Java/Kotlin | java/azure-storage/unsafe-client-side-encryption-in-use | 不安全使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-327 | Java/Kotlin | java/unsafe-tls-version | 不安全的 TLS 版本 |
| CWE-327 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-328 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-328 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-329 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-330 | Java/Kotlin | java/random-used-once | 随机数只使用一次 |
| CWE-330 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-330 | Java/Kotlin | java/insecure-randomness | 不安全的随机性 |
| CWE-330 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-330 | Java/Kotlin | java/jhipster-prng | 检测 JHipster 生成器漏洞 CVE-2019-16303 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-330 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-330 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-335 | Java/Kotlin | java/random-used-once | 随机数只使用一次 |
| CWE-335 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-337 | Java/Kotlin | java/predictable-seed | 在安全随机数生成器中使用可预测的种子 |
| CWE-338 | Java/Kotlin | java/insecure-randomness | 不安全的随机性 |
| CWE-338 | Java/Kotlin | java/jhipster-prng | 检测 JHipster 生成器漏洞 CVE-2019-16303 |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-344 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-344 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-345 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-345 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-345 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-345 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-345 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-346 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-347 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-348 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-352 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-352 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-362 | Java/Kotlin | java/toctou-race-condition | 时间检查时间使用竞争条件 |
| CWE-362 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-367 | Java/Kotlin | java/toctou-race-condition | 时间检查时间使用竞争条件 |
| CWE-382 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-382 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-383 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-391 | Java/Kotlin | java/discarded-exception | 丢弃的异常 |
| CWE-391 | Java/Kotlin | java/ignored-error-status-of-call | 忽略调用的错误状态 |
| CWE-396 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-398 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-398 | Java/Kotlin | java/dead-class | 死类 |
| CWE-398 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-398 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-398 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-398 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码行 |
| CWE-398 | Java/Kotlin | java/unused-parameter | 无用参数 |
| CWE-398 | Java/Kotlin | java/useless-null-check | 无用空检查 |
| CWE-398 | Java/Kotlin | java/useless-type-test | 无用类型测试 |
| CWE-398 | Java/Kotlin | java/useless-upcast | 无用向上转型 |
| CWE-398 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-398 | Java/Kotlin | java/unused-container | 容器内容从未访问过 |
| CWE-398 | Java/Kotlin | java/constant-comparison | 无用比较测试 |
| CWE-398 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用变量始终为 null |
| CWE-398 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用表达式可能为 null |
| CWE-398 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用变量可能为 null |
| CWE-398 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-398 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-398 | Java/Kotlin | java/potentially-dangerous-function | 使用可能存在危险的函数 |
| CWE-398 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-398 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-398 | Java/Kotlin | java/overwritten-assignment-to-local | 已覆盖分配的值 |
| CWE-398 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用分配 |
| CWE-398 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-398 | Java/Kotlin | java/local-variable-is-never-read | 未读局部变量 |
| CWE-398 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-398 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-398 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-398 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-398 | Java/Kotlin | java/redundant-cast | 不必要的强制类型转换 |
| CWE-398 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-400 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-400 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-400 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-400 | Java/Kotlin | java/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-400 | Java/Kotlin | java/redos | 低效的正则表达式 |
| CWE-400 | Java/Kotlin | java/regex-injection | 正则表达式注入 |
| CWE-400 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-400 | Java/Kotlin | java/local-thread-resource-abuse | 来自本地输入源的线程资源消耗不受控制 |
| CWE-400 | Java/Kotlin | java/thread-resource-abuse | 线程资源消耗不受控制 |
| CWE-404 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-404 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-404 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-404 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-404 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-404 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用证书吊销检查 |
| CWE-405 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-409 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-413 | Java/Kotlin | java/unsynchronized-getter | getter 和 setter 的同步不一致 |
| CWE-420 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-421 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-441 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 在内容解析中使用不受控制的数据 |
| CWE-441 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-454 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-457 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-459 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-459 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-470 | Java/Kotlin | java/android/fragment-injection | Android 片段注入 |
| CWE-470 | Java/Kotlin | java/android/fragment-injection-preference-activity | PreferenceActivity 中的 Android 片段注入 |
| CWE-470 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-470 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-476 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用变量始终为 null |
| CWE-476 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用表达式可能为 null |
| CWE-476 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用变量可能为 null |
| CWE-477 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-478 | Java/Kotlin | java/missing-default-in-switch | switch 语句中缺少默认 case |
| CWE-478 | Java/Kotlin | java/missing-case-in-switch | switch 语句中缺少枚举 case |
| CWE-480 | Java/Kotlin | java/assignment-in-boolean-expression | 在布尔表达式中进行赋值 |
| CWE-480 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-481 | Java/Kotlin | java/assignment-in-boolean-expression | 在布尔表达式中进行赋值 |
| CWE-484 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-485 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-485 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-485 | Java/Kotlin | java/android/debuggable-attribute-enabled | 启用了 Android 可调试属性 |
| CWE-485 | Java/Kotlin | java/android/webview-debugging-enabled | 启用了 Android Webview 调试 |
| CWE-485 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-485 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-485 | Java/Kotlin | java/abstract-to-concrete-cast | 从抽象集合强制类型转换为具体集合 |
| CWE-485 | Java/Kotlin | java/internal-representation-exposure | 公开内部表示 |
| CWE-485 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 Main 方法 |
| CWE-485 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 Main 方法 |
| CWE-485 | Java/Kotlin | java/struts-development-mode | 启用了 Apache Struts 开发模式 |
| CWE-489 | Java/Kotlin | java/android/debuggable-attribute-enabled | 启用了 Android 可调试属性 |
| CWE-489 | Java/Kotlin | java/android/webview-debugging-enabled | 启用了 Android Webview 调试 |
| CWE-489 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 Main 方法 |
| CWE-489 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 Main 方法 |
| CWE-489 | Java/Kotlin | java/struts-development-mode | 启用了 Apache Struts 开发模式 |
| CWE-494 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-497 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-499 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-501 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-502 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-rmi | 在可远程调用方法中进行不安全的反序列化。 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-502 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-522 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-522 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-522 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-522 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-524 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-532 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-538 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-538 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-543 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-546 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-548 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-552 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-552 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-552 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-555 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-555 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-561 | Java/Kotlin | java/dead-class | 死类 |
| CWE-561 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-561 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-561 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-561 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码行 |
| CWE-561 | Java/Kotlin | java/unused-parameter | 无用参数 |
| CWE-561 | Java/Kotlin | java/useless-null-check | 无用空检查 |
| CWE-561 | Java/Kotlin | java/useless-type-test | 无用类型测试 |
| CWE-561 | Java/Kotlin | java/useless-upcast | 无用向上转型 |
| CWE-561 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-561 | Java/Kotlin | java/unused-container | 容器内容从未访问过 |
| CWE-561 | Java/Kotlin | java/constant-comparison | 无用比较测试 |
| CWE-561 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-561 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-561 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用分配 |
| CWE-561 | Java/Kotlin | java/local-variable-is-never-read | 未读局部变量 |
| CWE-561 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-561 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-561 | Java/Kotlin | java/redundant-cast | 不必要的强制类型转换 |
| CWE-561 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-563 | Java/Kotlin | java/overwritten-assignment-to-local | 已覆盖分配的值 |
| CWE-563 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-563 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-564 | Java/Kotlin | java/concatenated-sql-query | 使用可能不可信的字符串进行连接构建查询 |
| CWE-564 | Java/Kotlin | java/sql-injection | 从用户控制的来源构建查询 |
| CWE-568 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-568 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-570 | Java/Kotlin | java/constant-comparison | 无用比较测试 |
| CWE-571 | Java/Kotlin | java/constant-comparison | 无用比较测试 |
| CWE-572 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-573 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-573 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-573 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-573 | Java/Kotlin | java/ejb/native-code | EJB 使用原生代码 |
| CWE-573 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-573 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-573 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-573 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-573 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-573 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-573 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-573 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-573 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-573 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-573 | Java/Kotlin | java/inconsistent-equals-and-hashcode | 不一致的 equals 和 hashCode |
| CWE-573 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-573 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-573 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-573 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-573 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-573 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-574 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-575 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-576 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-577 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-577 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-578 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-580 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-581 | Java/Kotlin | java/inconsistent-equals-and-hashcode | 不一致的 equals 和 hashCode |
| CWE-582 | Java/Kotlin | java/static-array | 容易受到更改的数组常量 |
| CWE-584 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-585 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-592 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-592 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-595 | Java/Kotlin | java/reference-equality-with-object | 对 java.lang.Object 进行引用相等性测试 |
| CWE-595 | Java/Kotlin | java/reference-equality-of-boxed-types | 对装箱类型进行引用相等性测试 |
| CWE-595 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-597 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-598 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-600 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-601 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-601 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring URL 重定向 |
| CWE-609 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不是线程安全的 |
| CWE-609 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-609 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-610 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-610 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 在内容解析中使用不受控制的数据 |
| CWE-610 | Java/Kotlin | java/android/fragment-injection | Android 片段注入 |
| CWE-610 | Java/Kotlin | java/android/fragment-injection-preference-activity | PreferenceActivity 中的 Android 片段注入 |
| CWE-610 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-610 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-610 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-610 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-610 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-610 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-610 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring URL 重定向 |
| CWE-611 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-614 | Java/Kotlin | java/insecure-cookie | 未使用安全 Cookie |
| CWE-625 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-628 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-628 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-642 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-642 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-643 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-652 | Java/Kotlin | java/xquery-injection | 从用户控制的来源构建 XQuery 查询 |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-657 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-657 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-662 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-662 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-662 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-662 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不是线程安全的 |
| CWE-662 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-662 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用同步 |
| CWE-662 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-662 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-662 | Java/Kotlin | java/non-sync-override | 对同步方法进行非同步覆盖 |
| CWE-662 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-662 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态睡眠 |
| CWE-662 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-662 | Java/Kotlin | java/unsynchronized-getter | getter 和 setter 的同步不一致 |
| CWE-662 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-662 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-662 | Java/Kotlin | java/wait-with-two-locks | 等待时保持两个锁 |
| CWE-662 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-664 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-664 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-664 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-664 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-664 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-664 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-664 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不是线程安全的 |
| CWE-664 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-664 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用同步 |
| CWE-664 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-664 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-664 | Java/Kotlin | java/non-sync-override | 对同步方法进行非同步覆盖 |
| CWE-664 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-664 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态睡眠 |
| CWE-664 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-664 | Java/Kotlin | java/unsynchronized-getter | getter 和 setter 的同步不一致 |
| CWE-664 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-664 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-664 | Java/Kotlin | java/wait-with-two-locks | 等待时保持两个锁 |
| CWE-664 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-664 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-664 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-664 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-664 | Java/Kotlin | java/impossible-array-cast | 不可能的数组强制类型转换 |
| CWE-664 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-664 | Java/Kotlin | java/zipslip | 在解压缩存档时出现任意文件访问("Zip Slip") |
| CWE-664 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-664 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的路径遍历漏洞 |
| CWE-664 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-664 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-664 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-664 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-664 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-664 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-664 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-664 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-664 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-664 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-664 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-664 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-664 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-664 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-664 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-664 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-664 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-664 | Java/Kotlin | java/android/insecure-local-key-gen | 不安全地生成用于本地身份验证的密钥 |
| CWE-664 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-664 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-664 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-664 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-664 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-664 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 存储敏感信息的明文 |
| CWE-664 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-664 | Java/Kotlin | java/android/unsafe-content-uri-resolution | 在内容解析中使用不受控制的数据 |
| CWE-664 | Java/Kotlin | java/android/fragment-injection | Android 片段注入 |
| CWE-664 | Java/Kotlin | java/android/fragment-injection-preference-activity | PreferenceActivity 中的 Android 片段注入 |
| CWE-664 | Java/Kotlin | java/android/debuggable-attribute-enabled | 启用了 Android 可调试属性 |
| CWE-664 | Java/Kotlin | java/android/webview-debugging-enabled | 启用了 Android Webview 调试 |
| CWE-664 | Java/Kotlin | java/trust-boundary-violation | 信任边界违规 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-664 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-664 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-664 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-664 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-664 | Java/Kotlin | java/unvalidated-url-redirection | 来自远程源的 URL 重定向 |
| CWE-664 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-664 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中使用用户控制的数据 |
| CWE-664 | Java/Kotlin | java/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-664 | Java/Kotlin | java/redos | 低效的正则表达式 |
| CWE-664 | Java/Kotlin | java/regex-injection | 正则表达式注入 |
| CWE-664 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-664 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-664 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-664 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-664 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-664 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-664 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-664 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-664 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-664 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 进行不当验证 |
| CWE-664 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供者中缺少读或写权限 |
| CWE-664 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-664 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-664 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-664 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-664 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-664 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-664 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-664 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-664 | Java/Kotlin | java/abstract-to-concrete-cast | 从抽象集合强制类型转换为具体集合 |
| CWE-664 | Java/Kotlin | java/internal-representation-exposure | 公开内部表示 |
| CWE-664 | Java/Kotlin | java/static-array | 容易受到更改的数组常量 |
| CWE-664 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-664 | Java/Kotlin | java/openstream-called-on-tainted-url | 对来自远程源创建的 URL 调用 openStream |
| CWE-664 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-664 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-664 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-664 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-664 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-664 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-664 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-664 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-664 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-664 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-664 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-664 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证可能进行的计时攻击 |
| CWE-664 | Java/Kotlin | java/timing-attack-against-headers-value | 对头部值的计时攻击 |
| CWE-664 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的计时攻击 |
| CWE-664 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-664 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-664 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用证书吊销检查 |
| CWE-664 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-664 | Java/Kotlin | java/local-thread-resource-abuse | 来自本地输入源的线程资源消耗不受控制 |
| CWE-664 | Java/Kotlin | java/thread-resource-abuse | 线程资源消耗不受控制 |
| CWE-664 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-664 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-664 | Java/Kotlin | java/main-method-in-enterprise-bean | 企业 Java Bean 中的 Main 方法 |
| CWE-664 | Java/Kotlin | java/main-method-in-web-components | Java EE Web 组件中的 Main 方法 |
| CWE-664 | Java/Kotlin | java/struts-development-mode | 启用了 Apache Struts 开发模式 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-rmi | 在可远程调用方法中进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-664 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-664 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-664 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-664 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-664 | Java/Kotlin | java/spring-unvalidated-url-redirection | 来自远程源的 Spring URL 重定向 |
| CWE-664 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-664 | Java/Kotlin | java/insecure-rmi-jmx-server-initialization | InsecureRmiJmxAuthenticationEnvironment |
| CWE-664 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-665 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-665 | Java/Kotlin | java/unassigned-field | 字段从未分配非空值 |
| CWE-665 | Java/Kotlin | java/insecure-rmi-jmx-server-initialization | InsecureRmiJmxAuthenticationEnvironment |
| CWE-667 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不是线程安全的 |
| CWE-667 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-667 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-667 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态睡眠 |
| CWE-667 | Java/Kotlin | java/unsynchronized-getter | getter 和 setter 的同步不一致 |
| CWE-667 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-667 | Java/Kotlin | java/wait-with-two-locks | 等待时保持两个锁 |
| CWE-667 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-668 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-668 | Java/Kotlin | java/zipslip | 在解压缩存档时出现任意文件访问("Zip Slip") |
| CWE-668 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-668 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的路径遍历漏洞 |
| CWE-668 | Java/Kotlin | java/android/sensitive-notification | 将敏感信息暴露给通知 |
| CWE-668 | Java/Kotlin | java/android/sensitive-text | 将敏感信息暴露给 UI 文本视图 |
| CWE-668 | Java/Kotlin | java/android/websettings-allow-content-access | Android WebView 设置允许访问内容链接 |
| CWE-668 | Java/Kotlin | java/android/websettings-file-access | Android WebSettings 文件访问 |
| CWE-668 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-668 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-668 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-668 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-668 | Java/Kotlin | java/android/sensitive-keyboard-cache | Android 敏感键盘缓存 |
| CWE-668 | Java/Kotlin | java/sensitive-log | 将敏感信息插入日志文件 |
| CWE-668 | Java/Kotlin | java/unvalidated-url-forward | 来自远程源的 URL 转发 |
| CWE-668 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-668 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-668 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-668 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-668 | Java/Kotlin | java/static-array | 容易受到更改的数组常量 |
| CWE-668 | Java/Kotlin | java/openstream-called-on-tainted-url | 对来自远程源创建的 URL 调用 openStream |
| CWE-668 | Java/Kotlin | java/file-path-injection | 文件路径注入 |
| CWE-668 | Java/Kotlin | java/insecure-webview-resource-response | 不安全的 Android WebView 资源响应 |
| CWE-668 | Java/Kotlin | java/sensitive-android-file-leak | 泄露敏感的 Android 文件 |
| CWE-668 | Java/Kotlin | java/possible-timing-attack-against-signature | 对签名验证可能进行的计时攻击 |
| CWE-668 | Java/Kotlin | java/timing-attack-against-headers-value | 对头部值的计时攻击 |
| CWE-668 | Java/Kotlin | java/timing-attack-against-signature | 对签名验证的计时攻击 |
| CWE-668 | Java/Kotlin | java/server-directory-listing | 目录和文件暴露 |
| CWE-668 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-668 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-668 | Java/Kotlin | java/sensitive-query-with-get | 敏感的 GET 查询 |
| CWE-669 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-669 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-670 | Java/Kotlin | java/whitespace-contradicts-precedence | 空白与运算符优先级相矛盾 |
| CWE-670 | Java/Kotlin | java/assignment-in-boolean-expression | 在布尔表达式中进行赋值 |
| CWE-670 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-670 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-671 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-671 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-674 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-675 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-676 | Java/Kotlin | java/potentially-dangerous-function | 使用可能存在危险的函数 |
| CWE-681 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-681 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-681 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-681 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中使用用户控制的数据 |
| CWE-682 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-682 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-682 | Java/Kotlin | java/index-out-of-bounds | 数组索引越界 |
| CWE-682 | Java/Kotlin | java/tainted-arithmetic | 算术表达式中使用用户控制的数据 |
| CWE-682 | Java/Kotlin | java/uncontrolled-arithmetic | 算术表达式中使用不受控制的数据 |
| CWE-682 | Java/Kotlin | java/extreme-value-arithmetic | 在算术表达式中使用极端值 |
| CWE-682 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-685 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-685 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-691 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-691 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-691 | Java/Kotlin | java/whitespace-contradicts-precedence | 空白与运算符优先级相矛盾 |
| CWE-691 | Java/Kotlin | java/assignment-in-boolean-expression | 在布尔表达式中进行赋值 |
| CWE-691 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-691 | Java/Kotlin | java/wait-on-condition-interface | 等待条件 |
| CWE-691 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-691 | Java/Kotlin | java/unsafe-double-checked-locking | 双重检查锁定不是线程安全的 |
| CWE-691 | Java/Kotlin | java/unsafe-double-checked-locking-init-order | 双重检查锁定对象初始化中的竞争条件 |
| CWE-691 | Java/Kotlin | java/unsafe-sync-on-field | 对字段进行无用同步 |
| CWE-691 | Java/Kotlin | java/inconsistent-field-synchronization | 字段的同步不一致 |
| CWE-691 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-691 | Java/Kotlin | java/non-sync-override | 对同步方法进行非同步覆盖 |
| CWE-691 | Java/Kotlin | java/notify-instead-of-notify-all | 使用 notify 而不是 notifyAll |
| CWE-691 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态睡眠 |
| CWE-691 | Java/Kotlin | java/sync-on-boxed-types | 对装箱类型或字符串进行同步 |
| CWE-691 | Java/Kotlin | java/unsynchronized-getter | getter 和 setter 的同步不一致 |
| CWE-691 | Java/Kotlin | java/inconsistent-sync-writeobject | writeObject() 的同步不一致 |
| CWE-691 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-691 | Java/Kotlin | java/wait-with-two-locks | 等待时保持两个锁 |
| CWE-691 | Java/Kotlin | java/non-short-circuit-evaluation | 危险的非短路逻辑 |
| CWE-691 | Java/Kotlin | java/constant-loop-condition | 循环条件常量 |
| CWE-691 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-691 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-691 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-691 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-691 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-691 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-691 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-691 | Java/Kotlin | java/toctou-race-condition | 时间检查时间使用竞争条件 |
| CWE-691 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-691 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-691 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-691 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-691 | Java/Kotlin | java/unreachable-exit-in-loop | 循环具有不可达的退出条件 |
| CWE-691 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-691 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-691 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-691 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-691 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-691 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-691 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-691 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-691 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-691 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-691 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-691 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-691 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-691 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-693 | Java/Kotlin | java/count-untrusted-data-external-api | 使用不可信数据访问外部 API 的频率统计 |
| CWE-693 | Java/Kotlin | java/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | Java/Kotlin | java/untrusted-data-to-external-api | 将不可信数据传递给外部 API |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-construction | 对用于数组构造的用户提供的尺寸进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-construction-code-specified | 对用于数组构造的代码指定的尺寸进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-index | 对用户提供的数组索引进行不当验证 |
| CWE-693 | Java/Kotlin | java/improper-validation-of-array-index-code-specified | 对代码指定的数组索引进行不当验证 |
| CWE-693 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-693 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-693 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-693 | Java/Kotlin | java/android/insecure-local-key-gen | 不安全地生成用于本地身份验证的密钥 |
| CWE-693 | Java/Kotlin | java/android/insecure-local-authentication | 不安全的本地身份验证 |
| CWE-693 | Java/Kotlin | java/android/missing-certificate-pinning | Android 缺少证书固定 |
| CWE-693 | Java/Kotlin | java/improper-webview-certificate-validation | Android WebView 接受所有证书 |
| CWE-693 | Java/Kotlin | java/insecure-trustmanager | TrustManager 接受所有证书 |
| CWE-693 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-693 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-693 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-693 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-693 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 存储敏感信息的明文 |
| CWE-693 | Java/Kotlin | java/non-https-url | 未使用 HTTPS URL |
| CWE-693 | Java/Kotlin | java/non-ssl-connection | 未使用 SSL |
| CWE-693 | Java/Kotlin | java/non-ssl-socket-factory | 未使用 SSL 套接字工厂 |
| CWE-693 | Java/Kotlin | java/insufficient-key-size | 使用密钥长度不足的加密算法 |
| CWE-693 | Java/Kotlin | java/weak-cryptographic-algorithm | 使用已损坏或有风险的加密算法 |
| CWE-693 | Java/Kotlin | java/potentially-weak-cryptographic-algorithm | 使用可能已损坏或有风险的加密算法 |
| CWE-693 | Java/Kotlin | java/missing-jwt-signature-check | 缺少 JWT 签名检查 |
| CWE-693 | Java/Kotlin | java/spring-disabled-csrf-protection | 禁用了 Spring CSRF 保护 |
| CWE-693 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-693 | Java/Kotlin | java/insecure-basic-auth | 不安全的 Basic 身份验证 |
| CWE-693 | Java/Kotlin | java/insecure-ldap-auth | 不安全的 LDAP 身份验证 |
| CWE-693 | Java/Kotlin | java/insecure-cookie | 未使用安全 Cookie |
| CWE-693 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-693 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-693 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-693 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-693 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-693 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-693 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-693 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 进行不当验证 |
| CWE-693 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供者中缺少读或写权限 |
| CWE-693 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-693 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-693 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-693 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-693 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-693 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-693 | Java/Kotlin | java/jxbrowser/disabled-certificate-validation | 禁用证书验证的 JxBrowser |
| CWE-693 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-693 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-693 | Java/Kotlin | java/disabled-certificate-revocation-checking | 禁用证书吊销检查 |
| CWE-693 | Java/Kotlin | java/azure-storage/unsafe-client-side-encryption-in-use | 不安全使用 Azure 存储客户端侧加密的 v1 版本(CVE-2022-30187)。 |
| CWE-693 | Java/Kotlin | java/unsafe-tls-version | 不安全的 TLS 版本 |
| CWE-693 | Java/Kotlin | java/unvalidated-cors-origin-set | CORS 来自不可信的输入 |
| CWE-693 | Java/Kotlin | java/ip-address-spoofing | IP 地址欺骗 |
| CWE-693 | Java/Kotlin | java/jsonp-injection | JSONP 注入 |
| CWE-693 | Java/Kotlin | java/credentials-in-properties | 属性文件中的明文凭据 |
| CWE-693 | Java/Kotlin | java/password-in-configuration | 配置文件中的密码 |
| CWE-693 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-693 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-693 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-695 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-695 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-695 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-695 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-697 | Java/Kotlin | java/missing-default-in-switch | switch 语句中缺少默认 case |
| CWE-697 | Java/Kotlin | java/reference-equality-with-object | 对 java.lang.Object 进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/reference-equality-of-boxed-types | 对装箱类型进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/reference-equality-on-strings | 对字符串进行引用相等性测试 |
| CWE-697 | Java/Kotlin | java/missing-case-in-switch | switch 语句中缺少枚举 case |
| CWE-697 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-703 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值进行不一致的操作 |
| CWE-703 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-703 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-703 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-703 | Java/Kotlin | java/discarded-exception | 丢弃的异常 |
| CWE-703 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-703 | Java/Kotlin | java/ignored-error-status-of-call | 忽略调用的错误状态 |
| CWE-703 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-703 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-703 | Java/Kotlin | java/android/nfe-local-android-dos | NumberFormatException 导致的本地 Android DoS |
| CWE-704 | Java/Kotlin | java/implicit-cast-in-compound-assignment | 复合赋值中的隐式缩窄转换 |
| CWE-704 | Java/Kotlin | java/integer-multiplication-cast-to-long | 将乘法的结果转换为更宽的类型 |
| CWE-704 | Java/Kotlin | java/impossible-array-cast | 不可能的数组强制类型转换 |
| CWE-704 | Java/Kotlin | java/comparison-with-wider-type | 在循环条件中将窄类型与宽类型进行比较 |
| CWE-704 | Java/Kotlin | java/tainted-numeric-cast | 数值转换中使用用户控制的数据 |
| CWE-705 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-705 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-705 | Java/Kotlin | java/uncaught-number-format-exception | 缺少对 NumberFormatException 的捕获 |
| CWE-705 | Java/Kotlin | java/jvm-exit | 强制 JVM 终止 |
| CWE-705 | Java/Kotlin | java/abnormal-finally-completion | finally 块可能无法正常完成 |
| CWE-705 | Java/Kotlin | java/uncaught-servlet-exception | 未捕获的 Servlet 异常 |
| CWE-706 | Java/Kotlin | java/path-injection | 路径表达式中使用不受控制的数据 |
| CWE-706 | Java/Kotlin | java/zipslip | 在解压缩存档时出现任意文件访问("Zip Slip") |
| CWE-706 | Java/Kotlin | java/partial-path-traversal | 部分路径遍历漏洞 |
| CWE-706 | Java/Kotlin | java/partial-path-traversal-from-remote | 来自远程的路径遍历漏洞 |
| CWE-706 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-706 | Java/Kotlin | java/openstream-called-on-tainted-url | 对来自远程源创建的 URL 调用 openStream |
| CWE-707 | Java/Kotlin | java/jndi-injection | 使用用户控制的名称进行 JNDI 查找 |
| CWE-707 | Java/Kotlin | java/xslt-injection | 使用用户控制的样式表进行 XSLT 转换 |
| CWE-707 | Java/Kotlin | java/relative-path-command | 使用相对路径执行命令 |
| CWE-707 | Java/Kotlin | java/command-line-injection | 不受控制的命令行 |
| CWE-707 | Java/Kotlin | java/exec-tainted-environment | 使用注入的环境变量构建命令 |
| CWE-707 | Java/Kotlin | java/concatenated-command-line | 使用字符串连接构建命令行 |
| CWE-707 | Java/Kotlin | java/android/webview-addjavascriptinterface | 通过 JavaScript 暴露访问 Java 对象方法 |
| CWE-707 | Java/Kotlin | java/android/websettings-javascript-enabled | Android WebView JavaScript 设置 |
| CWE-707 | Java/Kotlin | java/xss | 跨站脚本攻击 |
| CWE-707 | Java/Kotlin | java/concatenated-sql-query | 使用可能不可信的字符串进行连接构建查询 |
| CWE-707 | Java/Kotlin | java/sql-injection | 从用户控制的来源构建查询 |
| CWE-707 | Java/Kotlin | java/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-707 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-707 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-707 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-707 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-707 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-707 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-707 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-707 | Java/Kotlin | java/netty-http-request-or-response-splitting | 禁用的 Netty HTTP 头部验证 |
| CWE-707 | Java/Kotlin | java/http-response-splitting | HTTP 响应拆分 |
| CWE-707 | Java/Kotlin | java/log-injection | 日志注入 |
| CWE-707 | Java/Kotlin | java/tainted-format-string | 使用外部控制的格式字符串 |
| CWE-707 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-707 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-707 | Java/Kotlin | java/ognl-injection | 使用用户控制的输入的 OGNL 表达式语言语句 |
| CWE-707 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-707 | Java/Kotlin | java/command-line-injection-extra | 使用危险命令将命令注入 Runtime.exec() |
| CWE-707 | Java/Kotlin | java/command-line-injection-extra-local | 使用危险命令将命令注入 Runtime.exec() |
| CWE-707 | Java/Kotlin | java/command-line-injection-experimental | 不受控制的命令行(实验性接收器) |
| CWE-707 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-707 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-707 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-707 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-707 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-707 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-707 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-707 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-707 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-707 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-707 | Java/Kotlin | java/xquery-injection | 从用户控制的来源构建 XQuery 查询 |
| CWE-710 | Java/Kotlin | java/deprecated-call | 已弃用的方法或构造函数调用 |
| CWE-710 | Java/Kotlin | java/dead-class | 死类 |
| CWE-710 | Java/Kotlin | java/dead-enum-constant | 死枚举常量 |
| CWE-710 | Java/Kotlin | java/dead-field | 死字段 |
| CWE-710 | Java/Kotlin | java/dead-function | 死方法 |
| CWE-710 | Java/Kotlin | java/lines-of-dead-code | 文件中死代码行 |
| CWE-710 | Java/Kotlin | java/unused-parameter | 无用参数 |
| CWE-710 | Java/Kotlin | java/ejb/container-interference | EJB 干扰容器操作 |
| CWE-710 | Java/Kotlin | java/ejb/file-io | EJB 使用文件输入/输出 |
| CWE-710 | Java/Kotlin | java/ejb/graphics | EJB 使用图形 |
| CWE-710 | Java/Kotlin | java/ejb/native-code | EJB 使用原生代码 |
| CWE-710 | Java/Kotlin | java/ejb/reflection | EJB 使用反射 |
| CWE-710 | Java/Kotlin | java/ejb/security-configuration-access | EJB 访问安全配置 |
| CWE-710 | Java/Kotlin | java/ejb/substitution-in-serialization | EJB 在序列化中使用替换 |
| CWE-710 | Java/Kotlin | java/ejb/socket-or-stream-handler-factory | EJB 设置套接字工厂或 URL 流处理程序工厂 |
| CWE-710 | Java/Kotlin | java/ejb/server-socket | EJB 使用服务器套接字 |
| CWE-710 | Java/Kotlin | java/ejb/non-final-static-field | EJB 使用非 final 静态字段 |
| CWE-710 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-710 | Java/Kotlin | java/ejb/this | EJB 使用 'this' 作为参数或结果 |
| CWE-710 | Java/Kotlin | java/ejb/threads | EJB 使用线程 |
| CWE-710 | Java/Kotlin | java/useless-null-check | 无用空检查 |
| CWE-710 | Java/Kotlin | java/useless-type-test | 无用类型测试 |
| CWE-710 | Java/Kotlin | java/useless-upcast | 无用向上转型 |
| CWE-710 | Java/Kotlin | java/missing-call-to-super-clone | 缺少 super clone |
| CWE-710 | Java/Kotlin | java/empty-container | 容器内容从未初始化 |
| CWE-710 | Java/Kotlin | java/unused-container | 容器内容从未访问过 |
| CWE-710 | Java/Kotlin | java/inconsistent-equals-and-hashcode | 不一致的 equals 和 hashCode |
| CWE-710 | Java/Kotlin | java/constant-comparison | 无用比较测试 |
| CWE-710 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-710 | Java/Kotlin | java/missing-super-finalize | 终结器不一致 |
| CWE-710 | Java/Kotlin | java/missing-format-argument | 缺少格式参数 |
| CWE-710 | Java/Kotlin | java/unused-format-argument | 未使用的格式参数 |
| CWE-710 | Java/Kotlin | java/dereferenced-value-is-always-null | 解引用变量始终为 null |
| CWE-710 | Java/Kotlin | java/dereferenced-expr-may-be-null | 解引用表达式可能为 null |
| CWE-710 | Java/Kotlin | java/dereferenced-value-may-be-null | 解引用变量可能为 null |
| CWE-710 | Java/Kotlin | java/empty-synchronized-block | 空的同步块 |
| CWE-710 | Java/Kotlin | java/unreachable-catch-clause | 不可达的 catch 子句 |
| CWE-710 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-710 | Java/Kotlin | java/potentially-dangerous-function | 使用可能存在危险的函数 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-710 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-710 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-710 | Java/Kotlin | java/todo-comment | TODO/FIXME 注释 |
| CWE-710 | Java/Kotlin | java/unused-reference-type | 未使用的类和接口 |
| CWE-710 | Java/Kotlin | java/overwritten-assignment-to-local | 已覆盖分配的值 |
| CWE-710 | Java/Kotlin | java/useless-assignment-to-local | 对局部变量的无用分配 |
| CWE-710 | Java/Kotlin | java/empty-finalizer | 终结器的空主体 |
| CWE-710 | Java/Kotlin | java/unused-initialized-local | 局部变量已初始化但未使用 |
| CWE-710 | Java/Kotlin | java/local-variable-is-never-read | 未读局部变量 |
| CWE-710 | Java/Kotlin | java/unused-field | 未使用的字段 |
| CWE-710 | Java/Kotlin | java/unused-label | 未使用的标签 |
| CWE-710 | Java/Kotlin | java/unused-local-variable | 未使用的局部变量 |
| CWE-710 | Java/Kotlin | java/switch-fall-through | 未终止的 switch case |
| CWE-710 | Java/Kotlin | java/redundant-cast | 不必要的强制类型转换 |
| CWE-710 | Java/Kotlin | java/unused-import | 不必要的导入 |
| CWE-732 | Java/Kotlin | java/local-temp-file-or-directory-information-disclosure | 临时目录中的本地信息泄露 |
| CWE-732 | Java/Kotlin | java/world-writable-file-read | 从世界可写文件读取 |
| CWE-749 | Java/Kotlin | java/android/unsafe-android-webview-fetch | Android WebView 中不安全的资源获取 |
| CWE-754 | Java/Kotlin | java/inconsistent-call-on-result | 对返回值进行不一致的操作 |
| CWE-754 | Java/Kotlin | java/return-value-ignored | 忽略方法结果 |
| CWE-754 | Java/Kotlin | java/unsafe-cert-trust | 不安全的证书信任 |
| CWE-755 | Java/Kotlin | java/stack-trace-exposure | 通过堆栈跟踪泄露信息 |
| CWE-755 | Java/Kotlin | java/overly-general-catch | 过于通用的捕获子句 |
| CWE-755 | Java/Kotlin | java/android/nfe-local-android-dos | NumberFormatException 导致的本地 Android DoS |
| CWE-759 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-764 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-772 | Java/Kotlin | java/input-resource-leak | 潜在的输入资源泄漏 |
| CWE-772 | Java/Kotlin | java/database-resource-leak | 潜在的数据库资源泄漏 |
| CWE-772 | Java/Kotlin | java/output-resource-leak | 潜在的输出资源泄漏 |
| CWE-776 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-780 | Java/Kotlin | java/rsa-without-oaep | 使用没有 OAEP 的 RSA 算法 |
| CWE-783 | Java/Kotlin | java/whitespace-contradicts-precedence | 空白与运算符优先级相矛盾 |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-api-call | API 调用中的硬编码凭据 |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-comparison | 硬编码凭据比较 |
| CWE-798 | Java/Kotlin | java/hardcoded-credential-sensitive-call | 敏感调用中的硬编码凭据 |
| CWE-798 | Java/Kotlin | java/hardcoded-password-field | 硬编码密码字段 |
| CWE-807 | Java/Kotlin | java/user-controlled-bypass | 用户控制的敏感方法绕过 |
| CWE-807 | Java/Kotlin | java/tainted-permissions-check | 权限检查中使用用户控制的数据 |
| CWE-820 | Java/Kotlin | java/lazy-initialization | 静态字段的延迟初始化不正确 |
| CWE-820 | Java/Kotlin | java/non-sync-override | 对同步方法进行非同步覆盖 |
| CWE-821 | Java/Kotlin | java/ejb/synchronization | EJB 使用同步 |
| CWE-821 | Java/Kotlin | java/call-to-thread-run | 直接调用 run() 方法 |
| CWE-827 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-829 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-829 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-833 | Java/Kotlin | java/sleep-with-lock-held | 保持锁状态睡眠 |
| CWE-833 | Java/Kotlin | java/unreleased-lock | 未释放的锁 |
| CWE-833 | Java/Kotlin | java/wait-with-two-locks | 等待时保持两个锁 |
| CWE-833 | Java/Kotlin | java/lock-order-inconsistency | 锁顺序不一致 |
| CWE-834 | Java/Kotlin | java/constant-loop-condition | 循环条件常量 |
| CWE-834 | Java/Kotlin | java/xxe | 在用户控制的数据中解析 XML 外部实体 |
| CWE-834 | Java/Kotlin | java/unreachable-exit-in-loop | 循环具有不可达的退出条件 |
| CWE-835 | Java/Kotlin | java/constant-loop-condition | 循环条件常量 |
| CWE-835 | Java/Kotlin | java/unreachable-exit-in-loop | 循环具有不可达的退出条件 |
| CWE-862 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-863 | Java/Kotlin | java/permissive-dot-regex | 正则表达式中使用宽松的 . 匹配 URL |
| CWE-913 | Java/Kotlin | java/android/arbitrary-apk-installation | Android APK 安装 |
| CWE-913 | Java/Kotlin | java/groovy-injection | Groovy 语言注入 |
| CWE-913 | Java/Kotlin | java/insecure-bean-validation | 不安全的 Bean 验证 |
| CWE-913 | Java/Kotlin | java/jexl-expression-injection | 表达式语言注入 (JEXL) |
| CWE-913 | Java/Kotlin | java/mvel-expression-injection | 表达式语言注入 (MVEL) |
| CWE-913 | Java/Kotlin | java/spel-expression-injection | 表达式语言注入 (Spring) |
| CWE-913 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |
| CWE-913 | Java/Kotlin | java/android/fragment-injection | Android 片段注入 |
| CWE-913 | Java/Kotlin | java/android/fragment-injection-preference-activity | PreferenceActivity 中的 Android 片段注入 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-913 | Java/Kotlin | java/log4j-injection | 潜在的 Log4J LDAP JNDI 注入 (CVE-2021-44228) |
| CWE-913 | Java/Kotlin | java/beanshell-injection | BeanShell 注入 |
| CWE-913 | Java/Kotlin | java/android-insecure-dex-loading | 不安全地加载 Android Dex 文件 |
| CWE-913 | Java/Kotlin | java/jshell-injection | JShell 注入 |
| CWE-913 | Java/Kotlin | java/javaee-expression-injection | Jakarta 表达式语言注入 |
| CWE-913 | Java/Kotlin | java/jython-injection | Jython 中的注入 |
| CWE-913 | Java/Kotlin | java/unsafe-eval | Java 脚本引擎中的注入 |
| CWE-913 | Java/Kotlin | java/spring-view-manipulation-implicit | Spring 隐式视图操作 |
| CWE-913 | Java/Kotlin | java/spring-view-manipulation | Spring 视图操作 |
| CWE-913 | Java/Kotlin | java/android/unsafe-reflection | 在没有签名检查的情况下加载第三方类或代码('不安全的反射') |
| CWE-913 | Java/Kotlin | java/unsafe-reflection | 使用外部控制的输入来选择类或代码('不安全的反射') |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-rmi | 在可远程调用方法中进行不安全的反序列化。 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-configuration-class | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-913 | Java/Kotlin | java/unsafe-deserialization-spring-exporter-in-xml-configuration | 使用 Spring 的远程服务导出器进行不安全的反序列化。 |
| CWE-916 | Java/Kotlin | java/hash-without-salt | 使用没有盐的哈希函数 |
| CWE-917 | Java/Kotlin | java/ognl-injection | 使用用户控制的输入的 OGNL 表达式语言语句 |
| CWE-918 | Java/Kotlin | java/ssrf | 服务器端请求伪造 |
| CWE-922 | Java/Kotlin | java/android/backup-enabled | 允许应用程序备份 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-database | 使用 Android 上的本地数据库明文存储敏感信息 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-filesystem | Android 文件系统中敏感信息的明文存储 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-class | 使用可存储类存储敏感信息的明文 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-cookie | Cookie 中敏感信息的明文存储 |
| CWE-922 | Java/Kotlin | java/cleartext-storage-in-properties | 使用 'Properties' 类存储敏感信息的明文 |
| CWE-922 | Java/Kotlin | java/android/cleartext-storage-shared-prefs | 使用 Android 上的 SharedPreferences 存储敏感信息的明文 |
| CWE-923 | Java/Kotlin | java/insecure-smtp-ssl | 不安全的 JavaMail SSL 配置 |
| CWE-923 | Java/Kotlin | java/unsafe-hostname-verification | 不安全的主机名验证 |
| CWE-923 | Java/Kotlin | java/socket-auth-race-condition | 套接字身份验证中的竞争条件 |
| CWE-923 | Java/Kotlin | java/maven/non-https-url | Maven 工件上传/下载中未使用 HTTPS 或 SFTP URL |
| CWE-923 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 进行不当验证 |
| CWE-923 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-923 | Java/Kotlin | java/ignored-hostname-verification | 忽略主机名验证的结果 |
| CWE-923 | Java/Kotlin | java/insecure-ldaps-endpoint | 不安全的 LDAPS 端点配置 |
| CWE-925 | Java/Kotlin | java/improper-intent-verification | 广播接收器对 Intent 进行不当验证 |
| CWE-926 | Java/Kotlin | java/android/intent-uri-permission-manipulation | Intent URI 权限操作 |
| CWE-926 | Java/Kotlin | java/android/incomplete-provider-permissions | 内容提供者中缺少读或写权限 |
| CWE-926 | Java/Kotlin | java/android/implicitly-exported-component | 隐式导出 Android 组件 |
| CWE-926 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-927 | Java/Kotlin | java/android/implicit-pendingintents | 使用隐式 PendingIntents |
| CWE-927 | Java/Kotlin | java/android/sensitive-communication | 通过隐式 Intent 泄露敏感信息 |
| CWE-927 | Java/Kotlin | java/android/sensitive-result-receiver | 通过 ResultReceiver 泄露敏感信息 |
| CWE-939 | Java/Kotlin | java/incorrect-url-verification | 不正确的 URL 验证 |
| CWE-940 | Java/Kotlin | java/android/intent-redirection | Android Intent 重定向 |
| CWE-943 | Java/Kotlin | java/concatenated-sql-query | 使用可能不可信的字符串进行连接构建查询 |
| CWE-943 | Java/Kotlin | java/sql-injection | 从用户控制的来源构建查询 |
| CWE-943 | Java/Kotlin | java/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-943 | Java/Kotlin | java/xml/xpath-injection | XPath 注入 |
| CWE-943 | Java/Kotlin | java/mybatis-annotation-sql-injection | MyBatis 注解中的 SQL 注入 |
| CWE-943 | Java/Kotlin | java/mybatis-xml-sql-injection | MyBatis Mapper XML 中的 SQL 注入 |
| CWE-943 | Java/Kotlin | java/xquery-injection | 从用户控制的来源构建 XQuery 查询 |
| CWE-1004 | Java/Kotlin | java/tomcat-disabled-httponly | Tomcat 配置禁用了 'HttpOnly' 标志(XSS 风险) |
| CWE-1004 | Java/Kotlin | java/sensitive-cookie-not-httponly | 敏感 Cookie 没有设置 HttpOnly 响应头 |
| CWE-1104 | Java/Kotlin | java/maven/dependency-upon-bintray | 依赖于 JCenter/Bintray 作为工件存储库 |
| CWE-1204 | Java/Kotlin | java/static-initialization-vector | 使用静态初始化向量进行加密 |
| CWE-1333 | Java/Kotlin | java/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-1333 | Java/Kotlin | java/redos | 低效的正则表达式 |
| CWE-1336 | Java/Kotlin | java/server-side-template-injection | 服务器端模板注入 |