代码检查安全增强
CodeArts Check提供代码安全检查增强包的能力,其安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,如跨函数、跨文件、污点分析、语义分析等。
当前代码安全检查增强包一共有284条规则,涵盖Java语言61个, C++ 语言199个, Go语言8个, Python语言16个。
|
检测项 |
OWASP TOP |
CWE TOP |
详细描述 |
基础版/专业版 |
代码安全增强包 |
|---|---|---|---|---|---|
|
命令注入 |
支持 |
支持 |
攻击者利用外部输入构造系统命令,通过可以调用系统命令的应用,实现非法操作的目的。 |
支持 |
支持 |
|
路径遍历 |
不支持 |
支持 |
攻击者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。 |
不支持 |
支持 |
|
SQL注入 |
支持 |
支持 |
攻击者利用事先定义好的查询语句,通过外部输入构造额外语句,实现非法操作的目的。 |
支持 |
支持 |
|
未受控的格式化字符串 |
不支持 |
支持 |
攻击者可利用格式化字符串漏洞实现控制程序行为和信息泄露。 |
不支持 |
支持 |
|
跨站脚本攻击(XSS) |
支持 |
支持 |
攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。 |
不支持 |
支持 |
|
LDAP注入 |
支持 |
支持 |
利用用户输入的参数生成非法LDAP查询,盗取用户信息。 |
不支持 |
支持 |
|
不安全的反射 |
支持 |
支持 |
攻击者利用外部输入绕过身份验证等访问控制路径,执行非法操作。 |
不支持 |
支持 |
|
开放重定向漏洞 |
不支持 |
支持 |
攻击者可通过将跳转地址修改为指向恶意站点,即可发起网络钓鱼、诈骗甚至窃取用户凭证等。 |
不支持 |
支持 |
|
XPath注入 |
支持 |
支持 |
攻击者利用外部输入附带恶意的查询代码,用于权限提升等。 |
支持 |
支持 |
|
数组索引验证不正确 |
不支持 |
支持 |
造成越界读取内存,可能引发信息泄露或者系统崩溃。 |
不支持 |
支持 |
|
空指针解引用 |
不支持 |
支持 |
会造成不可预见的系统错误,导致系统崩溃。 |
支持 |
支持 |
|
日志中信息泄露 |
不支持 |
支持 |
服务器日志、Debug日志中的信息泄露。 |
不支持 |
支持 |
|
消息中信息泄露 |
不支持 |
支持 |
通过错误消息导致的信息暴露。 |
支持 |
支持 |
