CWE视图:OWASP的弱点前十名(2017年)
 客观的观众关系
以下图显示了在不同抽象级别上存在的弱点之间的类似树状的关系。在最高级别上,存在类别和支柱。类别(不是技术弱点)是用于分组具有共同特征的弱点的特殊CWE条目。支柱是以最抽象的方式描述的弱点。在这些顶级条目的下方是弱点是不同水平的抽象水平。课程仍然非常抽象,通常与任何特定的语言或技术无关。基本水平弱点用于提出更具体类型的弱点。变体是一个弱点,细节级别非常低,通常仅限于特定的语言或技术。链条是一组弱点,必须连续到达,以产生可剥削的脆弱性。虽然复合材料是一组弱点,必须同时同时存在,以产生可剥削的脆弱性。
显示详细资料:
1026- OWASP的弱点前十名(2017年)
 类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十大A1类 - 注射- (1027)
此类别中的弱点与OWASP 2017年前十名中的A1类别有关。
 班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。命令中使用的特殊元素的中和不当(“命令注射”)- (77)
该软件使用来自上游组件的外部影响的输入构建命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期命令。
 基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。OS命令中使用的特殊元素的中和不当(“ OS命令注入”)- (78)
该软件使用来自上游组件的外部影响的输入构建全部或部分OS命令,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的OS命令。壳注射壳化元
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。在命令中(“参数注入”)中对论点定界符的中和不当- (88)
该软件构造了一个命令的字符串,以通过另一个控件领域的单独组件执行,但是它不能正确地划定该命令字符串中的预期参数,选项或开关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。SQL命令中使用的特殊元素的中和不当('SQL注入')- (89)
该软件使用来自上游组件的外部影响的输入构建SQL命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的SQL命令。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。LDAP查询中使用的特殊元素的中和不当(“ LDAP注入”)- (90)
该软件使用来自上游组件的外部影响的输入构建全部或部分LDAP查询,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的LDAP查询。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。XML注射(又称盲XPath注射)- (91)
该软件不能正确地中和XML中使用的特殊元素,从而使攻击者可以在XML的语法,内容或命令中修改XML的命令,然后再通过END系统处理。
 变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。SQL注入:休眠- (564)
使用Hibernate执行使用用户控制输入构建的动态SQL语句可以允许攻击者修改语句的含义或执行任意SQL命令。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。表达语言语句中使用的特殊元素的中和不当(“表达语言注射”)- (917)
该软件使用来自上游组件的外部影响的输入,在框架中构建全部或一部分语言语句(EL)语句,例如Java服务器页面(JSP),但它不会中和或错误地中和可以修改的特殊元素预定的EL语句在执行之前。注射
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。数据查询逻辑中特殊元素的中和不当- (943)
该应用程序生成了一个查询,旨在在数据库中访问或操纵数据,例如数据库,但不会中和或错误地中和可以修改查询预期逻辑的特殊元素。
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP前十名2017类A2类 - 破裂的身份验证- (1028)
此类别中的弱点与OWASP 2017年前十名中的A2类别有关。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。身份验证不当- (287)
当演员声称具有给定身份时,该软件不会证明或不充分证明索赔是正确的。身份验证authnauthc
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。密码的明文存储- (256)
以明文存储密码可能会导致系统妥协。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用单因素身份验证- (308)
与双因素身份验证方案相比,使用单因素身份验证可能会导致不必要的妥协风险。
 复合材料 - 一个由两个或更多不同的弱点组成的复合元素,其中所有弱点必须同时存在,以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下,一个弱点对于复合材料可能不是必不可少的,但是当复合材料变成脆弱性时,它会改变其性质。会话固定- (384)
对用户进行身份验证或以其他方式建立新的用户会话,而无需使任何现有的会话标识符无效,这使攻击者有机会窃取身份验证的会话。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。不充分保护凭据- (522)
产品传输或存储身份验证凭证,但它使用了一种不安全的方法,该方法容易受到未经授权的拦截和/或检索的影响。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。凭证的未保护运输- (523)
登录页面在从客户端到服务器中运输时,不使用足够的措施来保护用户名和密码。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。会话到期不足- (613)
根据WASC的说法,“不足会话到期是在网站允许攻击者重复使用旧会话凭据或会话ID进行授权时。”
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。未验证的密码更改- (620)
为用户设置新密码时,产品不需要了解原始密码,也不需要使用其他形式的身份验证。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。弱密码恢复机制被遗忘的密码- (640)
该软件包含一种机制,可以使用户在不知道原始密码的情况下恢复或更改密码,但是该机制很弱。
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP前十名2017类A3类 - 敏感数据曝光- (1029)
此类别中的弱点与OWASP 2017年前十名中的A3类别有关。
变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。使用FTP根以敏感数据存储文件- (220)
该应用程序将敏感的数据存储在FTP服务器根部,并且访问控制不足,这可能使不受信任的各方访问它。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。证书验证不当- (295)
该软件不会验证或错误验证证书。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。缺少敏感数据的加密- (311)
该软件在存储或传输之前不会加密敏感或关键信息。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。敏感信息的清晰文本存储- (312)
该产品将敏感信息存储在ClearText中的资源中,该资源可能可以访问另一个控制领域。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。敏感信息的清晰文本传输- (319)
该软件在通信渠道中可以在通信通道中传输敏感或关键的数据,该数据可以被未经授权的参与者嗅探。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缺少加密步骤- (325)
该产品没有在加密算法中实施所需的步骤,从而导致比算法宣传的弱加密。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。加密强度不足- (326)
该软件使用理论上合理的加密方案来存储或传输敏感数据,但对于所需的保护水平不足。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。使用破裂或危险的加密算法- (327)
使用破裂或危险的加密算法是不必要的风险,可能导致敏感信息暴露。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用弱哈希- (328)
该产品使用一种产生摘要(输出值)的算法,该算法不符合对对手可以合理确定原始输入(预映射攻击)的哈希功能的安全性期望,请找到另一个可以产生相同哈希的输入(第二个预先映射攻击),或找到评估相同哈希(生日攻击)的多个输入。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。将私人个人信息暴露给未经授权的演员- (359)
该产品不能适当防止一个人的私人信息,即(1)未被明确授权访问信息的演员访问,或者(2)未征得收集信息的人的隐性同意。侵犯隐私隐私泄漏隐私泄漏
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十名A4类-XML外部实体(XXE)- (1030)
此类别中的弱点与OWASP 2017年前十名中的A4类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。XML外部实体参考的不当限制- (611)
该软件处理一个XML文档,该文档可以包含带有URI的XML实体,该文档解决了预期的控制范围之外的文档,从而导致产品将不正确的文档嵌入其输出中。xxe
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。DTD中对递归实体参考的不当限制('XML实体扩展')- (776)
该软件使用XML文档,并允许使用文档类型定义(DTD)定义其结构,但不能正确控制实体的递归定义数量。XEE十亿笑声攻击XML炸弹
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP前十名2017类A5类 - 损坏的访问控制- (1031)
此类别中的弱点与OWASP 2017年前十名中的A5类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。路径名的不当限制到限制目录(“路径遍历”)- (22)
该软件使用外部输入来构建一个旨在识别位于受限父级目录下方的文件或目录的路径名,但是该软件不能适当地中和路径名中的特殊元素,该路径名中的特殊元素可以使PATHNAME解析到该位置,该位置将其解析到该位置,该位置该位置该位置该位置不在限制目录之外。目录遍历路径遍历
 支柱 - 弱点是最抽象的弱点类型,代表了与之相关的所有类别/基础/变体弱点的主题。从技术上讲,柱子与类别不同,因为在技术上仍然是一种描述错误的弱点,而类别代表用于分组相关事物的常见特征。不当访问控制- (284)
该软件不会限制或错误地限制未经授权的演员对资源的访问。授权
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。授权不当- (285)
当演员试图访问资源或执行操作时,该软件不会执行或错误执行授权检查。Authz
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。直接请求(“强制浏览”)- (425)
Web应用程序不能在所有受限制的URL,脚本或文件上充分执行适当的授权。强迫浏览
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。授权绕过通过用户控制的密钥- (639)
系统的授权功能不会阻止一个用户通过修改识别数据的键值来访问另一个用户的数据或记录。不安全的直接对象参考 / IDOR损坏的对象级别授权 / bola水平授权
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十大A6类 - 安全性错误- (1032)
此类别中的弱点与OWASP 2017年前十名中的A6类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。产生包含敏感信息的错误消息- (209)
该软件生成了一个错误消息,其中包含有关其环境,用户或相关数据的敏感信息。
变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。通过目录清单接触信息- (548)
目录列表不当暴露,从而向攻击者产生潜在的敏感信息。
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十大A7类 - 跨站点脚本(XSS)- (1033)
此类别中的弱点与OWASP 2017年前十名中的A7类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。网页生成期间输入的中和不当(“跨站点脚本”)- (79)
该软件不会将用户控制输入放入输出之前,不会中和或错误地中和用作用于其他用户的网页的输出。XSSHTML注射CSS
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十大A8类 - 不安全的挑战- (1034)
此类别中的弱点与OWASP 2017年前十名中的A8类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受信任数据的次要化- (502)
该应用程序对不受信任的数据进行了验证,而无需充分验证所得数据是否有效。编组,宣布腌制,没有挑剔PHP对象注入
类别 - 包含共享共同特征的其他条目的CWE条目。OWASP 2017年前十大A10类 - 记录和监视不足- (1036)
此类别中的弱点与OWASP 2017年前十名中的A10类别有关。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。省略与安全有关的信息- (223)
该应用程序不会记录或显示对于识别攻击的来源或性质很重要的信息,或者确定操作是否安全。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。记录不足- (778)
当发生关键安全事件时,该软件要么不会记录事件,要么在登录事件时省略了有关事件的重要详细信息。
笔记参考查看指标内容历史记录
提供更多信息 - 请选择其他过滤器。
|
||||||||||||||||||||||||||||
