GitLab高度なSASTルール: Python
- プラン: Ultimate
- 提供形態: GitLab.com、GitLab Self-Managed、GitLab Dedicated
GitLab高度なSASTがPythonコードの脆弱性を検出するために使用するルール。
| ルールID | ルールの説明 | CWE | OWASP Top 10 |
|---|---|---|---|
python-dill-deserialization-usage-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-django-sqli-raw-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-django-sqli-rawsql-extra-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-django-ssti-context-taint | テンプレートエンジンで使用される特殊要素の不適切な無害化 | CWE-1336 | A1:2017、A03:2021 |
python-django-xss-httpresponse-taint | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | CWE-79 | A1:2017、A03:2021 |
python-django-xss-mark-safe-atomic | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | CWE-79 | A7:2017、A03:2021 |
python-flask-misconfiguration-app-debug-atomic | アクティブなデバッグコード | CWE-489 | A6:2017、A05:2021 |
python-flask-misconfiguration-cors-credentials-allowed-atomic | 信頼されていないドメインに対する許容的なクロスドメインポリシー | CWE-942 | A6:2017、A05:2021 |
python-flask-misconfiguration-cors-credentials-dynamic-origin-taint | 信頼されていないドメインに対する許容的なクロスドメインポリシー | CWE-942 | A6:2017、A05:2021 |
python-flask-misconfiguration-cors-wildcard-atomic | 信頼されていないドメインに対する許容的なクロスドメインポリシー | CWE-942 | A6:2017、A05:2021 |
python-flask-misconfiguration-httponly-false-atomic | 「HttpOnly」フラグが設定されていない機密性の高いCookie | CWE-1004 | A6:2017、A05:2021 |
python-flask-misconfiguration-samesite-none-atomic | SameSite属性が適切な機密機密性の高いCookie | CWE-1275 | A6:2017、A05:2021 |
python-flask-openredirect-taint | 信頼されていないサイトへのURLリダイレクト(「オープンリダイレクト」) | CWE-601 | A01:2021、A5:2017 |
python-flask-ssrf-host-header-injection-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-flask-ssti-rendertemplatestring-taint | テンプレートエンジンで使用される特殊要素の不適切な無害化 | CWE-1336 | A1:2017、A03:2021 |
python-flask-xss-markup-taint | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | CWE-79 | A1:2017、A03:2021 |
python-graphene-dos-graphiql-no-depth-limit-atomic | 制限やスロットリングのないリソースの割り当て | CWE-770 | A6:2017、A05:2021 |
python-httpserver-crlfi-taint | HTTPヘッダー内のCRLFシーケンスの不適切な無害化(「HTTPリクエスト/レスポンス分割」) | CWE-113 | A1:2017、A03:2021 |
python-jinja2-xss-autoescape-false-atomic | 出力の不適切なエンコードまたはエスケープ | CWE-116 | A7:2017、A03:2021 |
python-jsonpickle-deserialization-decode-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-lang-accesscontrol-hardcoded-tmp-atomic | 脆弱な一時ファイル | CWE-377 | A5:2017、A01:2021 |
python-lang-accesscontrol-httpbasicauth-atomic | 脆弱な認証 | CWE-1390 | A5:2017、A01:2021 |
python-lang-cmdi-asyncio-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-code-run-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-eval-taint | 動的に評価されるコード内のディレクティブの不適切な無害化(「Evalインジェクション」) | CWE-95 | A1:2017、A03:2021 |
python-lang-cmdi-globals-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-linux-wildcard-atomic | ワイルドカードまたはマッチングシンボルの不適切な無効化 | CWE-155 | A1:2017、A03:2021 |
python-lang-cmdi-os-exec-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-paramiko-calls-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-spawn-process-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-subinterpreters-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-subprocess-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-cmdi-system-call-taint | OSコマンドで使用される特殊要素の不適切な無害化(「OSコマンドインジェクション」) | CWE-78 | A1:2017、A03:2021 |
python-lang-codei-exec-used-taint | コード生成の不適切な制御(「コードインジェクション」) | CWE-94 | A1:2017、A03:2021 |
python-lang-crypto-cipher-blowfish-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-cipher-des-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-ftplib-atomic | 機密情報の平文送信 | CWE-319 | A3:2017、A02:2021 |
python-lang-crypto-hash-md4-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hash-md5-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hash-sha1-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hash-xor-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-cipher-blowfish-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-cipher-idea-atomic | 破損した、または危険な暗号アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-cipher-insecure-algo-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-encrypt-ec-size-atomic | 不適切な暗号化強度 | CWE-326 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-hash-md5-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-hash-sha1-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-hazmat-modes-ecb-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-httpconnectionpool-atomic | 機密情報の平文送信 | CWE-319 | A3:2017、A02:2021 |
python-lang-crypto-import-telnetlib-atomic | 機密情報の平文送信 | CWE-319 | A3:2017、A02:2021 |
python-lang-crypto-insecure-random-atomic | 暗号学的に脆弱な擬似乱数生成器(PRNG)の使用 | CWE-338 | A3:2017、A02:2021 |
python-lang-crypto-jwt-none-alg-atomic | 破損した、または危険な暗号アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-pycrypto-import-atomic | メンテナンスされていないサードパーティコンポーネントの使用 | CWE-1104 | A9:2017、A02:2021 |
python-lang-crypto-request-certification-verify-atomic | 不適切な証明書検証 | CWE-295 | A2:2017、A07:2021 |
python-lang-crypto-ssl-bad-version-atomic | 不十分な暗号化強度 | CWE-326 | A3:2017、A02:2021 |
python-lang-crypto-ssl-unverified-context-atomic | 不適切な証明書検証 | CWE-295 | A2:2017、A07:2021 |
python-lang-crypto-weak-algo-atomic | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-weak-cipher-suites-taint | 破損したまたは危険な暗号学的アルゴリズムの使用 | CWE-327 | A3:2017、A02:2021 |
python-lang-crypto-weak-key-atomic | 不適切な暗号化強度 | CWE-326 | A3:2017、A02:2021 |
python-lang-dos-loop-taint | forループ条件に対する未入力チェック | CWE-606 | A6:2017、A05:2021 |
python-lang-dos-redos-taint | 非効率な正規表現の複雑さ | CWE-1333 | A1:2017、A03:2021 |
python-lang-ldapi-taint | LDAPクエリで使用される特殊要素の不適切な無害化(「LDAPインジェクション」) | CWE-90 | A1:2017、A03:2021 |
python-lang-marshal-deserialization-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-lang-misconfiguration-bad-permission-atomic | 重要なリソースに対する不適切な権限割り当て | CWE-732 | A5:2017、A01:2021 |
python-lang-misconfiguration-bind-all-interfaces-atomic | 制限されていないIPアドレスへのバインディング | CWE-1327 | A6:2017、A05:2021 |
python-lang-misconfiguration-config-logging-insecure-listen-atomic | コード生成の不適切な制御(「コードインジェクション」) | CWE-94 | A1:2017、A03:2021 |
python-lang-misconfiguration-graphiql-interface-enabled-atomic | 不正な制御領域への機密情報の漏洩 | CWE-497 | A6:2017、A05:2021 |
python-lang-misconfiguration-ssh-nohost-key-verification-atomic | キー交換なしのエンティティ認証 | CWE-322 | A5:2017、A07:2021 |
python-lang-misconfiguration-tempfile-mktemp-used-atomic | 脆弱な一時ファイル | CWE-377 | A3:2017、A01:2021 |
python-lang-misconfiguration-without-timeout-atomic | 制限やスロットリングのないリソースの割り当て | CWE-770 | A6:2017、A05:2021 |
python-lang-pathtraversal-file-low-taint | 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」) | CWE-22 | A5:2017、A01:2021 |
python-lang-pathtraversal-file-taint | 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」) | CWE-22 | A5:2017、A01:2021 |
python-lang-pathtraversal-tarfile-taint | 制限されたディレクトリへのパス名の不適切な制限(「パストラバーサル」) | CWE-22 | A5:2017、A01:2021 |
python-lang-pathtraversal-urllib-taint | 相対パストラバーサル | CWE-23 | A5:2017、A01:2021 |
python-lang-pickle-deserialization-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-lang-sqli-aiopg-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-lang-sqli-asyncpg-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-lang-sqli-hardcoded-sql-expression-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-lang-sqli-pg8000-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-lang-sqli-psycopg-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-lang-ssrf-aiohttp-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-lang-ssrf-ftplib-smtplib-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-lang-ssrf-httpx-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-lang-ssrf-requests-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-lang-ssrf-socket-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-lang-xpathi-taint | XPath式内のデータの不適切な無害化(XPathインジェクション) | CWE-643 | A1:2017、A03:2021 |
python-lang-xxe-xml-expatbuilder-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-lang-xxe-xml-expatreader-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-lang-xxe-xml-minidom-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-lang-xxe-xml-pulldom-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-lang-xxe-xml-sax-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-lang-xxe-xml-taint | XML外部エンティティ参照の不適切な制限(「XXE」) | CWE-611 | A4:2017、A03:2021 |
python-mako-xss-template-atomic | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | CWE-79 | A7:2017、A03:2021 |
python-mako-xss-template-taint | Webページ生成時の入力の不適切な無害化(「クロスサイトスクリプティング」) | CWE-79 | A7:2017、A03:2021 |
python-pyjwt-crypto-jwt-signature-verification-disabled-atomic | 不適切な暗号学的署名検証 | CWE-347 | A3:2017、A02:2021 |
python-pyramid-csrf-origin-check-atomic | クロスサイトリクエストフォージェリ(CSRF) | CWE-352 | A5:2017、A01:2021 |
python-pysnmp-crypto-insecure-version-atomic | 機密情報の平文送信 | CWE-319 | A3:2017、A02:2021 |
python-pysnmp-crypto-weak-cryptography-atomic | 機密情報の平文送信 | CWE-319 | A3:2017、A02:2021 |
python-pyyaml-deserialization-load-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-ruamel-deserialization-yaml-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-shelve-deserialization-usage-taint | 信頼できないデータの逆シリアル化 | CWE-502 | A8:2017、A08:2021 |
python-sqlalchemy-sqli-execute-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-sqlalchemy-sqli-raw-functions-taint | SQLコマンドで使用される特殊要素の不適切な無害化(「SQLインジェクション」) | CWE-89 | A1:2017、A03:2021 |
python-webserver-asyncio-ssrf-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-webserver-http-httplib-client-ssrf-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-webserver-paramiko-ssrf-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-webserver-pycurl-ssrf-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |
python-webserver-urllib3-ssrf-taint | サーバーサイドリクエストフォージェリ(SSRF) | CWE-918 | A1:2017、A10:2021 |