Python 的 CWE 覆盖范围¶
CodeQL 最新版本中 Python 的 CWE 覆盖范围概述。
概述¶
| CWE | 语言 | 查询 ID | 查询名称 |
|---|---|---|---|
| CWE-20 | Python | py/count-untrusted-data-external-api | 使用不受信任的数据的外部 API 的频率计数 |
| CWE-20 | Python | py/untrusted-data-to-external-api | 传递给外部 API 的不受信任数据 |
| CWE-20 | Python | py/incomplete-hostname-regexp | 主机名的正则表达式不完整 |
| CWE-20 | Python | py/incomplete-url-substring-sanitization | 不完整的 URL 子字符串清理 |
| CWE-20 | Python | py/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-20 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-22 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-22 | Python | py/tarslip | 在提取 tar 文件时进行任意文件写入 |
| CWE-22 | Python | py/zipslip | 在提取归档文件时进行任意文件访问(“Zip Slip”) |
| CWE-22 | Python | py/tarslip-extended | 在提取 tar 文件时进行任意文件写入 |
| CWE-22 | Python | py/unsafe-unpacking | 从用户控制的来源提取 tar 包时进行任意文件写入 |
| CWE-23 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-36 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-73 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-73 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-74 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-74 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-74 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-74 | Python | py/jinja2/autoescape-false | Jinja2 模板,其中 autoescape=False |
| CWE-74 | Python | py/reflective-xss | 反射型服务器端跨站点脚本 |
| CWE-74 | Python | py/sql-injection | 从用户控制的来源构建 SQL 查询 |
| CWE-74 | Python | py/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-74 | Python | py/code-injection | 代码注入 |
| CWE-74 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-74 | Python | py/xpath-injection | 从用户控制的来源构建 XPath 查询 |
| CWE-74 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-74 | Python | py/template-injection | 服务器端模板注入 |
| CWE-74 | Python | py/paramiko-command-injection | 在辅助远程服务器上执行命令 |
| CWE-74 | Python | py/reflective-xss-email | 反射型服务器端跨站点脚本 |
| CWE-74 | Python | py/xslt-injection | 从用户控制的来源构建 XSLT 查询 |
| CWE-77 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-77 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-78 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-78 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-79 | Python | py/jinja2/autoescape-false | Jinja2 模板,其中 autoescape=False |
| CWE-79 | Python | py/reflective-xss | 反射型服务器端跨站点脚本 |
| CWE-79 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-79 | Python | py/reflective-xss-email | 反射型服务器端跨站点脚本 |
| CWE-88 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-88 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-89 | Python | py/sql-injection | 从用户控制的来源构建 SQL 查询 |
| CWE-90 | Python | py/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-91 | Python | py/xpath-injection | 从用户控制的来源构建 XPath 查询 |
| CWE-91 | Python | py/xslt-injection | 从用户控制的来源构建 XSLT 查询 |
| CWE-93 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-94 | Python | py/code-injection | 代码注入 |
| CWE-95 | Python | py/code-injection | 代码注入 |
| CWE-99 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-113 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-116 | Python | py/reflective-xss | 反射型服务器端跨站点脚本 |
| CWE-116 | Python | py/code-injection | 代码注入 |
| CWE-116 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-116 | Python | py/log-injection | 日志注入 |
| CWE-116 | Python | py/reflective-xss-email | 反射型服务器端跨站点脚本 |
| CWE-117 | Python | py/log-injection | 日志注入 |
| CWE-172 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-176 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-179 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-180 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-185 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-186 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-200 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-200 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-200 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-200 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-200 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-200 | Python | py/possible-timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-200 | Python | py/timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-200 | Python | py/timing-attack-against-header-value | 针对标头值的计时攻击 |
| CWE-200 | Python | py/possible-timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-200 | Python | py/timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-203 | Python | py/possible-timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-203 | Python | py/timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-203 | Python | py/timing-attack-against-header-value | 针对标头值的计时攻击 |
| CWE-203 | Python | py/possible-timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-203 | Python | py/timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-208 | Python | py/possible-timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-208 | Python | py/timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-208 | Python | py/timing-attack-against-header-value | 针对标头值的计时攻击 |
| CWE-208 | Python | py/possible-timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-208 | Python | py/timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-209 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-215 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-221 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-227 | Python | py/equals-hash-mismatch | 不一致的相等和哈希 |
| CWE-227 | Python | py/call/wrong-named-class-argument | 类实例化中参数的名称错误 |
| CWE-227 | Python | py/call/wrong-number-class-arguments | 类实例化中参数的数量错误 |
| CWE-227 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-227 | Python | py/call/wrong-named-argument | 调用中参数的名称错误 |
| CWE-227 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-227 | Python | py/call/wrong-arguments | 调用中参数的数量错误 |
| CWE-252 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-259 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-284 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-284 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-284 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-284 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-284 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-284 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-285 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-285 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-287 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-287 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-287 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-287 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-295 | Python | py/paramiko-missing-host-key-validation | 使用 Paramiko 时接受未知的 SSH 主机密钥 |
| CWE-295 | Python | py/request-without-cert-validation | 未进行证书验证的请求 |
| CWE-311 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-311 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-311 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-311 | Python | py/insecure-cookie | 未能使用安全的 Cookie |
| CWE-312 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-312 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-315 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-321 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-326 | Python | py/weak-crypto-key | 使用弱密码学密钥 |
| CWE-326 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用损坏或弱密码学哈希算法 |
| CWE-326 | Python | py/unknown-asymmetric-key-gen-size | 未知的密钥生成密钥大小 |
| CWE-326 | Python | py/weak-asymmetric-key-gen-size | 弱密钥生成密钥大小(< 2048 位) |
| CWE-327 | Python | py/weak-cryptographic-algorithm | 使用损坏或弱密码学算法 |
| CWE-327 | Python | py/insecure-default-protocol | SSL/TLS 的默认版本可能不安全 |
| CWE-327 | Python | py/insecure-protocol | 使用不安全的 SSL/TLS 版本 |
| CWE-327 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用损坏或弱密码学哈希算法 |
| CWE-327 | Python | py/azure-storage/unsafe-client-side-encryption-in-use | 不安全使用 Azure Storage 客户端侧加密的 v1 版本。 |
| CWE-327 | Python | py/weak-block-mode | 弱块模式 |
| CWE-327 | Python | py/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-327 | Python | py/weak-hashes | 弱哈希 |
| CWE-327 | Python | py/weak-symmetric-encryption | 弱对称加密算法 |
| CWE-328 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用损坏或弱密码学哈希算法 |
| CWE-330 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-330 | Python | py/insecure-randomness | 不安全的随机性 |
| CWE-330 | Python | py/predictable-token | 可预测的令牌 |
| CWE-338 | Python | py/insecure-randomness | 不安全的随机性 |
| CWE-340 | Python | py/predictable-token | 可预测的令牌 |
| CWE-344 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-345 | Python | py/csrf-protection-disabled | CSRF 防护减弱或禁用 |
| CWE-345 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-345 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-347 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-348 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-352 | Python | py/csrf-protection-disabled | CSRF 防护减弱或禁用 |
| CWE-359 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-359 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-377 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-390 | Python | py/empty-except | 空的 except |
| CWE-396 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-398 | Python | py/unreachable-except | 无法访问的“except”块 |
| CWE-398 | Python | py/comparison-of-constants | 常量比较 |
| CWE-398 | Python | py/comparison-of-identical-expressions | 相同值的比较 |
| CWE-398 | Python | py/comparison-missing-self | 可能在比较中缺少“self” |
| CWE-398 | Python | py/redundant-comparison | 冗余比较 |
| CWE-398 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-398 | Python | py/import-deprecated-module | 导入过时的模块 |
| CWE-398 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-398 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-398 | Python | py/ineffectual-statement | 语句无效 |
| CWE-398 | Python | py/unreachable-statement | 无法访问的代码 |
| CWE-398 | Python | py/multiple-definition | 变量定义多次 |
| CWE-398 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-398 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-400 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-400 | Python | py/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-400 | Python | py/redos | 效率低下的正则表达式 |
| CWE-400 | Python | py/regex-injection | 正则表达式注入 |
| CWE-400 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-400 | Python | py/unicode-dos | 使用 Unicode 字符进行拒绝服务 |
| CWE-404 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-405 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-405 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-405 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-409 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-409 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-409 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-441 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-441 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-477 | Python | py/import-deprecated-module | 导入过时的模块 |
| CWE-485 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-489 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-497 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-502 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-522 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-523 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-532 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-538 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-552 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-561 | Python | py/unreachable-except | 无法访问的“except”块 |
| CWE-561 | Python | py/comparison-of-constants | 常量比较 |
| CWE-561 | Python | py/comparison-of-identical-expressions | 相同值的比较 |
| CWE-561 | Python | py/comparison-missing-self | 可能在比较中缺少“self” |
| CWE-561 | Python | py/redundant-comparison | 冗余比较 |
| CWE-561 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-561 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-561 | Python | py/ineffectual-statement | 语句无效 |
| CWE-561 | Python | py/unreachable-statement | 无法访问的代码 |
| CWE-563 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-563 | Python | py/multiple-definition | 变量定义多次 |
| CWE-563 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-563 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-570 | Python | py/comparison-of-constants | 常量比较 |
| CWE-570 | Python | py/comparison-of-identical-expressions | 相同值的比较 |
| CWE-570 | Python | py/comparison-missing-self | 可能在比较中缺少“self” |
| CWE-570 | Python | py/redundant-comparison | 冗余比较 |
| CWE-570 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-571 | Python | py/comparison-of-constants | 常量比较 |
| CWE-571 | Python | py/comparison-of-identical-expressions | 相同值的比较 |
| CWE-571 | Python | py/comparison-missing-self | 可能在比较中缺少“self” |
| CWE-571 | Python | py/redundant-comparison | 冗余比较 |
| CWE-571 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-573 | Python | py/equals-hash-mismatch | 不一致的相等和哈希 |
| CWE-573 | Python | py/call/wrong-named-class-argument | 类实例化中参数的名称错误 |
| CWE-573 | Python | py/call/wrong-number-class-arguments | 类实例化中参数的数量错误 |
| CWE-573 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-573 | Python | py/call/wrong-named-argument | 调用中参数的名称错误 |
| CWE-573 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-573 | Python | py/call/wrong-arguments | 调用中参数的数量错误 |
| CWE-581 | Python | py/equals-hash-mismatch | 不一致的相等和哈希 |
| CWE-584 | Python | py/exit-from-finally | finally 中的“break”或“return”语句 |
| CWE-601 | Python | py/url-redirection | 来自远程来源的 URL 重定向 |
| CWE-610 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-610 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-610 | Python | py/url-redirection | 来自远程来源的 URL 重定向 |
| CWE-610 | Python | py/xxe | XML 外部实体扩展 |
| CWE-610 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-610 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-611 | Python | py/xxe | XML 外部实体扩展 |
| CWE-614 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-614 | Python | py/insecure-cookie | 未能使用安全的 Cookie |
| CWE-628 | Python | py/call/wrong-named-class-argument | 类实例化中参数的名称错误 |
| CWE-628 | Python | py/call/wrong-number-class-arguments | 类实例化中参数的数量错误 |
| CWE-628 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-628 | Python | py/call/wrong-named-argument | 调用中参数的名称错误 |
| CWE-628 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-628 | Python | py/call/wrong-arguments | 调用中参数的数量错误 |
| CWE-642 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-642 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-643 | Python | py/xpath-injection | 从用户控制的来源构建 XPath 查询 |
| CWE-643 | Python | py/xslt-injection | 从用户控制的来源构建 XSLT 查询 |
| CWE-657 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-664 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-664 | Python | py/implicit-string-concatenation-in-list | 列表中的隐式字符串连接 |
| CWE-664 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-664 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-664 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-664 | Python | py/tarslip | 在提取 tar 文件时进行任意文件写入 |
| CWE-664 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-664 | Python | py/code-injection | 代码注入 |
| CWE-664 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-664 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-664 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-664 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-664 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-664 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-664 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-664 | Python | py/url-redirection | 来自远程来源的 URL 重定向 |
| CWE-664 | Python | py/xxe | XML 外部实体扩展 |
| CWE-664 | Python | py/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-664 | Python | py/redos | 效率低下的正则表达式 |
| CWE-664 | Python | py/regex-injection | 正则表达式注入 |
| CWE-664 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-664 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-664 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-664 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-664 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-664 | Python | py/zipslip | 在提取归档文件时进行任意文件访问(“Zip Slip”) |
| CWE-664 | Python | py/tarslip-extended | 在提取 tar 文件时进行任意文件写入 |
| CWE-664 | Python | py/unsafe-unpacking | 从用户控制的来源提取 tar 包时进行任意文件写入 |
| CWE-664 | Python | py/possible-timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-664 | Python | py/timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-664 | Python | py/timing-attack-against-header-value | 针对标头值的计时攻击 |
| CWE-664 | Python | py/possible-timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-664 | Python | py/timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-664 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-664 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-664 | Python | py/decompression-bomb | 解压缩炸弹 |
| CWE-664 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-664 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-664 | Python | py/unicode-dos | 使用 Unicode 字符进行拒绝服务 |
| CWE-665 | Python | py/implicit-string-concatenation-in-list | 列表中的隐式字符串连接 |
| CWE-665 | Python | py/unicode-dos | 使用 Unicode 字符进行拒绝服务 |
| CWE-668 | Python | py/bind-socket-all-network-interfaces | 将套接字绑定到所有网络接口 |
| CWE-668 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-668 | Python | py/tarslip | 在提取 tar 文件时进行任意文件写入 |
| CWE-668 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-668 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-668 | Python | py/flask-debug | Flask 应用程序在调试模式下运行 |
| CWE-668 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-668 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-668 | Python | py/insecure-temporary-file | 不安全的临时文件 |
| CWE-668 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-668 | Python | py/zipslip | 在提取归档文件时进行任意文件访问(“Zip Slip”) |
| CWE-668 | Python | py/tarslip-extended | 在提取 tar 文件时进行任意文件写入 |
| CWE-668 | Python | py/unsafe-unpacking | 从用户控制的来源提取 tar 包时进行任意文件写入 |
| CWE-668 | Python | py/possible-timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-668 | Python | py/timing-attack-against-hash | 针对哈希的计时攻击 |
| CWE-668 | Python | py/timing-attack-against-header-value | 针对标头值的计时攻击 |
| CWE-668 | Python | py/possible-timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-668 | Python | py/timing-attack-sensitive-info | 针对密钥的计时攻击 |
| CWE-668 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-669 | Python | py/xxe | XML 外部实体扩展 |
| CWE-670 | Python | py/asserts-tuple | 断言元组 |
| CWE-671 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-674 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-674 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-685 | Python | py/call/wrong-number-class-arguments | 类实例化中参数的数量错误 |
| CWE-685 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-685 | Python | py/call/wrong-arguments | 调用中参数的数量错误 |
| CWE-687 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-691 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-691 | Python | py/code-injection | 代码注入 |
| CWE-691 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-691 | Python | py/asserts-tuple | 断言元组 |
| CWE-691 | Python | py/exit-from-finally | finally 中的“break”或“return”语句 |
| CWE-691 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-691 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-693 | Python | py/count-untrusted-data-external-api | 使用不受信任的数据的外部 API 的频率计数 |
| CWE-693 | Python | py/untrusted-data-to-external-api | 传递给外部 API 的不受信任数据 |
| CWE-693 | Python | py/incomplete-hostname-regexp | 主机名的正则表达式不完整 |
| CWE-693 | Python | py/incomplete-url-substring-sanitization | 不完整的 URL 子字符串清理 |
| CWE-693 | Python | py/overly-large-range | 过于宽松的正则表达式范围 |
| CWE-693 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-693 | Python | py/pam-auth-bypass | 由于使用不当导致的 PAM 授权绕过 |
| CWE-693 | Python | py/paramiko-missing-host-key-validation | 使用 Paramiko 时接受未知的 SSH 主机密钥 |
| CWE-693 | Python | py/request-without-cert-validation | 未进行证书验证的请求 |
| CWE-693 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-693 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-693 | Python | py/weak-crypto-key | 使用弱密码学密钥 |
| CWE-693 | Python | py/weak-cryptographic-algorithm | 使用损坏或弱密码学算法 |
| CWE-693 | Python | py/insecure-default-protocol | SSL/TLS 的默认版本可能不安全 |
| CWE-693 | Python | py/insecure-protocol | 使用不安全的 SSL/TLS 版本 |
| CWE-693 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用损坏或弱密码学哈希算法 |
| CWE-693 | Python | py/csrf-protection-disabled | CSRF 防护减弱或禁用 |
| CWE-693 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-693 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-693 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-693 | Python | py/flask-constant-secret-key | 使用常量值初始化 Flask 应用程序的 SECRET_KEY |
| CWE-693 | Python | py/improper-ldap-auth | 不正确的 LDAP 身份验证 |
| CWE-693 | Python | py/azure-storage/unsafe-client-side-encryption-in-use | 不安全使用 Azure Storage 客户端侧加密的 v1 版本。 |
| CWE-693 | Python | py/jwt-missing-verification | JWT 缺少密钥或公钥验证 |
| CWE-693 | Python | py/ip-address-spoofing | IP 地址欺骗 |
| CWE-693 | Python | py/insecure-ldap-auth | Python 不安全的 LDAP 身份验证 |
| CWE-693 | Python | py/cookie-injection | 使用用户提供的输入构建 Cookie。 |
| CWE-693 | Python | py/insecure-cookie | 未能使用安全的 Cookie |
| CWE-693 | Python | py/unknown-asymmetric-key-gen-size | 未知的密钥生成密钥大小 |
| CWE-693 | Python | py/weak-asymmetric-key-gen-size | 弱密钥生成密钥大小(< 2048 位) |
| CWE-693 | Python | py/weak-block-mode | 弱块模式 |
| CWE-693 | Python | py/weak-elliptic-curve | 弱椭圆曲线 |
| CWE-693 | Python | py/weak-hashes | 弱哈希 |
| CWE-693 | Python | py/weak-symmetric-encryption | 弱对称加密算法 |
| CWE-696 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-697 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-703 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-703 | Python | py/empty-except | 空的 except |
| CWE-703 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-703 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-705 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-705 | Python | py/exit-from-finally | finally 中的“break”或“return”语句 |
| CWE-706 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-706 | Python | py/tarslip | 在提取 tar 文件时进行任意文件写入 |
| CWE-706 | Python | py/xxe | XML 外部实体扩展 |
| CWE-706 | Python | py/zipslip | 在提取归档文件时进行任意文件访问(“Zip Slip”) |
| CWE-706 | Python | py/tarslip-extended | 在提取 tar 文件时进行任意文件写入 |
| CWE-706 | Python | py/unsafe-unpacking | 从用户控制的来源提取 tar 包时进行任意文件写入 |
| CWE-707 | Python | py/path-injection | 在路径表达式中使用不受控制的数据 |
| CWE-707 | Python | py/command-line-injection | 不受控制的命令行 |
| CWE-707 | Python | py/shell-command-constructed-from-input | 从库输入构建不安全的 shell 命令 |
| CWE-707 | Python | py/jinja2/autoescape-false | Jinja2 模板,其中 autoescape=False |
| CWE-707 | Python | py/reflective-xss | 反射型服务器端跨站点脚本 |
| CWE-707 | Python | py/sql-injection | 从用户控制的来源构建 SQL 查询 |
| CWE-707 | Python | py/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-707 | Python | py/code-injection | 代码注入 |
| CWE-707 | Python | py/http-response-splitting | HTTP 响应拆分 |
| CWE-707 | Python | py/bad-tag-filter | 错误的 HTML 过滤正则表达式 |
| CWE-707 | Python | py/log-injection | 日志注入 |
| CWE-707 | Python | py/xpath-injection | 从用户控制的来源构建 XPath 查询 |
| CWE-707 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-707 | Python | py/template-injection | 服务器端模板注入 |
| CWE-707 | Python | py/paramiko-command-injection | 在辅助远程服务器上执行命令 |
| CWE-707 | Python | py/reflective-xss-email | 反射型服务器端跨站点脚本 |
| CWE-707 | Python | py/xslt-injection | 从用户控制的来源构建 XSLT 查询 |
| CWE-707 | Python | py/unicode-bypass-validation | 使用 Unicode 字符绕过逻辑验证 |
| CWE-710 | Python | py/equals-hash-mismatch | 不一致的相等和哈希 |
| CWE-710 | Python | py/call/wrong-named-class-argument | 类实例化中参数的名称错误 |
| CWE-710 | Python | py/call/wrong-number-class-arguments | 类实例化中参数的数量错误 |
| CWE-710 | Python | py/unreachable-except | 无法访问的“except”块 |
| CWE-710 | Python | py/super-not-enclosing-class | super() 的第一个参数不是封闭类 |
| CWE-710 | Python | py/comparison-of-constants | 常量比较 |
| CWE-710 | Python | py/comparison-of-identical-expressions | 相同值的比较 |
| CWE-710 | Python | py/comparison-missing-self | 可能在比较中缺少“self” |
| CWE-710 | Python | py/redundant-comparison | 冗余比较 |
| CWE-710 | Python | py/duplicate-key-dict-literal | 字典文字中的重复键 |
| CWE-710 | Python | py/call/wrong-named-argument | 调用中参数的名称错误 |
| CWE-710 | Python | py/percent-format/wrong-arguments | 格式的参数数量错误 |
| CWE-710 | Python | py/call/wrong-arguments | 调用中参数的数量错误 |
| CWE-710 | Python | py/import-deprecated-module | 导入过时的模块 |
| CWE-710 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-710 | Python | py/constant-conditional-expression | 条件表达式或语句中的常量 |
| CWE-710 | Python | py/redundant-assignment | 冗余赋值 |
| CWE-710 | Python | py/ineffectual-statement | 语句无效 |
| CWE-710 | Python | py/unreachable-statement | 无法访问的代码 |
| CWE-710 | Python | py/multiple-definition | 变量定义多次 |
| CWE-710 | Python | py/unused-local-variable | 未使用的局部变量 |
| CWE-710 | Python | py/unused-global-variable | 未使用的全局变量 |
| CWE-732 | Python | py/overly-permissive-file | 过于宽松的文件权限 |
| CWE-754 | Python | py/ignored-return-value | 忽略返回值 |
| CWE-755 | Python | py/catch-base-exception | Except 块处理“BaseException” |
| CWE-755 | Python | py/empty-except | 空的 except |
| CWE-755 | Python | py/stack-trace-exposure | 通过异常暴露信息 |
| CWE-770 | Python | py/unicode-dos | 使用 Unicode 字符进行拒绝服务 |
| CWE-772 | Python | py/file-not-closed | 文件并非始终关闭 |
| CWE-776 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-776 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-798 | Python | py/hardcoded-credentials | 硬编码的凭据 |
| CWE-827 | Python | py/xxe | XML 外部实体扩展 |
| CWE-829 | Python | py/xxe | XML 外部实体扩展 |
| CWE-834 | Python | py/xml-bomb | XML 内部实体扩展 |
| CWE-834 | Python | py/simple-xml-rpc-server-dos | SimpleXMLRPCServer 拒绝服务 |
| CWE-913 | Python | py/code-injection | 代码注入 |
| CWE-913 | Python | py/unsafe-deserialization | 反序列化用户控制的数据 |
| CWE-916 | Python | py/weak-sensitive-data-hashing | 对敏感数据使用损坏或弱密码学哈希算法 |
| CWE-918 | Python | py/full-ssrf | 完整的服务器端请求伪造 |
| CWE-918 | Python | py/partial-ssrf | 部分服务器端请求伪造 |
| CWE-922 | Python | py/clear-text-logging-sensitive-data | 明文记录敏感信息 |
| CWE-922 | Python | py/clear-text-storage-sensitive-data | 明文存储敏感信息 |
| CWE-943 | Python | py/sql-injection | 从用户控制的来源构建 SQL 查询 |
| CWE-943 | Python | py/ldap-injection | 从用户控制的来源构建 LDAP 查询 |
| CWE-943 | Python | py/xpath-injection | 从用户控制的来源构建 XPath 查询 |
| CWE-943 | Python | py/nosql-injection | NoSQL 注入 |
| CWE-943 | Python | py/xslt-injection | 从用户控制的来源构建 XSLT 查询 |
| CWE-1236 | Python | py/csv-injection | Csv 注入 |
| CWE-1333 | Python | py/polynomial-redos | 在不受控制的数据上使用多项式正则表达式 |
| CWE-1333 | Python | py/redos | 效率低下的正则表达式 |