| 语言种类 |
规则名 |
| JSP |
[SP] 在CBC模式中没有使用随机初始化向量(IV) |
| JSP |
[SP] 可逆的单向哈希函数 |
| JSP |
[SP] 使用被破解或者有风险的加密算法 |
| JSP |
[SP] 弱加密: 不充分的密钥强度 |
| JSP |
[SP] SQL注入攻击 :iBatis Data Map |
| JSP |
[SP] SQL注入攻击 : Persistence |
| JSP |
[SP] SQL注入攻击 : JDO |
| JSP |
[SP] 加密时重复利用随机数或密钥对 |
| JSP |
[SP] 使用硬编码加密密钥 |
| JSP |
[SP] 明文形式传输敏感信息 |
| JSP |
[SP] 在安全决策中依赖不可信的输入 |
| JSP |
[SP] 未经控制的内存分配 |
| JSP |
[SP] 有效期结束后没有释放文件描述符 |
| JSP |
[SP] 使用未加Salt的单向哈希算法 |
| JSP |
[SP] 敏感信息明文保存 |
| JSP |
[SP] 对重复认证不加限制 |
| JSP |
[SP] 缺少对重要功能的授权 |
| JSP |
[SP] 不适当的认证 |
| JSP |
[SP] 异常处理不准确 |
| JSP |
[SP] 关键资源的不正确权限授予 |
| JSP |
[SP] 不受控制的递归 |
| JSP |
[SP] Xquery注入 |
| JSP |
[SP] 密码弱加密 |
| JSP |
[SP] 在配置文件储存密码 |
| JSP |
[SP] Xpath注入 |
| JSP |
[SP] 系统信息通过注释泄露 |
| JSP |
[SP] HTTPS会话中敏感cookie的安全属性没有被设置 |
| JSP |
[SP] 不充分的Session过期 |
| JSP |
[SP] 使用硬编码密钥 |
| JSP |
[SP] 配置文件中的空密码 |
| JSP |
[SP] 明文保存密码 |
| JSP |
[SP] 未检查的返回值 |
| JSP |
[SP] 双重锁定 |
| JSP |
[SP] Struts: ActionForm类中未声明为private |
| JSP |
[SP] 公共或受保护的静态final字段对可变对象进行引用 |
| JSP |
[SP] 在循环中未检查用户输入 |
| JSP |
[SP] 多重连接同一个端口 |
| JSP |
[SP] 安全防护依赖DNS lookup |
| JSP |
[SP] J2EE: 直接使用socket |
| JSP |
[SP] J2EE: 直接管理连接 |
| JSP |
[SP] 故意透漏信息 |
| JSP |
[SP] 敏感信息通过错误日志泄露 |
| JSP |
[SP] 不正确的格式 : 混淆名称(方法和变量) |
| JSP |
[SP] 不正确的格式 : 混淆名称(类和成员) |
| JSP |
[SP] 死代码 : 空的Try块 |
| JSP |
[SP] 代码准确性 : 同步方法重载为非同步方法 |
| JSP |
[SP] 代码准确性 : 不正确的serialPersistentfields修饰符 |
| JSP |
[SP] 代码准确性 : 调用notify() |
| JSP |
[SP] 重定向到不受信任站点的URL |
| JSP |
[SP] 字符串比较中使用错误的运算符 |
| JSP |
[SP] 比较对象地址而不是对象的内容 |
| JSP |
[SP] 显式调用的finalize() |
| JSP |
[SP] 包含一个空的同步代码块 |
| JSP |
[SP] Finally片段中有return |
| JSP |
[SP] 以public声明的finalize()方法 |
| JSP |
[SP] 数组声明为public、final 和 static |
| JSP |
[SP] 定义equals()或hashCode() |
| JSP |
[SP] 非故意符号扩展 |
| JSP |
[SP] 整数溢出 |
| JSP |
[SP] 未控制的格式化字符串 |
| JSP |
[SP] 没有对日志输出进行适当或正确地消毒 |
| JSP |
[SP] 进程控制 |
| JSP |
[SP] HTTP响应分裂 |
| JSP |
[SP] 不必要的初始化 |
| JSP |
[SP] 死代码 : 未使用方法 |
| JSP |
[SP] 死代码 : 未使用区域 |
| JSP |
[SP] 代码准确性 : 类没有实现Cloneable |
| JSP |
[SP] 不正确的格式 : 标识符由""$""符号组成 |
| JSP |
[SP] 代码准确性 : equals()参数使用null |
| JSP |
[SP] 使用隐藏域 |
| JSP |
[SP] 无super.clone()的clone()方法 |
| JSP |
[SP] J2EE:在会话中存储非序列化的对象 |
| JSP |
[SP] EJB: 使用类加载 |
| JSP |
[SP] EJB: 使用socket |
| JSP |
[SP] EJB: 使用Java I/O |
| JSP |
[SP] EJB: 使用AWT/Swing |
| JSP |
[SP] EJB: 使用synchronized |
| JSP |
[SP] 代码准确性: 调用Thread.run() |
| JSP |
[SP] 结果总是true的表达式 |
| JSP |
[SP] 未验证XML文档的有效性 |
| JSP |
[SP] 直接使用不安全的JNI |
| JSP |
[SP] Struts: 针对不在输入表单的变量设置有效性验证 |
| JSP |
[SP] 竞争条件 : 与静态数据库联系 |
| JSP |
[SP] 竞争条件 : 单例成员变量 |
| JSP |
[SP] Cookie安全 : 信息通过永久Cookies泄露 |
| JSP |
[SP] 结果总是false的表达式 |
| JSP |
[SP] 无super.finalize()的finalize()方法 |
| JSP |
[SP] SQL注入攻击:Hibernate |
| JSP |
[SP] 未使用的变量 |
| JSP |
[SP] 使用动态类加载 |
| JSP |
[SP] 信息通过存储在用户硬盘的Coockie泄露 |
| JSP |
[SP] 弱口令入侵 |
| JSP |
[SP] 信任边界的破坏 |
| JSP |
[SP] Struts: 验证器关闭 |
| JSP |
[SP] Struts: 未验证的动作表单 |
| JSP |
[SP] Struts: 未使用有效性验证表单 |
| JSP |
[SP] 未检查SecurityManager : Serializable接口 |
| JSP |
[SP] 检查被省略的SecurityManager : Cloneable接口 |
| JSP |
[SP] Cookie安全 : 过于广泛的路径 |
| JSP |
[SP] 弱加密: 不充分的密钥强度 |
| JSP |
[SP] 脆弱的加密 : 不当的RSA填充 |
| JSP |
[SP] public static field没有以final声明 |
| JSP |
[SP] 系统数据信息泄漏 |
| JSP |
[SP] 在private数组-类型上分配公用数据 |
| JSP |
[SP] 从一个公有方法返回的private数组类型字段 |
| JSP |
[SP] 对未经完整性检查的代码下载不加限制 |
| JSP |
[SP] 不带final修饰符的关键公有变量 |
| JSP |
[SP] 使用持有敏感数据的内部类 |
| JSP |
[SP] Struts: 不使用输入值测试方法论 |
| JSP |
[SP] Struts: 表单域缺少验证器 |
| JSP |
[SP] Struts: form bean未从具有验证框架的form bean继承 |
| JSP |
[SP] Struts: 不完整的validate()方法定义 |
| JSP |
[SP] Cookie安全 : 过于广泛的域(Domain) |
| JSP |
[SP] 脆弱的加密哈希函数 : 硬编码的加盐值 |
| JSP |
[SP] 权限管理 : 过于广泛的访问指示符 |
| JSP |
[SP] 密码管理:密码重定向 |
| JSP |
[SP] 密码管理 : 调查堆内存 |
| JSP |
[SP] 没有声明final 的cloneable()方法(又称 """"对象劫持(object hijack)"""") |
| JSP |
[SP] 遗留的调试代码 |
| JSP |
[SP] 错误的会话导致的数据泄漏(Session间数据泄露) |
| JSP |
[SP] 以名称比较类 |
| JSP |
[SP] Switch语句遗漏了Break片段 |
| JSP |
[SP] 不再支持的函数 |
| JSP |
[SP] 空指针引用 |
| JSP |
[SP] 只能识别特定输入值的方法 |
| JSP |
[SP] Struts: 重复的验证表单 |
| JSP |
[SP] 资源注入 |
| JSP |
[SP] 动态命令注入 |
| JSP |
[SP] LDAP注入 |
| JSP |
[SP] 密码通过注释泄露 |
| JSP |
[SP] 硬编码的用户账号 |
| JSP |
[SP] 不好的Castor编程习惯 : 非只读状态的查询模式 |
| JSP |
[SP] 不好的Castor编程习惯 : 未指定查询模式 |
| JSP |
[SP] 代码准确性 : 调用System.gc() |
| JSP |
[SP] 代码准确性 : 未实现equals的类 |
| JSP |
[SP] 不安全的反射 |
| JSP |
[SP] 未初始化漏洞 |
| JSP |
[SP] 上传危险类型的文件不受限制 |
| JSP |
[SP] 缺少锁定检查 |
| JSP |
[SP] 资源锁定不准确 |
| JSP |
[SP] SQL注入 |
| JSP |
[SP] 跨站点脚本攻击(XSS) |
| JSP |
[SP] 代码准确性 : 在数组上的toString调用 |
| JSP |
[SP] 废弃 : 使用了ESAPI安全规范已废弃的API |
| JSP |
[SP] 未检查null参数 |
| JSP |
[SP] 在HTML中注入域 |
| JSP |
[SP] DOM跨站点脚本攻击 |
| JSP |
[SP] Struts2: 验证规则没有对应的项 |
| JSP |
[SP] 资源关闭或释放不准确 |
| JSP |
[SP] 使用不受控制的资源 |
| JSP |
[SP] 声明抛出泛型异常的throws子句 |
| JSP |
[SP] 声明抛出泛型异常的catch子句 |
| JSP |
[SP] 捕获nullPointerException异常以检测空指针取值 |
| JSP |
[SP] 没有任何行为的错误条件(检测到具体的错误,但没有采取行动去处理该错误) |
| JSP |
[SP] 操作系统命令注入 |
| JSP |
[SP] 对路径名的一致性检查不当 |
| JSP |
[SP] 绝对路径遍历 |
| JSP |
[SP] Struts 2: 验证文件没有对应的action |
| JSP |
[SP] Struts 2: 缺乏有效性验证的Action |
| JSP |
[SP] Struts 2: 使用未声明的检查器 |
| JSP |
[SP] 未检查的SSL异常 |
| JSP |
[SP] 符号名称没有正确映射相应对象 |
| JSP |
[SP] 隐蔽的定时通道 |
| JSP |
[SP] 安全功能 : 会话固定 |
| JSP |
[SP] J2EE: 直接使用线程 |
| JSP |
[SP] 相对路径遍历 |
| JSP |
[SP] 路径操作及资源注入 |
| JSP |
[SP] 外部控制系统和配置设置 |
| JSP |
[SP] Struts 2: 重复的验证机制 |
| JSP |
[SP] Struts 2: 重复的验证文件 |
| JSP |
[SP] Struts 2: 重复的验证项 |
| JSP |
[SP] J2EE: 使用System.exit() |
| JSP |
[SP] 不安全的临时文件 |
| JSP |
[SP] 除以零 |
| JSP |
[SP] 竞争条件 : 检查时间和使用时间 |
| JSP |
[SP] Struts2: 验证规则没有对应的项 |
| JSP |
[SP] 对危险类型文件的上载不加限制(Struts 2) |
| JSP |
[SP] LDAP处理不当 |
| JSP |
[SP] 隐私信息违规 |
| JSP |
[SP] 跨站点请求伪造(CSRF) |
| JSP |
[SP] 使用不够随机的数字或值 |
