1004.1
| 没有 HttpOnly 属性的敏感 cookie
| Low
| 被动
|
16.1
| 缺少内容类型标头
| Low
| 被动
|
16.10
| 违反内容安全政策
| Info
| 被动
|
16.2
| 服务器标头公开版本信息
| Low
| 被动
|
16.3
| X-Powered-By 标头公开版本信息
| Low
| 被动
|
16.4
| X-Backend-Server 标头公开服务器信息
| Info
| 被动
|
16.5
| AspNet 标头公开版本信息
| Low
| 被动
|
16.6
| AspNetMvc 标头公开版本信息
| Low
| 被动
|
16.7
| Strict-Transport-Security 标头丢失或无效
| Low
| 被动
|
16.8
| Content-Security-Policy 分析
| Info
| 被动
|
16.9
| Content-Security-Policy-Report-Only 分析
| Info
| 被动
|
200.1
| 将敏感信息暴露给未经授权的 actor(私有 IP 地址)
| Low
| 被动
|
209.1
| 生成包含敏感信息的错误消息
| Low
| 被动
|
209.2
| 生成包含敏感信息的数据库错误消息
| Low
| 被动
|
287.1
| HTTP 上的不安全身份验证(基本身份验证)
| Medium
| 被动
|
287.2
| HTTP 上的不安全身份验证(摘要式身份验证)
| Low
| 被动
|
319.1
| 混合内容
| Info
| 被动
|
352.1
| 缺乏反 CSRF 令牌
| Medium
| 被动
|
359.1
| 向未经授权的 actor(信用卡)公开私人信息 (PII)
| Medium
| 被动
|
359.2
| 向未经授权的 actor(美国社会安全号码)公开私人信息 (PII)
| Medium
| 被动
|
548.1
| 通过目录列表公开信息
| Low
| 被动
|
598.1
| 使用带有敏感查询字符串(会话 ID)的 GET 请求方法
| Medium
| 被动
|
598.2
| 使用带有敏感查询字符串(密码)的 GET 请求方法
| Medium
| 被动
|
598.3
| 使用带有敏感查询字符串(授权标头详细信息)的 GET 请求方法
| Medium
| 被动
|
601.1
| URL 重定向到不受信任的站点(’open redirect’)
| Low
| 被动
|
614.1
| 没有安全属性的敏感 cookie
| Low
| 被动
|
693.1
| 缺少 X-Content-Type-Options:nosniff
| Low
| 被动
|
798.1
| 公开私密 secret 或令牌 Adafruit API key
| High
| 被动
|
798.2
| 公开私密 secret 或令牌 Adobe 客户端 ID (OAuth Web)
| High
| 被动
|
798.3
| 公开私密 secret 或令牌 Adobe 客户端 key
| High
| 被动
|
798.4
| 公开私密 secret 或令牌 Age secret key
| High
| 被动
|
798.5
| 公开私密 secret 或令牌 Airtable API Key
| High
| 被动
|
798.6
| 公开私密 secret 或令牌 Algolia API key
| High
| 被动
|
798.7
| 公开私密 secret 或令牌 Alibaba AccessKey ID
| High
| 被动
|
798.8
| 公开私密 secret 或令牌 Alibaba Secret Key
| High
| 被动
|
798.9
| 公开私密 secret 或令牌 Asana 客户端 ID
| High
| 被动
|
798.10
| 公开私密 secret 或令牌 Asana 客户端 Secret
| High
| 被动
|
798.11
| 公开私密 secret 或令牌 Atlassian API 令牌
| High
| 被动
|
798.12
| 公开私密 secret 或令牌 AWS
| High
| 被动
|
798.13
| 公开私密 secret 或令牌 Bitbucket 客户端 ID
| High
| 被动
|
798.14
| 公开私密 secret 或令牌 Bitbucket 客户端 Secret
| High
| 被动
|
798.15
| 公开私密 secret 或令牌 Bittrex 访问 Key
| High
| 被动
|
798.16
| 公开私密 secret 或令牌 Bittrex Secret Key
| High
| 被动
|
798.17
| 公开私密 secret 或令牌 Beamer API 令牌
| High
| 被动
|
798.18
| 公开私密 secret 或令牌 Codecov 访问令牌
| High
| 被动
|
798.19
| 公开私密 secret 或令牌 Coinbase 访问令牌
| High
| 被动
|
798.20
| 公开私密 secret 或令牌 Clojars API 令牌
| High
| 被动
|
798.21
| 公开私密 secret 或令牌 Confluent 访问令牌
| High
| 被动
|
798.22
| 公开私密 secret 或令牌 Confluent Secret Key
| High
| 被动
|
798.23
| 公开私密 secret 或令牌 Contentful 交付 API 令牌
| High
| 被动
|
798.24
| 公开私密 secret 或令牌 Databricks API 令牌
| High
| 被动
|
798.25
| 公开私密 secret 或令牌 Datadog 访问令牌
| High
| 被动
|
798.26
| 公开私密 secret 或令牌 Discord API key
| High
| 被动
|
798.27
| 公开私密 secret 或令牌 Discord 客户端 ID
| High
| 被动
|
798.28
| 公开私密 secret 或令牌 Discord 客户端 secret
| High
| 被动
|
798.29
| 公开私密 secret 或令牌 Doppler API 令牌
| High
| 被动
|
798.30
| 公开私密 secret 或令牌 Dropbox API secret
| High
| 被动
|
798.31
| 公开私密 secret 或令牌 Dropbox 长期 API 令牌
| High
| 被动
|
798.32
| 公开私密 secret 或令牌 Dropbox 短期 API 令牌
| High
| 被动
|
798.33
| 公开私密 secret 或令牌 Drone CI 访问令牌
| High
| 被动
|
798.34
| 公开私密 secret 或令牌 Duffel API 令牌
| High
| 被动
|
798.35
| 公开私密 secret 或令牌 Dynatrace API 令牌
| High
| 被动
|
798.36
| 公开私密 secret 或令牌 EasyPost API 令牌
| High
| 被动
|
798.37
| 公开私密 secret 或令牌 EasyPost 测试 API 令牌
| High
| 被动
|
798.38
| 公开私密 secret 或令牌 Etsy 访问令牌
| High
| 被动
|
798.39
| 公开私密 secret 或令牌 Facebook
| High
| 被动
|
798.40
| 公开私密 secret 或令牌 Fastly API key
| High
| 被动
|
798.41
| 公开私密 secret 或令牌 Finicity 客户端 Secret
| High
| 被动
|
798.42
| 公开私密 secret 或令牌 Finicity API 令牌
| High
| 被动
|
798.43
| 公开私密 secret 或令牌 Flickr 访问令牌
| High
| 被动
|
798.44
| 公开私密 secret 或令牌 Finnhub 访问令牌
| High
| 被动
|
798.46
| 公开私密 secret 或令牌 Flutterwave Secret Key
| High
| 被动
|
798.47
| 公开私密 secret 或令牌 Flutterwave 加密 Key
| High
| 被动
|
798.48
| 公开私密 secret 或令牌 Frame.io API 令牌
| High
| 被动
|
798.49
| 公开私密 secret 或令牌 FreshBooks 访问令牌
| High
| 被动
|
798.50
| 公开私密 secret 或令牌 GoCardless API 令牌
| High
| 被动
|
798.52
| 公开私密 secret 或令牌 GitHub 个人访问令牌
| High
| 被动
|
798.53
| 公开私密 secret 或令牌 GitHub OAuth 访问令牌
| High
| 被动
|
798.54
| 公开私密 secret 或令牌 GitHub App 令牌
| High
| 被动
|
798.55
| 公开私密 secret 或令牌 GitHub 刷新令牌
| High
| 被动
|
798.56
| 公开私密 secret 或令牌极狐GitLab 个人访问令牌
| High
| 被动
|
798.57
| 公开私密 secret 或令牌 Gitter 访问令牌
| High
| 被动
|
798.58
| 公开私密 secret 或令牌 HashiCorp Terraform 用户/组织 API 令牌
| High
| 被动
|
798.59
| 公开私密 secret 或令牌 Heroku API Key
| High
| 被动
|
798.60
| 公开私密 secret 或令牌 HubSpot API 令牌
| High
| 被动
|
798.61
| 公开私密 secret 或令牌 Intercom API 令牌
| High
| 被动
|
798.62
| 公开私密 secret 或令牌 Kraken 访问令牌
| High
| 被动
|
798.63
| 公开私密 secret 或令牌 Kucoin 访问令牌
| High
| 被动
|
798.64
| 公开私密 secret 或令牌 Kucoin Secret Key
| High
| 被动
|
798.65
| 公开私密 secret 或令牌 LaunchDarkly 访问令牌
| High
| 被动
|
798.66
| 公开私密 secret 或令牌 Linear API 令牌
| High
| 被动
|
798.67
| 公开私密 secret 或令牌 Linear 客户端 Secret
| High
| 被动
|
798.68
| 公开私密 secret 或令牌 LinkedIn 客户端 ID
| High
| 被动
|
798.69
| 公开私密 secret 或令牌 LinkedIn 客户端 secret
| High
| 被动
|
798.70
| 公开私密 secret 或令牌 Lob API Key
| High
| 被动
|
798.72
| 公开私密 secret 或令牌 Mailchimp API key
| High
| 被动
|
798.74
| 公开私密 secret 或令牌 Mailgun 个人 API 令牌
| High
| 被动
|
798.75
| 公开私密 secret 或令牌 Mailgun Webhook 签名 key
| High
| 被动
|
798.77
| 公开私密 secret 或令牌 Mattermost 访问令牌
| High
| 被动
|
798.78
| 公开私密 secret 或令牌 MessageBird API 令牌
| High
| 被动
|
798.80
| 公开私密 secret 或令牌 Netlify 访问令牌
| High
| 被动
|
798.81
| 公开私密 secret 或令牌 New Relic 用户 API Key
| High
| 被动
|
798.82
| 公开私密 secret 或令牌 New Relic 用户 API ID
| High
| 被动
|
798.83
| 公开私密 secret 或令牌 New Relic ingest 浏览器 API 令牌
| High
| 被动
|
798.84
| 公开私密 secret 或令牌 npm 访问令牌
| High
| 被动
|
798.86
| 公开私密 secret 或令牌 Okta 访问令牌
| High
| 被动
|
798.87
| 公开私密 secret 或令牌 Plaid 客户端 ID
| High
| 被动
|
798.88
| 公开私密 secret 或令牌 Plaid Secret key
| High
| 被动
|
798.89
| 公开私密 secret 或令牌 Plaid API 令牌
| High
| 被动
|
798.90
| 公开私密 secret 或令牌 PlanetScale 密码
| High
| 被动
|
798.91
| 公开私密 secret 或令牌 PlanetScale API 令牌
| High
| 被动
|
798.92
| 公开私密 secret 或令牌 PlanetScale OAuth 令牌
| High
| 被动
|
798.93
| 公开私密 secret 或令牌 Postman API 令牌
| High
| 被动
|
798.94
| 公开私密 secret 或令牌 Private Key
| High
| 被动
|
798.95
| 公开私密 secret 或令牌 Pulumi API 令牌
| High
| 被动
|
798.96
| 公开私密 secret 或令牌 PyPI 上传令牌
| High
| 被动
|
798.97
| 公开私密 secret 或令牌 RubyGems API 令牌
| High
| 被动
|
798.98
| 公开私密 secret 或令牌 RapidAPI 访问令牌
| High
| 被动
|
798.99
| 公开私密 secret 或令牌 Sendbird 访问 ID
| High
| 被动
|
798.100
| 公开私密 secret 或令牌 Sendbird 访问令牌
| High
| 被动
|
798.101
| 公开私密 secret 或令牌 SendGrid API 令牌
| High
| 被动
|
798.102
| 公开私密 secret 或令牌 Sendinblue API 令牌
| High
| 被动
|
798.103
| 公开私密 secret 或令牌 Sentry 访问令牌
| High
| 被动
|
798.104
| 公开私密 secret 或令牌 Shippo API 令牌
| High
| 被动
|
798.105
| 公开私密 secret 或令牌 Shopify 访问令牌
| High
| 被动
|
798.106
| 公开私密 secret 或令牌 Shopify 自定义访问令牌
| High
| 被动
|
798.107
| 公开私密 secret 或令牌 Shopify 个人应用访问令牌
| High
| 被动
|
798.108
| 公开私密 secret 或令牌 Shopify shared secret
| High
| 被动
|
798.109
| 公开私密 secret 或令牌 Slack 令牌
| High
| 被动
|
798.110
| 公开私密 secret 或令牌 Slack Webhook
| High
| 被动
|
798.111
| 公开私密 secret 或令牌 Stripe
| High
| 被动
|
798.112
| 公开私密 secret 或令牌 Square 访问令牌
| High
| 被动
|
798.113
| 公开私密 secret 或令牌 Squarespace 访问令牌
| High
| 被动
|
798.114
| 公开私密 secret 或令牌 SumoLogic 访问 ID
| High
| 被动
|
798.115
| 公开私密 secret 或令牌 SumoLogic 访问令牌
| High
| 被动
|
798.116
| 公开私密 secret 或令牌 Travis CI 访问令牌
| High
| 被动
|
798.117
| 公开私密 secret 或令牌 Twilio API Key
| High
| 被动
|
798.118
| 公开私密 secret 或令牌 Twitch API 令牌
| High
| 被动
|
798.119
| 公开私密 secret 或令牌 Twitter API Key
| High
| 被动
|
798.120
| 公开私密 secret 或令牌 Twitter API Secret
| High
| 被动
|
798.121
| 公开私密 secret 或令牌 Twitter 访问令牌
| High
| 被动
|
798.122
| 公开私密 secret 或令牌 Twitter 访问 Secret
| High
| 被动
|
798.123
| 公开私密 secret 或令牌 Twitter Bearer 令牌
| High
| 被动
|
798.124
| 公开私密 secret 或令牌 Typeform API 令牌
| High
| 被动
|
798.125
| 公开私密 secret 或令牌 Yandex API Key
| High
| 被动
|
798.126
| 公开私密 secret 或令牌 Yandex AWS 访问令牌
| High
| 被动
|
798.127
| 公开私密 secret 或令牌 Yandex 访问令牌
| High
| 被动
|
798.128
| 公开私密 secret 或令牌 Zendesk Secret Key
| High
| 被动
|
829.1
| 包含来自不可信控制领域的功能
| Low
| 被动
|
829.2
| 检测到无效的子资源完整性值
| Medium
| 被动
|