静态分析是非常难以确定任何CSRF的问题,因为每个应用程序都有自己的隐式安全政策,规定哪些请求可以受到一个局外人。 SV.FIU等检查。权限确实提供了一些报道,但一般来说,宽松的权限操作和自定义权限模型从静态分析工具产生太多的警告。 与PHP代码,这不是被Klocwork覆盖。 不是静态可核查。手动检查是必需的。 使用Klocwork可扩展性来识别常用的库或特性,已经变得过时了。 报道称只有2010 CWE-SANS前25名。 注意:这个数据是由斜方,使用某些厂商在互联网上发布的信息。它被用来展示CCR和不代表任何官方立场的供应商。 使用不可信的标量值,不可信值作为参数,使用不受信任的价值 使用不可信的字符串值 用户的指针 字符串 字符串 字符串 禁止入内的访问,界外写 整数溢出,整数溢出的论点,溢出常数,溢出的返回值 整数溢出,整数溢出的论点,溢出常数,溢出的返回值 函数声明时,副作用的断言 无限循环,无限循环,没有退出 不可恢复的解析警告 部分来自Coverity覆盖率数据表的映射。 注意:这个数据是由斜方,使用某些厂商在互联网上发布的信息。它被用来展示CCR和不代表任何官方立场的供应商。