1004.1 |
没有 HttpOnly 属性的敏感 cookie |
Low |
被动 |
16.1 |
缺少内容类型标头 |
Low |
被动 |
16.10 |
违反内容安全政策 |
Info |
被动 |
16.2 |
服务器标头公开版本信息 |
Low |
被动 |
16.3 |
X-Powered-By 标头公开版本信息 |
Low |
被动 |
16.4 |
X-Backend-Server 标头公开服务器信息 |
Info |
被动 |
16.5 |
AspNet 标头公开版本信息 |
Low |
被动 |
16.6 |
AspNetMvc 标头公开版本信息 |
Low |
被动 |
16.7 |
Strict-Transport-Security 标头丢失或无效 |
Low |
被动 |
16.8 |
Content-Security-Policy 分析 |
Info |
被动 |
16.9 |
Content-Security-Policy-Report-Only 分析 |
Info |
被动 |
200.1 |
将敏感信息暴露给未经授权的 actor(私有 IP 地址) |
Low |
被动 |
209.1 |
生成包含敏感信息的错误消息 |
Low |
被动 |
209.2 |
生成包含敏感信息的数据库错误消息 |
Low |
被动 |
287.1 |
HTTP 上的不安全身份验证(基本身份验证) |
Medium |
被动 |
287.2 |
HTTP 上的不安全身份验证(摘要式身份验证) |
Low |
被动 |
319.1 |
混合内容 |
Info |
被动 |
352.1 |
缺乏反 CSRF 令牌 |
Medium |
被动 |
359.1 |
向未经授权的 actor(信用卡)公开私人信息 (PII) |
Medium |
被动 |
359.2 |
向未经授权的 actor(美国社会安全号码)公开私人信息 (PII) |
Medium |
被动 |
548.1 |
通过目录列表公开信息 |
Low |
被动 |
598.1 |
使用带有敏感查询字符串(会话 ID)的 GET 请求方法 |
Medium |
被动 |
598.2 |
使用带有敏感查询字符串(密码)的 GET 请求方法 |
Medium |
被动 |
598.3 |
使用带有敏感查询字符串(授权标头详细信息)的 GET 请求方法 |
Medium |
被动 |
601.1 |
URL 重定向到不受信任的站点(’open redirect’) |
Low |
被动 |
614.1 |
没有安全属性的敏感 cookie |
Low |
被动 |
693.1 |
缺少 X-Content-Type-Options:nosniff |
Low |
被动 |
798.1 |
公开私密 secret 或令牌 Adafruit API key |
High |
被动 |
798.2 |
公开私密 secret 或令牌 Adobe 客户端 ID (OAuth Web) |
High |
被动 |
798.3 |
公开私密 secret 或令牌 Adobe 客户端 key |
High |
被动 |
798.4 |
公开私密 secret 或令牌 Age secret key |
High |
被动 |
798.5 |
公开私密 secret 或令牌 Airtable API Key |
High |
被动 |
798.6 |
公开私密 secret 或令牌 Algolia API key |
High |
被动 |
798.7 |
公开私密 secret 或令牌 Alibaba AccessKey ID |
High |
被动 |
798.8 |
公开私密 secret 或令牌 Alibaba Secret Key |
High |
被动 |
798.9 |
公开私密 secret 或令牌 Asana 客户端 ID |
High |
被动 |
798.10 |
公开私密 secret 或令牌 Asana 客户端 Secret |
High |
被动 |
798.11 |
公开私密 secret 或令牌 Atlassian API 令牌 |
High |
被动 |
798.12 |
公开私密 secret 或令牌 AWS |
High |
被动 |
798.13 |
公开私密 secret 或令牌 Bitbucket 客户端 ID |
High |
被动 |
798.14 |
公开私密 secret 或令牌 Bitbucket 客户端 Secret |
High |
被动 |
798.15 |
公开私密 secret 或令牌 Bittrex 访问 Key |
High |
被动 |
798.16 |
公开私密 secret 或令牌 Bittrex Secret Key |
High |
被动 |
798.17 |
公开私密 secret 或令牌 Beamer API 令牌 |
High |
被动 |
798.18 |
公开私密 secret 或令牌 Codecov 访问令牌 |
High |
被动 |
798.19 |
公开私密 secret 或令牌 Coinbase 访问令牌 |
High |
被动 |
798.20 |
公开私密 secret 或令牌 Clojars API 令牌 |
High |
被动 |
798.21 |
公开私密 secret 或令牌 Confluent 访问令牌 |
High |
被动 |
798.22 |
公开私密 secret 或令牌 Confluent Secret Key |
High |
被动 |
798.23 |
公开私密 secret 或令牌 Contentful 交付 API 令牌 |
High |
被动 |
798.24 |
公开私密 secret 或令牌 Databricks API 令牌 |
High |
被动 |
798.25 |
公开私密 secret 或令牌 Datadog 访问令牌 |
High |
被动 |
798.26 |
公开私密 secret 或令牌 Discord API key |
High |
被动 |
798.27 |
公开私密 secret 或令牌 Discord 客户端 ID |
High |
被动 |
798.28 |
公开私密 secret 或令牌 Discord 客户端 secret |
High |
被动 |
798.29 |
公开私密 secret 或令牌 Doppler API 令牌 |
High |
被动 |
798.30 |
公开私密 secret 或令牌 Dropbox API secret |
High |
被动 |
798.31 |
公开私密 secret 或令牌 Dropbox 长期 API 令牌 |
High |
被动 |
798.32 |
公开私密 secret 或令牌 Dropbox 短期 API 令牌 |
High |
被动 |
798.33 |
公开私密 secret 或令牌 Drone CI 访问令牌 |
High |
被动 |
798.34 |
公开私密 secret 或令牌 Duffel API 令牌 |
High |
被动 |
798.35 |
公开私密 secret 或令牌 Dynatrace API 令牌 |
High |
被动 |
798.36 |
公开私密 secret 或令牌 EasyPost API 令牌 |
High |
被动 |
798.37 |
公开私密 secret 或令牌 EasyPost 测试 API 令牌 |
High |
被动 |
798.38 |
公开私密 secret 或令牌 Etsy 访问令牌 |
High |
被动 |
798.39 |
公开私密 secret 或令牌 Facebook |
High |
被动 |
798.40 |
公开私密 secret 或令牌 Fastly API key |
High |
被动 |
798.41 |
公开私密 secret 或令牌 Finicity 客户端 Secret |
High |
被动 |
798.42 |
公开私密 secret 或令牌 Finicity API 令牌 |
High |
被动 |
798.43 |
公开私密 secret 或令牌 Flickr 访问令牌 |
High |
被动 |
798.44 |
公开私密 secret 或令牌 Finnhub 访问令牌 |
High |
被动 |
798.46 |
公开私密 secret 或令牌 Flutterwave Secret Key |
High |
被动 |
798.47 |
公开私密 secret 或令牌 Flutterwave 加密 Key |
High |
被动 |
798.48 |
公开私密 secret 或令牌 Frame.io API 令牌 |
High |
被动 |
798.49 |
公开私密 secret 或令牌 FreshBooks 访问令牌 |
High |
被动 |
798.50 |
公开私密 secret 或令牌 GoCardless API 令牌 |
High |
被动 |
798.52 |
公开私密 secret 或令牌 GitHub 个人访问令牌 |
High |
被动 |
798.53 |
公开私密 secret 或令牌 GitHub OAuth 访问令牌 |
High |
被动 |
798.54 |
公开私密 secret 或令牌 GitHub App 令牌 |
High |
被动 |
798.55 |
公开私密 secret 或令牌 GitHub 刷新令牌 |
High |
被动 |
798.56 |
公开私密 secret 或令牌极狐GitLab 个人访问令牌 |
High |
被动 |
798.57 |
公开私密 secret 或令牌 Gitter 访问令牌 |
High |
被动 |
798.58 |
公开私密 secret 或令牌 HashiCorp Terraform 用户/组织 API 令牌 |
High |
被动 |
798.59 |
公开私密 secret 或令牌 Heroku API Key |
High |
被动 |
798.60 |
公开私密 secret 或令牌 HubSpot API 令牌 |
High |
被动 |
798.61 |
公开私密 secret 或令牌 Intercom API 令牌 |
High |
被动 |
798.62 |
公开私密 secret 或令牌 Kraken 访问令牌 |
High |
被动 |
798.63 |
公开私密 secret 或令牌 Kucoin 访问令牌 |
High |
被动 |
798.64 |
公开私密 secret 或令牌 Kucoin Secret Key |
High |
被动 |
798.65 |
公开私密 secret 或令牌 LaunchDarkly 访问令牌 |
High |
被动 |
798.66 |
公开私密 secret 或令牌 Linear API 令牌 |
High |
被动 |
798.67 |
公开私密 secret 或令牌 Linear 客户端 Secret |
High |
被动 |
798.68 |
公开私密 secret 或令牌 LinkedIn 客户端 ID |
High |
被动 |
798.69 |
公开私密 secret 或令牌 LinkedIn 客户端 secret |
High |
被动 |
798.70 |
公开私密 secret 或令牌 Lob API Key |
High |
被动 |
798.72 |
公开私密 secret 或令牌 Mailchimp API key |
High |
被动 |
798.74 |
公开私密 secret 或令牌 Mailgun 个人 API 令牌 |
High |
被动 |
798.75 |
公开私密 secret 或令牌 Mailgun Webhook 签名 key |
High |
被动 |
798.77 |
公开私密 secret 或令牌 Mattermost 访问令牌 |
High |
被动 |
798.78 |
公开私密 secret 或令牌 MessageBird API 令牌 |
High |
被动 |
798.80 |
公开私密 secret 或令牌 Netlify 访问令牌 |
High |
被动 |
798.81 |
公开私密 secret 或令牌 New Relic 用户 API Key |
High |
被动 |
798.82 |
公开私密 secret 或令牌 New Relic 用户 API ID |
High |
被动 |
798.83 |
公开私密 secret 或令牌 New Relic ingest 浏览器 API 令牌 |
High |
被动 |
798.84 |
公开私密 secret 或令牌 npm 访问令牌 |
High |
被动 |
798.86 |
公开私密 secret 或令牌 Okta 访问令牌 |
High |
被动 |
798.87 |
公开私密 secret 或令牌 Plaid 客户端 ID |
High |
被动 |
798.88 |
公开私密 secret 或令牌 Plaid Secret key |
High |
被动 |
798.89 |
公开私密 secret 或令牌 Plaid API 令牌 |
High |
被动 |
798.90 |
公开私密 secret 或令牌 PlanetScale 密码 |
High |
被动 |
798.91 |
公开私密 secret 或令牌 PlanetScale API 令牌 |
High |
被动 |
798.92 |
公开私密 secret 或令牌 PlanetScale OAuth 令牌 |
High |
被动 |
798.93 |
公开私密 secret 或令牌 Postman API 令牌 |
High |
被动 |
798.94 |
公开私密 secret 或令牌 Private Key |
High |
被动 |
798.95 |
公开私密 secret 或令牌 Pulumi API 令牌 |
High |
被动 |
798.96 |
公开私密 secret 或令牌 PyPI 上传令牌 |
High |
被动 |
798.97 |
公开私密 secret 或令牌 RubyGems API 令牌 |
High |
被动 |
798.98 |
公开私密 secret 或令牌 RapidAPI 访问令牌 |
High |
被动 |
798.99 |
公开私密 secret 或令牌 Sendbird 访问 ID |
High |
被动 |
798.100 |
公开私密 secret 或令牌 Sendbird 访问令牌 |
High |
被动 |
798.101 |
公开私密 secret 或令牌 SendGrid API 令牌 |
High |
被动 |
798.102 |
公开私密 secret 或令牌 Sendinblue API 令牌 |
High |
被动 |
798.103 |
公开私密 secret 或令牌 Sentry 访问令牌 |
High |
被动 |
798.104 |
公开私密 secret 或令牌 Shippo API 令牌 |
High |
被动 |
798.105 |
公开私密 secret 或令牌 Shopify 访问令牌 |
High |
被动 |
798.106 |
公开私密 secret 或令牌 Shopify 自定义访问令牌 |
High |
被动 |
798.107 |
公开私密 secret 或令牌 Shopify 个人应用访问令牌 |
High |
被动 |
798.108 |
公开私密 secret 或令牌 Shopify shared secret |
High |
被动 |
798.109 |
公开私密 secret 或令牌 Slack 令牌 |
High |
被动 |
798.110 |
公开私密 secret 或令牌 Slack Webhook |
High |
被动 |
798.111 |
公开私密 secret 或令牌 Stripe |
High |
被动 |
798.112 |
公开私密 secret 或令牌 Square 访问令牌 |
High |
被动 |
798.113 |
公开私密 secret 或令牌 Squarespace 访问令牌 |
High |
被动 |
798.114 |
公开私密 secret 或令牌 SumoLogic 访问 ID |
High |
被动 |
798.115 |
公开私密 secret 或令牌 SumoLogic 访问令牌 |
High |
被动 |
798.116 |
公开私密 secret 或令牌 Travis CI 访问令牌 |
High |
被动 |
798.117 |
公开私密 secret 或令牌 Twilio API Key |
High |
被动 |
798.118 |
公开私密 secret 或令牌 Twitch API 令牌 |
High |
被动 |
798.119 |
公开私密 secret 或令牌 Twitter API Key |
High |
被动 |
798.120 |
公开私密 secret 或令牌 Twitter API Secret |
High |
被动 |
798.121 |
公开私密 secret 或令牌 Twitter 访问令牌 |
High |
被动 |
798.122 |
公开私密 secret 或令牌 Twitter 访问 Secret |
High |
被动 |
798.123 |
公开私密 secret 或令牌 Twitter Bearer 令牌 |
High |
被动 |
798.124 |
公开私密 secret 或令牌 Typeform API 令牌 |
High |
被动 |
798.125 |
公开私密 secret 或令牌 Yandex API Key |
High |
被动 |
798.126 |
公开私密 secret 或令牌 Yandex AWS 访问令牌 |
High |
被动 |
798.127 |
公开私密 secret 或令牌 Yandex 访问令牌 |
High |
被动 |
798.128 |
公开私密 secret 或令牌 Zendesk Secret Key |
High |
被动 |
829.1 |
包含来自不可信控制领域的功能 |
Low |
被动 |
829.2 |
检测到无效的子资源完整性值 |
Medium |
被动 |