代码检查安全增强
CodeArts Check提供代码安全检查增强包的能力,其安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,如跨函数、跨文件、污点分析、语义分析等。
当前代码安全检查增强包一共有284条规则,涵盖Java语言61个, C++ 语言199个, Go语言8个, Python语言16个。
检测项 | OWASP TOP | CWE TOP | 详细描述 | 基础版 | 专业版/代码安全增强包 |
|---|---|---|---|---|---|
命令注入 | 支持 | 支持 | 攻击者利用外部输入构造系统命令,通过可以调用系统命令的应用,实现非法操作的目的。 | 支持 | 支持 |
路径遍历 | 不支持 | 支持 | 攻击者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。 | 不支持 | 支持 |
SQL注入 | 支持 | 支持 | 攻击者利用事先定义好的查询语句,通过外部输入构造额外语句,实现非法操作的目的。 | 支持 | 支持 |
未受控的格式化字符串 | 不支持 | 支持 | 攻击者可利用格式化字符串漏洞实现控制程序行为和信息泄露。 | 不支持 | 支持 |
跨站脚本攻击(XSS) | 支持 | 支持 | 攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。 | 不支持 | 支持 |
LDAP注入 | 支持 | 支持 | 利用用户输入的参数生成非法LDAP查询,盗取用户信息。 | 不支持 | 支持 |
不安全的反射 | 支持 | 支持 | 攻击者利用外部输入绕过身份验证等访问控制路径,执行非法操作。 | 不支持 | 支持 |
开放重定向漏洞 | 不支持 | 支持 | 攻击者可通过将跳转地址修改为指向恶意站点,即可发起网络钓鱼、诈骗甚至窃取用户凭证等。 | 不支持 | 支持 |
XPath注入 | 支持 | 支持 | 攻击者利用外部输入附带恶意的查询代码,用于权限提升等。 | 支持 | 支持 |
数组索引验证不正确 | 不支持 | 支持 | 造成越界读取内存,可能引发信息泄露或者系统崩溃。 | 不支持 | 支持 |
空指针解引用 | 不支持 | 支持 | 会造成不可预见的系统错误,导致系统崩溃。 | 支持 | 支持 |
日志中信息泄露 | 不支持 | 支持 | 服务器日志、Debug日志中的信息泄露。 | 不支持 | 支持 |
消息中信息泄露 | 不支持 | 支持 | 通过错误消息导致的信息暴露。 | 支持 | 支持 |
