代码检查 CODEARTS CHECK-代码检查安全增强

时间:2024-10-18 11:39:08

代码检查安全增强

CodeArts Check提供代码安全检查增强包的能力,其安全检查能力作为深度价值特性,能深度识别代码中安全风险和漏洞,提供了套餐包内规则不覆盖的安全类场景,比如数值错误、加密问题、数据验证问题等。针对业界的安全漏洞检测项提供了更深入的分析能力,如跨函数、跨文件、污点分析、语义分析等。

当前代码安全检查增强包一共有284条规则,涵盖Java语言61个, C++ 语言199个, Go语言8个, Python语言16个。

表1 增强包与普通版本检查能力差异

检测项

OWASP TOP

CWE TOP

详细描述

基础版/专业版

代码安全增强包

命令注入

支持

支持

攻击者利用外部输入构造系统命令,通过可以调用系统命令的应用,实现非法操作的目的。

支持

支持

路径遍历

不支持

支持

攻击者利用系统漏洞访问合法应用之外的数据或文件目录,导致数据泄露或被篡改。

不支持

支持

SQL注入

支持

支持

攻击者利用事先定义好的查询语句,通过外部输入构造额外语句,实现非法操作的目的。

支持

支持

未受控的格式化字符串

不支持

支持

攻击者可利用格式化字符串漏洞实现控制程序行为和信息泄露。

不支持

支持

跨站脚本攻击(XSS)

支持

支持

攻击者利用在网站、电子邮件中的链接插入恶意代码,盗取用户信息。

不支持

支持

LDAP注入

支持

支持

利用用户输入的参数生成非法LDAP查询,盗取用户信息。

不支持

支持

不安全的反射

支持

支持

攻击者利用外部输入绕过身份验证等访问控制路径,执行非法操作。

不支持

支持

开放重定向漏洞

不支持

支持

攻击者可通过将跳转地址修改为指向恶意站点,即可发起网络钓鱼、诈骗甚至窃取用户凭证等。

不支持

支持

XPath注入

支持

支持

攻击者利用外部输入附带恶意的查询代码,用于权限提升等。

支持

支持

数组索引验证不正确

不支持

支持

造成越界读取内存,可能引发信息泄露或者系统崩溃。

不支持

支持

空指针解引用

不支持

支持

会造成不可预见的系统错误,导致系统崩溃。

支持

支持

日志中信息泄露

不支持

支持

服务器日志、Debug日志中的信息泄露。

不支持

支持

消息中信息泄露

不支持

支持

通过错误消息导致的信息暴露。

支持

支持

support.huaweicloud.com/productdesc-codecheck/codeartscheck_07_1010.html