常见的弱点枚举

CWE术语表定义

RESSPEC:特定于资源问题和例子
RESSPEC:特定于资源问题和例子

有几组条目CWE的弱点,详细说明在特定于资源的方式。最好的例子是由CWE # 200,信息泄漏(信息披露)和CWE # 312,明文存储的敏感信息。

CWE # 538,文件和目录信息泄漏,是一个特定于资源的弱点。问题是不安全的存储的敏感数据,资源文件和目录。看到孩子们的# 538的不同类型的资源列表目前包括在CWE (ACL文件,核心转储文件,CVS存储库,等等)。

这里的问题是决定资源包括之间的界限和资源来排除。

讨论可能的解决方案/问题

注意:定义的节点重组机制仍在。看到节点重组详情页面。

• CWE离开。
• 列举每个特定于资源变化的CWE条目。
• 包括所有特定于资源问题为例在更一般CWE条目。
• 创建一个新类型的条目将允许捕捉每一种特定于资源问题作为一个个体“sub-node”在更一般的弱点CWE条目。
• 创建一个resource-independent条目识别更抽象的弱点,包括每个特定资源CWE相关条目。
• 创建一个resource-independent条目识别更抽象的弱点,并将当前所有特定于资源条目合并为该条目,创建“子节点”,如果需要额外的粒度(参见节点重组页面可能的方法)。

相关用例

评估供应商:搜索他们感兴趣的资源保护有关的问题。

评估客户:挑出缺点,适用于他们试图保护的资源。

学术研究人员:搜索特定的资源之间的交互问题和特定的语言或方案。

应用漏洞研究员:调整测试和研究资源与已知的相互作用问题。

精致的脆弱性信息(RVI)提供者:识别的弱点是在哪里发生的趋势。特定于特定的资源?

教育者:不适用。

软件的客户:不适用。

软件开发人员:他们必须意识到确定特定于资源问题。

建议

CWE研究员社区强烈建议提供反馈CWE团队或研究人员关于这个建议列表。

尽量减少数据丢失和最大化的所有潜在客户CWE的可用性,横切CWE团队建议引入一种新的条目CWE规范,包括所有特定于资源问题“子节点”下CWE条目更一般的CWE的弱点。这些“子节点”是否独立的节点,或其他类型的元素,仍在讨论中(请参阅节点重组页面可能的方法)。

例如,这将意味着所有信息泄漏条目将作为“子节点”下“信息泄露”cwe - 200条目。因此,特定于资源条目“错误消息信息泄漏”cwe - 209和所有“信息泄漏…”条目,将被合并成cwe - 209作为子节点,和引用(例如,cwe - 209.1 209年1日中间平巷的)。注:定义的节点重组机制仍在;看到节点重组页面可能的方法。

笔记

下面是初步工作为了更清楚地识别问题出现在CWE。以上问题不解决应该带到整个列表的注意,特别是如果CWE ID是缺少下面的注释。

类型的资源具体问题:

• 分隔符的问题<资源>
  * 141,142,143,144,145,146
• 未能掩盖<敏感数据类型>
  * 549
• 明文存储在<资源>
  * 312,313,314,315,316,317,318
• 信息泄漏通过<资源>
  * 200,209,210,211,212,214,215,528,529,530,531,532,533,534,535,536,538,539,540,541,542,598

例子的完整列表

CWE节点都受此影响上市是一个讨论点单独的页面。

文档版本:0.1日期:2007年9月13日

这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。