而准备:技术具体问题和例子
而准备:技术具体问题和例子
有一个相当大的集团在CWE的条目(至少50,100)描述特定于特定的技术弱点。“技术”可能意味着一个特定的操作系统: CWE 60 #, Unix路径链接问题(和孩子)
CWE # 67, Windows ms - dos设备名称
CWE # 70, Mac虚拟文件的问题(和孩子) 或一个特定的框架如。net或J2EE CWE # 519, . net环境问题(和孩子)CWE # 4, J2EE环境问题(和孩子) 或者,一些重叠的特定于语言的材料,可以有特定于XML等技术问题,HTTP、SSL、SQL等等 CWE # 91, XML注入(又名XPath盲注)CWE # 113, HTTP响应分裂CWE # 618,暴露出不安全的ActiveX方法 这些不同类型的问题为CWE筹集几个抽象问题,因为许多这些条目代表实例化一个更一般的疲软的背景下,一个特定的技术。例如,XML注入是一个失败的保护机制的冰天雪地中人物特殊的XML被允许通过。
讨论可能的解决方案/问题 注意:定义的节点重组机制仍在。看到节点重组详情页面。
- CWE离开。
- 列举每个特定于技术的变化作为自己的CWE条目。
- 包括所有特定于技术的问题,在更一般的“变异”CWE条目。
- 创建一个新类型的条目,将允许捕捉每一种特定于技术的问题作为一个个体“sub-node”在更一般的弱点CWE条目。
- 创建一个技术独立的条目识别更抽象的弱点,并包括每个相关的特定于技术的CWE条目。
- 创建一个技术独立的条目识别更抽象的弱点,并将当前所有特定于技术的条目从CWE合并为更抽象的条目(见节点重组页面可能的方法)。
相关用例 评估供应商:寻找不同的问题所采用的技术。 评估客户:挑出缺点,适用于技术所使用的代码库。 学术研究人员:不适用。 应用脆弱性研究人员:裁缝测试和研究具体问题的技术探索。 精致的脆弱性信息(RVI)提供者:有用的能够识别“更安全”技术和提出建议。 教育者:不适用。 软件的客户:有用的知道更安全的技术。 软件开发人员:要注意的问题技术被用于他们的工作 注意:这显然有大量的重叠特定于语言的弱点,但我们已经尽力把它分成的问题。
建议 CWE研究员社区强烈建议提供反馈CWE团队或研究人员关于这个建议列表。 尽量减少数据丢失和最大化的所有潜在客户CWE的可用性,横切CWE团队建议引入一种新型的进入CWE规范,并包括所有特定于技术的问题,“子节点”下CWE条目的更一般的CWE的弱点。 例如,这将意味着所有相对路径遍历条目将作为“变异”下“相对路径遍历”CWE-23条目。因此,特定于技术的条目“点点斜杠”(CWE-28)将合并在CWE-23作为“sub-node”以及其他特定条目。注:定义的节点重组机制仍在;看到节点重组页面可能的方法。
额外的笔记 下面是初步工作为了更清楚地识别问题出现在CWE。以上问题不解决应该带到整个列表的注意,特别是如果CWE ID是缺少下面的注释。
- Mac
* 70 - 72
- ActiveX
623 * 618,
- SQL
564 * 89,
- 窗户
* 58,67 - 69,422,63 - 65
- Unix
* 60、61、62
- 分为通用Tech-Specific问题
* 3、100、380、573
- XML
* 91、112、611
- HTTP / SSL /其他Web具体
* 113,350,444,593,598,599,614
- net问题
* 10 - 13、519、520、554、556
- Java / J2EE / EJB
* 4 - 9日,245,246,381 - 383,486,536(双列为科技和资源具体),537,543,555,568,574 - 581,594,600
- STRUTS的问题
* 608(101 - 110年)
- 不确定的
* 219 & 220(资源具体?),304,582,583
- 省略
* 396、397、589
- 混杂。注:
*许多节点标记为Java / J2EE特定问题时更普遍适用于大多数面向对象语言(例如c#)。这些节点的例子有任何移动代码的问题,错误的确定方法等。
例子的完整列表 CWE节点都受此影响上市是一个讨论点单独的页面。
文档版本:0.1日期:2007年9月13日 这是一个草案。CWE的打算支持维护,从一个特定的技术教育和征求反馈观众。本文档不反映任何主教法冠公司的官方立场或其赞助商。manbetx客户端首页版权©2007,斜方公司。manbetx客户端首页保留所有权利。许可重新分配这个文件如果没有这段删除。本文档是可以不经通知自行调整。
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
