Protectルール

コマンドインジェクション： 巧妙に作成された入力により、オペレーティングシステムレベルで不正なコマンドを実行されてしまう脆弱性。

クロスサイトスクリプティング： ユーザが他のユーザのブラウザで任意のJavaScriptを実行できてしまうWebアプリケーションの脆弱性。

ELインジェクション：多くのフレームワーク やカスタムコードに存在する脆弱性で、アプリケーションがユーザ入力をOGNL、SpEL、JSP ELなどの式言語(EL)として誤って評価した時に発生。

メソッドの改ざん：セキュリティ設定で、暗黙的に「全てを許可する」ような設定がある認証・承認システムに対する攻撃のこと。

パストラバーサル/ローカルファイルインクルード： アプリケーションで開いて読み込むファイルをユーザが制御できてしまう脆弱性。

SQLインジェクション・NoSQLインジェクション：巧妙に作成された入力により、アプリケーションで使用されるSQLクエリやNoSQLクエリが変更され、データが盗まれたりコードが実行されてしまう脆弱性。

安全でないファイルのアップロード： 悪意のあるファイルがアップロードの保護をバイパスして、悪意のある処理を実行できてしまう、アップロード処理の脆弱性。このルールは、一般的に使用される次のような拡張子を持つファイルに適用されます(ただし、これらに限定されるものではありません)：SVG、ASP、ASPX、*SH、JAR、JAVAなど。このルールによって、監視モードの場合には、安全でない可能性のあるファイルのアップロードが報告されます。ブロックモードの場合は、これらのファイルはブロックされます。

信頼できないデータのデシリアライゼーション：ユーザが任意のオブジェクトをデシリアライズ処理に渡し、リモートからのコード実行が可能になる、Webアプリケーションの脆弱性。

XML外部実体参照処理(XXE)：ユーザがファイルに対してファイルを読み書きしたり、リモートコードを実行できる可能性がある、XML処理の脆弱性。