check_id,priority,domain,check_item,applies_to,method
V001,P0,访问控制、租户隔离与授权,对象级授权缺失 BOLA/IDOR,多租户 API、后台、移动端 API,枚举对象 ID，用不同权限测试账号访问，核验服务端 ownership 判断
V002,P0,访问控制、租户隔离与授权,功能级授权缺失 BFLA,管理后台、运营后台、API 网关,低权限账号访问高权限路由，检查 RBAC/ABAC 中间件覆盖
V003,P0,访问控制、租户隔离与授权,水平越权,用户中心、订单、文件、工单、消息,同角色不同用户交叉访问对象，记录响应差异
V004,P0,访问控制、租户隔离与授权,垂直越权,普通用户、客服、管理员、超级管理员,角色矩阵驱动测试，覆盖读写删审批导出等动作
V005,P0,访问控制、租户隔离与授权,多租户隔离失效,SaaS、组织空间、团队项目,跨 tenant_id、org_id、workspace_id 请求，验证数据库层和服务层隔离
V006,P1,访问控制、租户隔离与授权,用户可控键导致授权绕过,REST、GraphQL、RPC,检查 user_id、tenant_id、role、scope 等字段是否来自客户端
V007,P1,访问控制、租户隔离与授权,强制浏览和目录枚举,静态资源、后台路由、旧页面,爬虫发现未链接路径，验证认证和授权
V008,P1,访问控制、租户隔离与授权,缺少默认拒绝策略,API 网关、中间件、微服务,审查路由默认策略，新增路由未配置权限时应拒绝
V009,P1,访问控制、租户隔离与授权,前端隐藏按钮替代服务端授权,SPA、低代码后台,绕过 UI 直接调用 API，验证服务端权限
V010,P0,访问控制、租户隔离与授权,导出接口越权,报表、CSV、Excel、BI,用低权限账号请求导出任务和下载链接
V011,P1,访问控制、租户隔离与授权,批量操作越权,批量删除、批量审批、批量邀请,批量 body 混入无权对象 ID，验证逐项授权
V012,P1,访问控制、租户隔离与授权,工作流状态越权,审批、支付、退款、发布,跳过状态流转，直接调用下一阶段接口
V013,P1,访问控制、租户隔离与授权,资源归属只在创建时校验,文件、项目、任务、订单,对象转移、更新、删除、下载阶段重复验证权限
V014,P1,访问控制、租户隔离与授权,分享链接权限过宽,网盘、文档、邀请、导出,测试链接过期、撤销、访问范围、下载次数、可猜测性
V015,P1,访问控制、租户隔离与授权,预签名 URL 过期和范围错误,S3、OSS、GCS、私有文件,检查有效期、路径范围、HTTP 方法、Content-Type 约束
V016,P0,访问控制、租户隔离与授权,内部 API 暴露给公网,微服务、BFF、管理 API,资产发现和路由扫描，检查网关策略和内网访问控制
V017,P0,访问控制、租户隔离与授权,调试、诊断、管理端点未授权,Actuator、Django admin、Swagger、GraphiQL,端点清单扫描和匿名访问验证
V018,P1,访问控制、租户隔离与授权,CORS 允许任意来源带凭证,Web API、BFF、管理后台,检查 Access-Control-Allow-Origin 与 Credentials 组合
V019,P1,访问控制、租户隔离与授权,CSRF 防护缺失,Cookie 会话、后台、支付和设置,对状态改变请求检查 SameSite、CSRF token、Origin/Referer
V020,P1,访问控制、租户隔离与授权,权限缓存失效,网关缓存、前端缓存、Redis 权限缓存,修改角色后立即访问旧权限接口，验证缓存失效
V021,P1,访问控制、租户隔离与授权,邀请和成员管理越权,团队空间、组织、企业后台,普通成员邀请、修改角色、移除 owner 测试
V022,P1,访问控制、租户隔离与授权,服务间调用缺少身份,微服务、队列、事件总线,检查 mTLS、服务身份、消息签名、最小权限
V023,P1,认证、会话、OAuth/OIDC/SAML,弱密码策略,所有登录系统,检查复杂度、长度、禁用常见密码、密码重用策略
V024,P0,认证、会话、OAuth/OIDC/SAML,暴力破解和撞库无防护,登录、验证码、短信、邮箱,检查账号/IP/设备维度限速、风险控制和告警
V025,P2,认证、会话、OAuth/OIDC/SAML,账号枚举,登录、注册、找回密码、邀请,比较错误信息、响应时间、状态码和邮件行为
V026,P0,认证、会话、OAuth/OIDC/SAML,MFA 绕过,管理员、财务、敏感操作,覆盖备用码、记住设备、重置流程、API 直接调用
V027,P0,认证、会话、OAuth/OIDC/SAML,密码重置链接可猜或不过期,用户中心,检查随机性、单次使用、过期、撤销、绑定用户和场景
V028,P1,认证、会话、OAuth/OIDC/SAML,会话固定,Cookie 会话,登录前后 session id 是否重新生成
V029,P1,认证、会话、OAuth/OIDC/SAML,Cookie 缺少 Secure/HttpOnly/SameSite,Web 会话,浏览器和响应头扫描
V030,P0,认证、会话、OAuth/OIDC/SAML,JWT alg 混淆和 none 风险,JWT API,静态检查验签库配置，验证算法白名单
V031,P1,认证、会话、OAuth/OIDC/SAML,JWT 过期和撤销缺失,SPA、移动端、API,检查 exp、refresh token 轮换、登出撤销、风险事件撤销
V032,P0,认证、会话、OAuth/OIDC/SAML,JWT secret 弱或泄露,Node/Python/Java/.NET,Secrets 扫描、配置审查、密钥强度检查
V033,P1,认证、会话、OAuth/OIDC/SAML,Refresh Token 重放,OAuth、移动端、SPA,检查一次性轮换、设备绑定、异常使用检测
V034,P0,认证、会话、OAuth/OIDC/SAML,OAuth redirect_uri 校验不严,社交登录、企业 SSO,测试精确匹配、通配符、子域、URL 编码绕过
V035,P1,认证、会话、OAuth/OIDC/SAML,OAuth state/nonce 缺失,OAuth/OIDC,审查登录流程，验证 CSRF 和重放防护
V036,P0,认证、会话、OAuth/OIDC/SAML,OIDC Token 受众和签发者校验缺失,企业 SSO,检查 aud、iss、kid、jwks 缓存和算法白名单
V037,P0,认证、会话、OAuth/OIDC/SAML,SAML 签名包装风险,企业 SSO,检查断言签名位置、全链路签名验证和库版本
V038,P2,认证、会话、OAuth/OIDC/SAML,登出不彻底,Web、移动端,检查服务端 session、refresh token、SSO session 撤销
V039,P2,认证、会话、OAuth/OIDC/SAML,设备信任绕过,MFA、风控,检查设备指纹绑定、风险策略、重置后行为
V040,P0,认证、会话、OAuth/OIDC/SAML,管理员默认账号或默认密码,后台、CMS、设备、数据库,默认凭证检查、安装脚本和镜像配置审查
V041,P1,认证、会话、OAuth/OIDC/SAML,API Key 无过期和权限过大,开放平台、内部服务,检查 scope、过期、轮换、使用日志和泄露响应
V042,P0,认证、会话、OAuth/OIDC/SAML,Webhook 签名验证缺失,支付、通知、第三方集成,检查 HMAC、时间戳、重放窗口、事件幂等
V043,P1,认证、会话、OAuth/OIDC/SAML,验证码可复用或可绕过,短信、邮箱、人机验证,检查绑定场景、有效期、次数、服务端校验
V044,P2,认证、会话、OAuth/OIDC/SAML,会话并发控制缺失,后台、金融、企业系统,检查高风险账号的并发登录策略和异常通知
V045,P0,注入、解释器与输入处理,SQL 注入,所有 SQL 数据库,SAST 查拼接 SQL，DAST 使用安全测试用例验证参数化
V046,P1,注入、解释器与输入处理,二阶 SQL 注入,资料保存后再查询的流程,存储型输入在后续报表、搜索、导出中再次验证
V047,P1,注入、解释器与输入处理,NoSQL 注入,MongoDB、Elastic、Firestore,检查查询对象合并、操作符注入、类型混淆
V048,P1,注入、解释器与输入处理,GraphQL 注入,GraphQL API,审查 resolver 中动态查询和用户输入传递
V049,P1,注入、解释器与输入处理,LDAP 注入,企业目录、SSO,检查过滤器拼接和转义
V050,P2,注入、解释器与输入处理,XPath/XML 查询注入,XML 服务、旧系统,检查 XPath 拼接和 XML 输入验证
V051,P0,注入、解释器与输入处理,OS 命令注入,后端、文件处理、运维接口,SAST 查 child_process/subprocess/exec，验证参数白名单
V052,P1,注入、解释器与输入处理,参数注入,CLI 包装、转码器、压缩工具,检查用户输入是否作为命令参数或选项
V053,P0,注入、解释器与输入处理,代码注入 eval,JS、Python、PHP、Ruby,SAST 查 eval/Function/exec 动态代码
V054,P0,注入、解释器与输入处理,模板注入 SSTI,Jinja、Twig、Freemarker、Velocity、ERB,检查用户可控模板和未转义渲染
V055,P0,注入、解释器与输入处理,表达式语言注入,Spring SpEL、OGNL、MVEL,依赖版本检查和危险表达式入口审查
V056,P1,注入、解释器与输入处理,XSS 反射型,搜索、错误页、参数回显,DAST、模板编码审查、CSP 校验
V057,P0,注入、解释器与输入处理,XSS 存储型,评论、富文本、工单、消息,富文本净化策略和跨角色读取验证
V058,P1,注入、解释器与输入处理,DOM XSS,SPA、第三方脚本,SAST 查 innerHTML、document.write、URL hash 使用
V059,P1,注入、解释器与输入处理,富文本过滤绕过,编辑器、Markdown、HTML,检查白名单、协议过滤、SVG/MathML、链接处理
V060,P1,注入、解释器与输入处理,HTTP Header 注入,重定向、下载、代理,检查 CRLF、响应拆分、缓存污染
V061,P2,注入、解释器与输入处理,日志注入,日志、审计、SIEM,检查换行、控制字符、结构化日志编码
V062,P1,注入、解释器与输入处理,邮件头注入,联系表单、邀请邮件,检查 To/CC/Subject/From 输入编码
V063,P0,注入、解释器与输入处理,XXE,XML 上传、SOAP、Office 解析,检查 XML parser 禁用外部实体和 DTD
V064,P0,注入、解释器与输入处理,SSRF,URL 抓取、图片代理、Webhook、导入,检查允许列表、DNS rebinding、防云元数据访问
V065,P2,注入、解释器与输入处理,开放重定向,登录跳转、邀请、支付回调,检查 next/redirect 参数和域名白名单
V066,P0,注入、解释器与输入处理,反序列化,Java、PHP、Python、Ruby、.NET,SAST/SCA 查危险库和入口，禁止不可信对象反序列化
V067,P1,注入、解释器与输入处理,YAML 反序列化,Python、Ruby、CI 配置,检查 safe_load 和自定义 tag
V068,P1,注入、解释器与输入处理,Prototype Pollution,Node.js、浏览器 JS,SCA 查漏洞包，SAST 查对象深合并
V069,P2,注入、解释器与输入处理,Regular Expression DoS,Node、Python、Java、Go,检测高复杂度正则和输入长度限制
V070,P1,注入、解释器与输入处理,格式化字符串,C/C++、日志、原生扩展,SAST 和编译器警告
V071,P0,注入、解释器与输入处理,路径遍历,下载、预览、模板、日志,检查路径规范化、根目录限制、符号链接
V072,P0,注入、解释器与输入处理,本地文件包含 LFI,PHP、模板、插件,检查 include/require、模板路径和用户输入
V073,P0,注入、解释器与输入处理,远程文件包含 RFI,PHP、旧框架,检查远程包含配置和 include 输入
V074,P2,注入、解释器与输入处理,Server-Side Includes 注入,旧 Web 服务器,检查 SSI 是否开启和用户上传页面
V075,P1,注入、解释器与输入处理,GraphQL 复杂度 DoS,GraphQL,深度、别名、递归、成本限制测试
V076,P0,注入、解释器与输入处理,HTTP 请求走私,代理、网关、负载均衡,架构审查和安全扫描，统一前后端解析
V077,P0,API、业务逻辑与滥用,批量赋值 Mass Assignment,REST、GraphQL、ORM,向请求体加入 role、isAdmin、price、tenant 字段
V078,P0,API、业务逻辑与滥用,对象属性级授权缺失,用户资料、订单、后台 API,字段级读写矩阵测试
V079,P0,API、业务逻辑与滥用,价格篡改,电商、订阅、支付,前端价格、折扣、币种、数量均由服务端重算
V080,P1,API、业务逻辑与滥用,优惠券重复使用,营销、增长,并发使用、跨账号、退款后复用、组合叠加测试
V081,P1,API、业务逻辑与滥用,库存和抢购竞态,电商、票务、预约,并发请求、幂等键、锁和事务一致性验证
V082,P0,API、业务逻辑与滥用,支付回调伪造,支付、订阅,签名、金额、订单号、幂等、状态机验证
V083,P0,API、业务逻辑与滥用,退款流程越权,电商、SaaS 财务,低权限发起退款、重复退款、金额篡改测试
V084,P1,API、业务逻辑与滥用,订单状态跳跃,订单、审批、工单,直接调用后续状态接口，验证状态机
V085,P1,API、业务逻辑与滥用,短信/邮件轰炸,通知、注册、找回,账号/IP/设备/场景多维限速
V086,P2,API、业务逻辑与滥用,注册和邀请滥用,SaaS、社区,批量注册、一次性邮箱、邀请码枚举测试
V087,P2,API、业务逻辑与滥用,爬虫和数据抓取,列表、搜索、公开资料,分页、搜索、导出、速率限制和水印
V088,P1,API、业务逻辑与滥用,资源消耗无限制,上传、搜索、AI、导出、报表,大小、页数、时间、并发、队列成本限制
V089,P2,API、业务逻辑与滥用,未限制 HTTP 方法,API、静态站、代理,OPTIONS/PUT/DELETE/PATCH 方法枚举
V090,P1,API、业务逻辑与滥用,缺少幂等控制,支付、创建、发券、邀请,重复请求和网络重试场景
V091,P1,API、业务逻辑与滥用,业务风控绕过,登录、支付、提现、优惠,设备、IP、行为、黑名单、异常聚合验证
V092,P1,API、业务逻辑与滥用,订阅权限过期后仍可访问,SaaS、内容、API,账单状态变更后访问缓存和令牌
V093,P1,API、业务逻辑与滥用,免费额度绕过,AI、API 平台、SaaS,多账号、并发、重放、租户切换、刷新 token
V094,P1,API、业务逻辑与滥用,导入任务绕过校验,CSV、Excel、第三方导入,批量导入中的角色、价格、权限字段
V095,P2,API、业务逻辑与滥用,GraphQL introspection 暴露,GraphQL,生产环境 schema、调试工具、内部字段暴露检查
V096,P2,API、业务逻辑与滥用,Schema 漂移,OpenAPI、GraphQL、RPC,实际端点与文档比较，发现影子 API
V097,P1,API、业务逻辑与滥用,API 版本未退役,v1/v2、移动端兼容,旧版本端点鉴权和依赖漏洞检查
V098,P1,API、业务逻辑与滥用,Webhook 重放,支付、消息、集成,时间戳、nonce、事件 ID 幂等
V099,P1,API、业务逻辑与滥用,第三方 API 过度信任,支付、地图、短信、KYC,校验签名、来源、字段、异常值和权限
V100,P2,API、业务逻辑与滥用,分页和排序注入,列表、搜索、报表,检查 sort/order/filter 是否白名单
V101,P0,API、业务逻辑与滥用,缓存键缺少用户维度,CDN、Redis、API 缓存,不同用户访问同一缓存 key 的数据泄露测试
V102,P1,前端、浏览器与客户端,缺失 CSP,Web 前端,响应头和脚本来源审查
V103,P2,前端、浏览器与客户端,CSP 过宽,Web 前端,检查 unsafe-inline、unsafe-eval、通配符、data: 使用
V104,P1,前端、浏览器与客户端,Clickjacking,后台、支付、设置页,检查 X-Frame-Options 或 frame-ancestors
V105,P2,前端、浏览器与客户端,Source Map 泄露,SPA、SSR,构建产物扫描 .map、源码、注释、密钥
V106,P1,前端、浏览器与客户端,Token 存储在 localStorage,SPA、移动 Web,检查 XSS 风险和令牌存储策略
V107,P1,前端、浏览器与客户端,前端环境变量泄露,Next、Vite、Nuxt,扫描构建产物和变量前缀策略
V108,P1,前端、浏览器与客户端,第三方脚本供应链,统计、客服、广告、CDN,资产清单、CSP、SRI、最小权限和数据隔离
V109,P2,前端、浏览器与客户端,缺少 SRI,CDN JS/CSS,检查 script/link integrity 和 crossorigin
V110,P1,前端、浏览器与客户端,postMessage Origin 校验缺失,iframe、插件、支付,检查消息来源、目标、数据 schema
V111,P2,前端、浏览器与客户端,Service Worker 范围过宽,PWA、离线缓存,检查 scope、缓存策略、更新和撤销
V112,P1,前端、浏览器与客户端,浏览器缓存敏感数据,后台、个人中心,Cache-Control、Pragma、历史记录和离线缓存
V113,P2,前端、浏览器与客户端,剪贴板和下载内容注入,代码片段、命令复制,检查隐藏字符和安全提示
V114,P3,前端、浏览器与客户端,开放跨域字体/资源导致信息泄露,静态资源、CDN,CORS 与私有资源缓存策略检查
V115,P0,前端、浏览器与客户端,WebSocket 鉴权缺失,实时消息、协作,握手鉴权、Origin 校验、订阅主题授权
V116,P1,前端、浏览器与客户端,WebSocket 消息级授权缺失,协作、通知,跨房间、跨项目订阅和发送测试
V117,P1,前端、浏览器与客户端,客户端路由守卫绕过,SPA,直接访问路由和 API，服务端授权验证
V118,P2,前端、浏览器与客户端,敏感信息出现在 HTML 注释,SSR、模板,页面源码扫描
V119,P2,前端、浏览器与客户端,静态配置暴露内部域名,前端配置、manifest,构建产物中扫描内网域名和测试环境 URL
V120,P2,前端、浏览器与客户端,iframe sandbox 配置不当,嵌入页面、插件,检查 allow-same-origin、allow-scripts 组合
V121,P1,前端、浏览器与客户端,前端依赖漏洞,npm、yarn、pnpm,lockfile SCA、包维护状态、许可证和恶意包检查
V122,P1,加密、密钥、隐私与数据保护,TLS 版本或套件过弱,所有公网服务,TLS 扫描，禁用 TLS 1.0/1.1 和弱套件
V123,P2,加密、密钥、隐私与数据保护,缺少 HSTS,HTTPS Web,检查 Strict-Transport-Security 和预加载策略
V124,P0,加密、密钥、隐私与数据保护,证书验证关闭,服务端出站请求、移动端,SAST 查 verify=false 和自签忽略
V125,P0,加密、密钥、隐私与数据保护,明文传输敏感数据,HTTP、内部 RPC、队列,流量和配置审查，敏感字段分类
V126,P0,加密、密钥、隐私与数据保护,密码哈希弱,认证服务,检查 Argon2/bcrypt/scrypt/PBKDF2 参数和盐
V127,P0,加密、密钥、隐私与数据保护,硬编码密钥,代码、镜像、前端、IaC,Gitleaks、镜像扫描、构建产物扫描
V128,P1,加密、密钥、隐私与数据保护,密钥长期不轮换,云、数据库、API,密钥年龄、使用范围、轮换流程审查
V129,P0,加密、密钥、隐私与数据保护,默认密钥或示例密钥,框架、JWT、Cookie、加密,配置模板和环境变量审查
V130,P1,加密、密钥、隐私与数据保护,加密密钥和密文同库存储,数据库、配置文件,检查 KMS/HSM/Secret Manager 使用
V131,P0,加密、密钥、隐私与数据保护,弱随机数,验证码、Token、找回链接,SAST 查非加密随机源和长度
V132,P0,加密、密钥、隐私与数据保护,使用 MD5/SHA1 存储密码或签名,旧系统,代码和数据库字段审查
V133,P1,加密、密钥、隐私与数据保护,对称加密模式错误,自研加密,检查 ECB、IV 重用、认证加密、nonce 管理
V134,P0,加密、密钥、隐私与数据保护,敏感数据日志泄露,应用日志、错误日志、访问日志,正则扫描日志样本，字段脱敏规则
V135,P2,加密、密钥、隐私与数据保护,PII 过度收集,注册、KYC、画像,数据最小化和保留期审查
V136,P1,加密、密钥、隐私与数据保护,隐私数据导出无审批,后台、BI、客服,导出权限、审计、水印和审批流
V137,P1,加密、密钥、隐私与数据保护,备份未加密,数据库、对象存储,备份配置、KMS、访问策略扫描
V138,P1,加密、密钥、隐私与数据保护,开发测试环境使用真实数据,测试、预发,抽样检测 PII 和脱敏策略
V139,P2,加密、密钥、隐私与数据保护,日志保留过长或无删除机制,合规、隐私,保留期、归档、删除策略审查
V140,P2,加密、密钥、隐私与数据保护,跨境/第三方数据流未登记,分析、客服、广告,第三方 SDK 和数据流清单
V141,P1,加密、密钥、隐私与数据保护,数据库字段级加密缺失,身份证、银行卡、密钥、医疗数据,数据分类到加密控制映射
V142,P1,加密、密钥、隐私与数据保护,Secret Manager 权限过宽,云密钥、CI 密钥,IAM、访问日志、最小权限审查
V143,P1,加密、密钥、隐私与数据保护,密钥出现在崩溃报告,前端、移动端、后端,错误上报样本脱敏扫描
V144,P1,加密、密钥、隐私与数据保护,Token 出现在 URL,下载、重置、回调,URL、Referer、日志、浏览器历史审查
V145,P0,加密、密钥、隐私与数据保护,会话标识可预测,自研 session/token,随机性、长度、熵和生成器审查
V146,P2,加密、密钥、隐私与数据保护,敏感对象缺少删除和撤销,文件、密钥、导出,生命周期、撤销、软删除和备份删除策略
V147,P0,文件、对象存储、媒体处理,危险文件上传,头像、附件、导入、CMS,扩展名、MIME、魔数、存储隔离和执行权限检查
V148,P0,文件、对象存储、媒体处理,上传后可执行,PHP、脚本、Webroot,上传目录禁止执行，文件名随机化
V149,P1,文件、对象存储、媒体处理,MIME 嗅探导致 XSS,下载、预览,Content-Type、X-Content-Type-Options、下载策略
V150,P0,文件、对象存储、媒体处理,文件名路径遍历,上传、解压、导入,规范化路径，禁止 .. 和绝对路径
V151,P0,文件、对象存储、媒体处理,Zip Slip,压缩包导入、插件安装,解压路径沙箱和文件数/大小限制
V152,P1,文件、对象存储、媒体处理,压缩炸弹,上传、解压、图片处理,压缩比、展开大小、层级和处理时间限制
V153,P1,文件、对象存储、媒体处理,图片处理库漏洞,ImageMagick、libwebp、ffmpeg,SCA、沙箱、进程隔离和资源限制
V154,P0,文件、对象存储、媒体处理,SSRF via 图片/URL 导入,头像抓取、OpenGraph、PDF 生成,URL allowlist、DNS 固定、内网和元数据阻断
V155,P0,文件、对象存储、媒体处理,公开对象存储桶,S3/OSS/GCS,桶策略、ACL、静态网站配置和匿名下载检查
V156,P1,文件、对象存储、媒体处理,对象存储可列目录,文件服务,ListBucket 权限检查
V157,P0,文件、对象存储、媒体处理,预览服务读取任意文件,PDF/Office/图片预览,文件 ID 与权限绑定，预览进程沙箱
V158,P0,文件、对象存储、媒体处理,下载接口越权,附件、导出、私有文件,换 file_id/key 测试 ownership
V159,P2,文件、对象存储、媒体处理,临时文件未清理,导出、转码、压缩,临时目录权限和生命周期
V160,P0,文件、对象存储、媒体处理,公开备份文件,网站根目录、对象存储,扫描 .bak、.zip、.sql、.env、backup 命名
V161,P0,文件、对象存储、媒体处理,源代码包暴露,部署包、静态目录,扫描 .git、源码压缩包、vendor、node_modules
V162,P2,文件、对象存储、媒体处理,文件病毒扫描缺失,用户上传、企业协作,接入 AV/YARA，隔离和异步判定
V163,P2,文件、对象存储、媒体处理,导出文件无水印和审计,报表、用户数据,下载日志、水印、权限和过期
V164,P1,文件、对象存储、媒体处理,跨租户文件 key 可预测,对象存储、CDN,文件 key 随机性和权限绑定检查
V165,P0,供应链、依赖、构建与 CI/CD,已知依赖漏洞,npm、pip、Maven、NuGet、Gem、Cargo、Go,SCA 对接 OSV/NVD/GHSA，按 KEV/EPSS 排序
V166,P1,供应链、依赖、构建与 CI/CD,传递依赖漏洞,所有包管理器,lockfile 解析和 reachability 分析
V167,P1,供应链、依赖、构建与 CI/CD,未维护组件,框架、库、插件,维护状态、发布日期、归档状态、替代方案
V168,P0,供应链、依赖、构建与 CI/CD,依赖混淆,私有包和公共包同名,私有源优先级、命名空间、锁定 registry
V169,P1,供应链、依赖、构建与 CI/CD,Typosquatting 包,npm、pip、RubyGems,包名相似度和新包信誉检查
V170,P1,供应链、依赖、构建与 CI/CD,恶意 postinstall 脚本,npm、pip、包安装,安装脚本审查、CI 网络隔离、最小权限
V171,P1,供应链、依赖、构建与 CI/CD,未提交 lockfile,应用仓库,检查 package-lock、pnpm-lock、poetry.lock、Gemfile.lock
V172,P2,供应链、依赖、构建与 CI/CD,依赖版本过宽,包管理器,检查通配符、latest、动态版本
V173,P2,供应链、依赖、构建与 CI/CD,未生成 SBOM,发布流程,生成 CycloneDX/SPDX，归档到制品
V174,P1,供应链、依赖、构建与 CI/CD,制品无签名,镜像、包、二进制,cosign/sigstore、SLSA provenance、签名校验
V175,P0,供应链、依赖、构建与 CI/CD,CI/CD 密钥泄露,GitHub Actions、GitLab CI、Jenkins,secrets 扫描、日志脱敏、权限最小化
V176,P1,供应链、依赖、构建与 CI/CD,CI 权限过大,仓库流水线,GITHUB_TOKEN permissions、OIDC、部署角色最小权限
V177,P1,供应链、依赖、构建与 CI/CD,未固定 GitHub Action 版本,GitHub Actions,使用 commit SHA pinning，审查第三方 action
V178,P0,供应链、依赖、构建与 CI/CD,Pull Request 可访问生产密钥,开源/协作仓库,fork PR 权限、环境保护、审批
V179,P0,供应链、依赖、构建与 CI/CD,构建环境可被篡改,自托管 runner、Jenkins agent,runner 隔离、清理、镜像基线、最小权限
V180,P0,供应链、依赖、构建与 CI/CD,制品仓库公开,npm 私有源、镜像仓库,匿名拉取/推送、权限、审计日志
V181,P1,供应链、依赖、构建与 CI/CD,制品到部署缺少不可变性,CI/CD,构建一次、多环境推广、哈希校验
V182,P1,供应链、依赖、构建与 CI/CD,容器基础镜像过旧,Docker,镜像 CVE、digest 固定、最小镜像
V183,P0,供应链、依赖、构建与 CI/CD,镜像包含构建密钥,Docker layer,层扫描、history、multi-stage 构建
V184,P1,供应链、依赖、构建与 CI/CD,供应商 SDK 权限过大,支付、客服、广告、AI,数据流、权限、域名、回调审查
V185,P0,供应链、依赖、构建与 CI/CD,自动更新通道未校验,桌面、插件、Agent,签名、TLS、回滚、版本锁
V186,P1,供应链、依赖、构建与 CI/CD,CDN 资源被替换风险,前端第三方脚本,SRI、CSP、供应商审查、缓存策略
V187,P3,供应链、依赖、构建与 CI/CD,许可证和合规风险,开源依赖,许可证扫描，结合商业发布策略
V188,P2,供应链、依赖、构建与 CI/CD,漏洞库单一来源,SCA 平台,同时接入 NVD、OSV、GHSA、厂商公告、CISA KEV
V189,P1,供应链、依赖、构建与 CI/CD,补丁回归验证缺失,修复流程,修复后重扫、单元测试、安全回归用例
V190,P0,云、容器、Kubernetes、IaC 与网络,安全组 0.0.0.0/0 暴露管理端口,云主机、数据库、Redis、SSH,云资产扫描和端口暴露审查
V191,P1,云、容器、Kubernetes、IaC 与网络,云 IAM 权限过宽,AWS/Azure/GCP,Administrator、*:*、通配符资源、跨账号信任检查
V192,P0,云、容器、Kubernetes、IaC 与网络,未启用 MFA,云控制台、管理员,账号和角色基线检查
V193,P0,云、容器、Kubernetes、IaC 与网络,对象存储公开读写,S3/OSS/GCS,Bucket policy、ACL、Block public access 检查
V194,P1,云、容器、Kubernetes、IaC 与网络,云日志未开启,CloudTrail、Activity Log、Audit Log,审计日志、保存期、集中化和篡改保护
V195,P1,云、容器、Kubernetes、IaC 与网络,KMS 未使用或权限过宽,密钥管理,密钥策略、轮换、使用日志
V196,P0,云、容器、Kubernetes、IaC 与网络,云元数据服务 SSRF,云主机、容器,IMDSv2、元数据 IP 阻断、出站代理策略
V197,P0,云、容器、Kubernetes、IaC 与网络,Terraform state 泄露,IaC,state 后端加密、权限、敏感值扫描
V198,P0,云、容器、Kubernetes、IaC 与网络,IaC 硬编码密钥,Terraform、CloudFormation、Helm,Secrets 扫描和变量管理
V199,P2,云、容器、Kubernetes、IaC 与网络,Docker 以 root 运行,容器,Dockerfile USER、运行时安全上下文
V200,P0,云、容器、Kubernetes、IaC 与网络,特权容器,Kubernetes,privileged、capabilities、hostPID/hostNetwork 检查
V201,P0,云、容器、Kubernetes、IaC 与网络,挂载 Docker socket,容器平台、CI,Volume 审查和 runner 隔离
V202,P0,云、容器、Kubernetes、IaC 与网络,hostPath 危险挂载,Kubernetes,Pod spec 扫描和准入控制
V203,P1,云、容器、Kubernetes、IaC 与网络,Kubernetes RBAC 过宽,K8s,cluster-admin、通配符动词、service account 权限
V204,P2,云、容器、Kubernetes、IaC 与网络,默认 ServiceAccount 自动挂载,K8s,automountServiceAccountToken 策略
V205,P1,云、容器、Kubernetes、IaC 与网络,Kubernetes Secret 明文风险,K8s,etcd 加密、Secret 外部化、RBAC
V206,P1,云、容器、Kubernetes、IaC 与网络,Ingress 误配,Nginx Ingress、Gateway,注解、路径路由、TLS、重写规则审查
V207,P1,云、容器、Kubernetes、IaC 与网络,NetworkPolicy 缺失,K8s,命名空间间默认拒绝和最小通信矩阵
V208,P1,云、容器、Kubernetes、IaC 与网络,容器镜像漏洞,镜像仓库,Trivy/Grype，按 KEV/EPSS 排序修复
V209,P2,云、容器、Kubernetes、IaC 与网络,镜像未固定 digest,Docker/K8s,检查 latest 和浮动 tag
V210,P1,云、容器、Kubernetes、IaC 与网络,Pod 缺少资源限制,K8s,requests/limits 和 HPA 策略
V211,P0,云、容器、Kubernetes、IaC 与网络,公网负载均衡暴露内部服务,云网络,LB/Ingress 与服务标签映射
V212,P2,云、容器、Kubernetes、IaC 与网络,WAF 规则缺失或旁路,公网 Web,DNS、源站限制、WAF 日志和 bypass 路径
V213,P1,云、容器、Kubernetes、IaC 与网络,DNS 接管,子域名、SaaS 绑定,悬空 CNAME、未验证服务、过期资源
V214,P2,云、容器、Kubernetes、IaC 与网络,域名和证书过期,公网资产,到期监控和自动续期
V215,P2,云、容器、Kubernetes、IaC 与网络,邮件域名安全缺失,邮件通知、企业域,SPF、DKIM、DMARC 检查
V216,P1,云、容器、Kubernetes、IaC 与网络,CDN 源站直连,Web/CDN,源站 IP 暴露和只允许 CDN 回源
V217,P0,云、容器、Kubernetes、IaC 与网络,备份账户和灾备环境暴露,DR、备份,公网、凭证、访问策略和日志检查
V218,P1,云、容器、Kubernetes、IaC 与网络,跨账号信任过宽,云组织、多账号,AssumeRole 条件、外部 ID、最小权限
V219,P1,云、容器、Kubernetes、IaC 与网络,边缘函数权限过大,Cloudflare Workers、Lambda@Edge,环境变量、密钥、出站访问和数据范围
V220,P0,数据库、缓存、搜索、队列,数据库公网暴露,MySQL、PostgreSQL、SQL Server,端口暴露、ACL、安全组、认证检查
V221,P1,数据库、缓存、搜索、队列,数据库账户权限过大,关系数据库,应用账号仅允许所需 schema 和操作
V222,P0,数据库、缓存、搜索、队列,数据库弱口令,数据库、管理工具,凭证策略和默认账号检查
V223,P1,数据库、缓存、搜索、队列,未启用传输加密,数据库连接,TLS 配置和客户端验证
V224,P0,数据库、缓存、搜索、队列,备份文件泄露,数据库备份,对象存储、Webroot、CI artifact 扫描
V225,P1,数据库、缓存、搜索、队列,行级安全缺失,多租户 PostgreSQL,RLS 策略和应用层双重校验
V226,P1,数据库、缓存、搜索、队列,存储过程注入,SQL Server、Oracle、MySQL,动态 SQL 和权限审查
V227,P0,数据库、缓存、搜索、队列,Redis 未授权,缓存、队列,端口暴露、requirepass/ACL、绑定地址
V228,P1,数据库、缓存、搜索、队列,Redis 危险命令,Redis,禁用/重命名 FLUSH、CONFIG、EVAL 等高危命令
V229,P0,数据库、缓存、搜索、队列,MongoDB 未授权,MongoDB,认证、网络、角色和备份检查
V230,P0,数据库、缓存、搜索、队列,Elasticsearch 索引公开,搜索,匿名访问、索引列表、Kibana 暴露
V231,P1,数据库、缓存、搜索、队列,搜索结果越权,Elastic、Algolia、Meilisearch,索引级过滤和 tenant 过滤检查
V232,P0,数据库、缓存、搜索、队列,消息队列未授权,RabbitMQ、Kafka、NATS,端口、认证、ACL、管理台暴露
V233,P1,数据库、缓存、搜索、队列,队列消息包含敏感数据,异步任务,消息样本脱敏和加密
V234,P1,数据库、缓存、搜索、队列,任务队列反序列化,Celery、Sidekiq、Java 队列,消息格式和可信边界审查
V235,P2,数据库、缓存、搜索、队列,缓存穿透和雪崩,Redis/CDN/API,空值缓存、互斥锁、限流和熔断
V236,P2,数据库、缓存、搜索、队列,数据库审计缺失,核心数据,审计日志、慢查询、敏感表访问告警
V237,P2,数据库、缓存、搜索、队列,影子数据存储,临时表、BI、导出,数据流和存储资产盘点
V238,P1,错误处理、日志、监控、韧性,错误堆栈泄露,Web/API,生产错误页面和响应体扫描
V239,P0,错误处理、日志、监控、韧性,调试模式开启,Django、Flask、Laravel、Spring,配置扫描和运行时探测
V240,P1,错误处理、日志、监控、韧性,安全事件未记录,登录、权限、支付、导出,事件清单到日志字段映射
V241,P2,错误处理、日志、监控、韧性,日志缺少关联 ID,微服务、API,trace_id/request_id 覆盖检查
V242,P1,错误处理、日志、监控、韧性,日志可被普通用户篡改,审计、后台,日志权限、集中化、WORM 存储
V243,P2,错误处理、日志、监控、韧性,告警阈值缺失,SIEM、云监控,暴力破解、越权、导出、密钥使用告警
V244,P2,错误处理、日志、监控、韧性,安全扫描未触发告警,WAF、SIEM,用测试标记事件验证检测链路
V245,P0,错误处理、日志、监控、韧性,异常处理失败开放,认证、支付、风控,依赖超时、风控异常、权限服务异常场景
V246,P1,错误处理、日志、监控、韧性,超时缺失,出站 HTTP、数据库、AI 调用,代码和配置审查，压测验证
V247,P2,错误处理、日志、监控、韧性,重试风暴,微服务、队列,指数退避、幂等、熔断、死信队列
V248,P1,错误处理、日志、监控、韧性,备份恢复未演练,数据库、对象存储,RTO/RPO 和恢复演练记录
V249,P2,错误处理、日志、监控、韧性,删除保护缺失,数据库、存储桶、K8s,版本化、软删除、保护策略
V250,P2,错误处理、日志、监控、韧性,速率限制只按 IP,API、登录,账号、设备、Token、租户多维限速
V251,P2,错误处理、日志、监控、韧性,异常流量未隔离,网关、WAF,灰度、隔离、黑名单、挑战策略
V252,P2,错误处理、日志、监控、韧性,健康检查泄露,K8s、LB,health/metrics 端点鉴权和信息最小化
V253,P1,错误处理、日志、监控、韧性,指标端点暴露,Prometheus、Actuator,公网访问、认证、敏感标签检查
V254,P0,错误处理、日志、监控、韧性,审计日志包含密钥,日志、APM,密钥正则扫描和脱敏
V255,P1,错误处理、日志、监控、韧性,异常回滚不一致,支付、库存、积分,事务边界、补偿任务和对账
V256,P0,AI、LLM、RAG 与智能体应用,提示注入,Chatbot、Agent、RAG,构建恶意指令测试集，验证系统提示、工具调用和数据访问边界
V257,P0,AI、LLM、RAG 与智能体应用,间接提示注入,网页读取、邮件处理、文档导入,在外部内容中注入指令，检查工具是否越权执行
V258,P0,AI、LLM、RAG 与智能体应用,敏感信息泄露,LLM 输出、日志、训练数据,输出脱敏、日志脱敏、检索权限和数据分类检查
V259,P2,AI、LLM、RAG 与智能体应用,系统提示泄露,LLM 应用,提示测试和错误输出审查
V260,P0,AI、LLM、RAG 与智能体应用,工具调用过度代理,Agent、插件、函数调用,工具权限矩阵、人工确认、高危工具隔离
V261,P0,AI、LLM、RAG 与智能体应用,RAG 越权检索,知识库、多租户文档,跨用户/跨租户检索测试，向量库 metadata filter 校验
V262,P1,AI、LLM、RAG 与智能体应用,向量库投毒,RAG、知识库,文档来源、审核、版本、删除和召回验证
V263,P1,AI、LLM、RAG 与智能体应用,Embedding 弱隔离,多租户向量库,namespace、metadata、索引权限和备份隔离
V264,P1,AI、LLM、RAG 与智能体应用,模型供应链风险,开源模型、LoRA、插件,模型来源、哈希、许可证、安全评估和沙箱加载
V265,P0,AI、LLM、RAG 与智能体应用,输出未净化导致 XSS,LLM 生成 HTML/Markdown,渲染层编码、Markdown 白名单、链接协议过滤
V266,P0,AI、LLM、RAG 与智能体应用,代码生成直接执行,Agent、代码解释器,沙箱、网络隔离、文件系统隔离、资源限制
V267,P1,AI、LLM、RAG 与智能体应用,成本型 DoS,LLM API、推理服务,Token、并发、上下文长度、工具调用次数限制
V268,P0,AI、LLM、RAG 与智能体应用,越权读取用户邮箱/文件,Agent 集成,OAuth scope 最小化、逐次授权、审计日志
V269,P0,AI、LLM、RAG 与智能体应用,插件回调 SSRF,Agent 工具、Webhook,URL allowlist、内网阻断、出站代理
V270,P1,AI、LLM、RAG 与智能体应用,训练/微调数据污染,微调、反馈学习,数据来源、审核、异常样本检测和版本回滚
V271,P1,AI、LLM、RAG 与智能体应用,越权记忆,长期记忆、用户画像,记忆写入权限、用户可见、删除和租户隔离
V272,P2,AI、LLM、RAG 与智能体应用,安全分类器绕过,审核、风控,多模型审核、规则兜底、人工复核
V273,P1,AI、LLM、RAG 与智能体应用,模型输出误导业务决策,自动审批、客服、风控,关键动作人审、置信度阈值、可解释证据
V274,P1,AI、LLM、RAG 与智能体应用,提示和上下文进入第三方供应商,外部 LLM API,供应商数据政策、脱敏、私有部署或零保留选项
V275,P1,AI、LLM、RAG 与智能体应用,Agent 审计链缺失,复杂工作流,记录输入、检索片段、工具调用、审批和输出摘要