CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表

2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表> CWE -个人字典定义(4.10)
ID

CWE观点:解决的弱点SEI CERT甲骨文Java编码标准

视图ID: 1133
类型:
下载:小册子|CSV|XML
+客观的
CWE条目在这个视图(图)全部或部分消除遵循的指导在线维基,反映了当前的规则和建议SEI CERT甲骨文Java编码标准。
+观众
利益相关者 描述
软件开发人员 遵循SEI CERT甲骨文Java编码标准,开发人员将能够完全或部分防止缺陷中发现这一观点。此外,开发人员可以使用CWE覆盖图,以确定哪些弱点并不直接解决的标准,这将有助于识别并解决剩余空白培训、工具收购,或其他方法减少弱点。
产品的客户 后,如果一个软件开发人员自称是SEI CERT甲骨文Java安全编码标准,然后客户可以寻找弱点在这个视图中以制定独立的这种说法的证据。
教育工作者 教育者可以以多种方式使用这个视图。例如,如果有一个专注于教学的弱点,教育者可以链接到相关的安全的编码标准。
+的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
1133 -解决的弱点SEI CERT甲骨文Java编码标准
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南00。输入验证和数据卫生处理(IDS)- (1134)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))
弱点这类相关的规则和建议输入验证和数据SEI CERT的卫生处理(IDS)部分甲骨文Java安全编码标准。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的编码或逃避的输出- (116)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>116年 (不正确的编码或转义输出)
产品准备一个结构化的信息沟通与另一个组件,但编码或逃避的数据丢失或错误地完成。因此,是不会保留消息的预期结构。输出卫生处理输出验证输出编码
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的行为顺序:规范化之前验证- (180)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>180年 (不正确的行为秩序:规范化之前验证)
产品验证输入之前规范化,防止产品检测数据规范化步骤后变得无效。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过通过替代名称- (289)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>289年 (认证绕过备用名称)
产品执行身份验证基于被访问资源的名称,或执行访问的演员的名字,但这并不正确检查所有可能的资源名称或演员。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的输出中和日志- (117)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>117年 (日志输出中和不当)
产品不消除或中和错误输出写入日志。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当行分隔符- (144)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>144年 (中和不当行分隔符)
产品从一个上游组件接收输入,但它不中和或错误中和特殊元素,可以解释为行分隔符时发送到下游组件。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当逃脱、元或控制序列- (150)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>150年 (中和不当逃跑,元,或控制序列)
产品从一个上游组件接收输入,但它不中和或错误中和特殊元素,可以被解释为逃避,元,或控制字符序列当他们被发送到一个下游组件。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的高度压缩的数据(数据放大)- (409)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>409年 (处理不当的高度压缩的数据(数据放大)
产品不能处理或不正确处理输入和非常高的压缩比的压缩,产生巨大的产出。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制的格式字符串- (134)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>134年 (使用外部控制的格式字符串)
产品使用一个函数,它接受一个格式字符串作为参数,但格式字符串来自外部源。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>78年 (中和不当使用特殊的元素在一个操作系统命令(OS命令注入))
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据崩溃到不安全的价值- (182)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1134年 (SEI CERT甲骨文安全编码标准Java - 00指导方针。输入验证和数据卫生处理(IDS))>182年 (数据崩溃到不安全的价值)
产品过滤数据的方式,它会减少或者“倒塌”到一个不安全的价值,违背了预期的安全属性。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 01指导方针。声明和初始化(DCL)- (1135)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1135年 (SEI CERT甲骨文安全编码标准Java - 01指导方针。声明和初始化(DCL))
弱点这类相关的规则和建议的声明和初始化(DCL)部分SEI CERT甲骨文Java安全编码标准。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的初始化- (665)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1135年 (SEI CERT甲骨文安全编码标准Java - 01指导方针。声明和初始化(DCL))>665年 (不适当的初始化)
产品不初始化或不正确地初始化一个资源,这可能会让资源在一个意想不到的状态时访问或使用。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP)- (1136)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1136年 (SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP))
弱点这类相关的规则和建议的表达式(EXP)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不返回值- (252)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1136年 (SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP))>252年 (不返回值)
产品不会检查方法或函数返回值,可以防止检测意想不到的状态和条件。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。空指针废弃- (476)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1136年 (SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP))>476年 (空指针)
应用程序时出现空指针废弃取消引用指针,它预计将是有效的,但是是空的,通常导致崩溃或退出。NPD零deref空指针
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用错误的操作符的字符串比较- (597)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1136年 (SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP))>597年 (使用错误的操作符字符串比较)
产品使用错误的操作符比较字符串时,比如使用“= =”当.equals()方法应该使用。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。比较对象引用,而不是对象的内容- (595)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1136年 (SEI CERT甲骨文安全编码标准Java - 02指导方针。表达式(EXP))>595年 (比较对象引用,而不是对象的内容)
产品比较对象引用,而不是对象本身的内容,防止检测对象。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM)- (1137)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))
弱点这类相关的规则和建议的数值类型和操作(NUM)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。整数溢出或概括的- (190)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>190年 (整数溢出或概括)
产品执行的计算可以产生一个整数溢出或概括,当逻辑假设得到的值总是大于原始值。这可以介绍其他弱点当计算用于资源管理或执行控制。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。整数下溢(包装或概括)- (191)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>191年 (整数下溢(包装或概括)
产品减去一个值从另一个角度来看,这样的结果小于最低容许整型值,产生的值不等于正确的结果。整数下溢
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数字截断误差- (197)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>197年 (数字截断误差)
截断误差发生当一个原始的小一号的原始和转换数据丢失。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。除以零- (369)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>369年 (除以零)
这个产品值除以零。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的数值类型之间的转换- (681)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>681年 (不正确的数值类型之间的转换)
当从一个数据类型转换到另一个,比如长整数,数据可以省略或翻译的方式产生意想不到的价值。如果使用生成的值在一个敏感的情况下,就可能发生危险的行为。
* 支柱支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。错误的计算- (682)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1137年 (SEI CERT甲骨文安全编码标准Java - 03指导方针。数值类型和操作(NUM))>682年 (不正确的计算)
产品执行计算,生成错误或意想不到的结果,后来用于强调安全的决策或资源管理。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 04指导方针。字符和字符串(STR)- (1138)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1138年 (SEI CERT甲骨文安全编码标准Java - 04指导方针。字符和字符串(STR))
弱点这类相关的规则和建议的字符和字符串(STR)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的编码输出环境- (838)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1138年 (SEI CERT甲骨文安全编码标准Java - 04指导方针。字符和字符串(STR))>838年 (不合适的编码输出上下文)
产品使用或指定一个编码在生成输出到下游组件,但指定的编码是不一样的编码所预期的下游组件。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ)- (1139)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))
弱点这类相关的规则和建议的面向对象(OBJ)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。将可变对象传递给一个不可信的方法- (374)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>374年 (可变对象传递给一个不可信的方法)
产品发送似乎与可变数据作为参数一个方法或函数。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回一个可变对象,一个不受信任的调用者- (375)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>375年 (返回一个可变对象,一个不受信任的调用方)
发送似乎与可变数据的返回值可能会导致调用函数被修改或删除的数据。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。比较的类的名字- (486)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>486年 (比较类的名字)
产品比较类的名字,它会导致多个类时使用了错误的类可以有相同的名称。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有最后的公众可克隆()方法(“对象劫持”)- (491)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>491年 (公共可克隆()方法没有最终(“对象劫持”))
一个类有一个可克隆()方法并不是宣布决赛,它允许不调用构造函数创建一个对象。这可能会导致意外状态的对象。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用内部类包含敏感数据- (492)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>492年 (使用内部类包含敏感数据)
内部类是翻译成类,可在计划范围和可能公开代码,程序员为了保持私人攻击者。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可克隆类包含敏感信息- (498)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>498年 (可克隆类包含敏感信息)
敏感数据的代码包含一个类,类是可克隆。克隆可以访问的数据类。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。公共静态字段不是决赛- (500)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>500年 (公共静态字段不是标记最后)
一个对象包含一个公共静态字段,不是决赛,这可能允许它被修改以意想不到的方式。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。关键数据元素声明- (766)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1139年 (SEI CERT甲骨文安全编码标准Java - 05指导方针。面向对象(OBJ))>766年 (关键数据元素声明公开)
产品声明一个关键变量、字段或成员时公共安全政策要求它是私有的。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南06。方法(遇到)- (1140)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)
弱点这类相关的规则和建议的方法(遇到)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可以断言- (617)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>617年 (可以断言)
产品包含一个assert()或类似的语句,可以由攻击者,从而导致应用程序退出或其他不必要的行为更严重。断言失败
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。调用Non-ubiquitous API- (589)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>589年 (Non-ubiquitous API调用)
不存在的产品使用API函数在所有版本的目标平台。这可能导致可移植性问题或矛盾,使拒绝服务或其他后果。
* 支柱支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。不正确的比较- (697)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>697年 (不正确的比较)
产品比较两个实体的安全相关的上下文,但比较是错误的,这可能会导致合成的弱点。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。违反对象模型:定义Equals和Hashcode之一- (581)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>581年 (违反对象模型:Equals和Hashcode定义)
产品不维护平等hashcode平等对象。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的规范由调用者- (573)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>573年 (由调用者的规范不当)
产品不遵循或不正确遵循规范的实现语言的要求,环境,框架,协议,或平台。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。显式的调用Finalize ()- (586)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>586年 (显式的调用Finalize ())
产品是一个显式的调用finalize()方法从外面终结器。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。宣布公共finalize()方法- (583)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>583年 (finalize()方法公开宣布)
移动产品违反安全编码原则,宣布finalize()方法的公共代码。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有super.finalize finalize()方法()- (568)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1140年 (SEI CERT甲骨文安全编码标准Java - 06指导方针。方法(遇到)>568年 (没有super.finalize finalize()方法())
产品包含finalize()方法不叫super.finalize ()。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(错)- (1141)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))
弱点这类相关的规则和建议的特殊行为(ERR)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。清理不当抛出异常- (460)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>460年 (清理不当抛出例外)
产品不清理它的状态或不正确清理其状态时将抛出一个异常,导致意想不到的状态或控制流。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回在Finally块- (584)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>584年 (返回在Finally块)
代码的返回语句在finally块中,这将导致任何抛出异常在try块被丢弃。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的清理- (459)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>459年 (不完全清理)
产品不正确的“清理”,删除临时或支持资源后使用。清理不足
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未捕获异常- (248)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>248年 (异常)
从一个函数抛出异常,但这并不是她的老公知道。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的控制流范围- (705)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>705年 (不正确的控制流范围)
产品不正常控制流返回到正确的位置后,完成了一个任务或发现一个不寻常的条件。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的检查异常或异常情况- (754)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>754年 (不正确检查异常或异常情况)
产品不检查或不正确检查异常或异常情况不会经常发生在日常操作的产品。
* 支柱支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。检查或不当处理异常情况- (703)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>703年 (支票或不当处理异常情况)
产品不正确地预见和处理异常情况很少发生在产品的正常运行。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。声明抛出的一般例外- (397)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>397年 (泛型声明抛出异常)
抛出过于广泛的异常促进复杂的错误处理代码,更有可能包含安全漏洞。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。J2EE坏实践:使用system . exit ()- (382)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1141年 (SEI CERT甲骨文安全编码标准Java - 07年指导方针。异常行为(ERR))>382年 (J2EE坏实践:使用system . exit ())
J2EE应用程序使用system . exit(),它也关闭容器。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA)- (1142)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))
弱点这类相关的规则和建议的可见性和原子性(VNA)部分SEI CERT甲骨文Java安全编码标准。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用共享资源与不当同步并发执行(“竞争条件”)- (362)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>362年 (并发执行使用共享资源与不当同步(“竞争条件”))
产品包含一个代码序列,可以同时运行其他代码,和代码序列需要临时,独家访问共享资源,但存在一个时间窗口的共享资源可以被另一个代码序列是修改并发操作。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在一个线程竞争条件- (366)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>366年 (竞争条件在一个线程)
如果两个线程同时执行的使用资源,存在资源可以使用而无效的可能性,进而使执行未定义的状态。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的资源锁定- (413)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>413年 (不正确的资源锁定)
产品不锁或不正确锁资源时,产品必须具有独占访问的资源。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。同步多线程访问共享数据上下文- (567)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>567年 (同步多线程访问共享数据上下文)
产品不正确同步共享数据,如跨线程的静态变量,从而导致未定义行为和不可预知的数据变化。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不同步- (662)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>662年 (不同步)
该产品利用多个线程或进程允许临时访问共享资源,只能独享一个过程,但这并不正确同步这些动作,这可能导致由多个线程同时访问这个资源或流程。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的锁定- (667)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1142年 (SEI CERT甲骨文Java安全编码标准——08年指导方针。可见性和原子性(VNA))>667年 (不当锁定)
产品不正确获取或释放资源的锁,导致意想不到的资源状态和行为变化。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK)- (1143)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1143年 (SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK))
弱点这类相关的规则和建议的锁定(LCK)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制的外部访问的锁- (412)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1143年 (SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK))>412年 (无限制的外部访问锁)
产品正确检查锁的存在,但锁可以外部控制或影响演员以外的目的的控制范围。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。双重检查锁定- (609)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1143年 (SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK))>609年 (双重检查锁定)
产品使用双重检查锁定访问资源没有显式同步的开销,但是锁是不够的。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的锁定- (667)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1143年 (SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK))>667年 (不当锁定)
产品不正确获取或释放资源的锁,导致意想不到的资源状态和行为变化。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的同步- (820)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1143年 (SEI CERT甲骨文Java安全编码标准——09年的指导方针。锁(LCK))>820年 (缺少同步)
产品利用共享资源以并行的方式,但不尝试同步访问资源。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT Oracle 10安全的Java编码标准——指导方针。线程api (THI)- (1144)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1144年 (SEI CERT Oracle 10安全的Java编码标准——指导方针。线程api (THI))
弱点这类相关的规则和建议的线程api (THI)部分SEI CERT甲骨文Java安全编码标准。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。调用线程运行()而不是开始()- (572)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1144年 (SEI CERT Oracle 10安全的Java编码标准——指导方针。线程api (THI))>572年 (调用线程运行()而不是开始())
产品调用线程的运行()方法,而不是调用start(),导致在调用者的线程运行的代码而不是被调用的函数。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT Oracle 11安全的Java编码标准——指导方针。线程池(TPS)- (1145)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1145年 (SEI CERT Oracle 11安全的Java编码标准——指导方针。线程池(TPS))
弱点这类相关的规则和建议的线程池(TPS)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的报告错误条件- (392)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1145年 (SEI CERT Oracle 11安全的Java编码标准——指导方针。线程池(TPS))>392年 (错误条件的缺失报告)
产品遇到错误但不提供一个状态码或返回值,表明发生了一个错误。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不对称的资源消耗(放大)- (405)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1145年 (SEI CERT Oracle 11安全的Java编码标准——指导方针。线程池(TPS))>405年 (不对称的资源消耗(放大)
产品不适当控制敌人的情况下可以导致产品消耗或生产过度资源不需要敌人投资相当于工作或其他证明授权,即。对手的影响是“不对称”。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的资源池- (410)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1145年 (SEI CERT Oracle 11安全的Java编码标准——指导方针。线程池(TPS))>410年 (足够的资源池)
产品的资源池处理高峰需求不够大,攻击者可以阻止其他人访问资源利用(相对)大量的资源要求。
* 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南12。线程安全杂项(TSM)- (1146)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1146年 (SEI CERT甲骨文Java安全编码标准——指南12。线程安全杂项(TSM))
弱点这类相关的规则和建议的线程安全杂项(TSM)部分SEI CERT甲骨文Java安全编码标准。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南13。输入输出(FIO)- (1147)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))
弱点这类相关的规则和建议的输入输出(FIO)部分SEI CERT甲骨文Java安全编码标准。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。处理不当的Windows设备名称- (67)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>67年 (处理不当的Windows设备名称)
产品结构从用户输入路径名,但它不能处理或不正确地处理包含Windows设备名称,如辅助路径名或场骗局通常会导致拒绝服务或信息暴露当应用程序试图处理作为一个常规文件路径名。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的行为顺序:规范化之前验证- (180)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>180年 (不正确的行为秩序:规范化之前验证)
产品验证输入之前规范化,防止产品检测数据规范化步骤后变得无效。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用不正确的字节顺序- (198)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>198年 (用不正确的字节次序)
产品从一个上游组件接收输入,但它不占字节顺序(如大端法和低位优先)在处理输入,导致一个不正确的数量或价值。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的默认权限- (276)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>276年 (不正确的默认权限)
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的Execution-Assigned权限- (279)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>279年 (错误Execution-Assigned权限)
虽然执行,产品集的权限对象的目的在某种程度上违反了权限已经由用户指定。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露私人个人信息未经授权的演员- (359)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>359年 (暴露私人个人信息未经授权的演员)
产品不正确阻止一个人的私人的,个人信息被访问的演员要么(1)没有明确授权访问信息或(2)没有隐式的同意的人谁收集的信息。隐私的侵犯隐私泄漏隐私泄漏
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不安全的临时文件- (377)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>377年 (不安全的临时文件)
创建和使用不安全的临时文件可以把应用程序和系统数据容易受到攻击。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当关机或释放资源- (404)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>404年 (不当资源关闭或释放)
产品不释放或错误发布资源前可以重用。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不对称的资源消耗(放大)- (405)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>405年 (不对称的资源消耗(放大)
产品不适当控制敌人的情况下可以导致产品消耗或生产过度资源不需要敌人投资相当于工作或其他证明授权,即。对手的影响是“不对称”。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的清理- (459)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>459年 (不完全清理)
产品不正确的“清理”,删除临时或支持资源后使用。清理不足
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入日志文件- (532)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>532年 (敏感信息插入日志文件)
信息写入日志文件可以是一个敏感的天性,给攻击者或有价值的指导用户暴露敏感信息。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用非规范的URL路径进行授权决策- (647)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>647年 (授权决策使用非规范的URL路径)
产品名称空间定义政策,使基于假设一个URL授权决策规范化。这可以让一个非规范URL绕过授权。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的控制流范围- (705)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>705年 (不正确的控制流范围)
产品不正常控制流返回到正确的位置后,完成了一个任务或发现一个不寻常的条件。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>732年 (不正确的权限分配关键资源)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1147年 (SEI CERT甲骨文Java安全编码标准——指南13。输入输出(FIO))>770年 (资源配置没有限制或节流)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,准则14。序列化(SER)- (1148)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))
弱点这类相关的规则和建议的序列化(SER)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))>319年 (明文传输敏感信息)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不受控制的资源消耗- (400)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))>400年 (不受控制的资源消耗)
产品不适当控制的分配和维护一个有限的资源,从而使一个演员来影响资源消耗的数量,最终导致可用资源的枯竭。资源枯竭
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可序列化的类包含敏感数据- (499)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))>499年 (可序列化的类包含敏感数据)
敏感数据的代码包含一个类,但没有明确否认序列化的类。数据可以通过序列化的类访问另一个类。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反序列化的数据不可信- (502)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))>502年 (反序列化不可信的数据)
产品反序列化不可信数据不充分验证结果数据将是有效的。打包,包酸洗,unpicklePHP对象注入
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1148年 (SEI CERT甲骨文Java安全编码标准——指南14。序列化(SER))>770年 (资源配置没有限制或节流)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南15。平台安全(SEC)- (1149)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1149年 (SEI CERT甲骨文Java安全编码标准——指导15。平台安全(SEC))
弱点这类相关的规则和建议的平台安全(SEC)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的权限分配- (266)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1149年 (SEI CERT甲骨文Java安全编码标准——指导15。平台安全(SEC))>266年 (不正确的权限分配)
产品错误地分配一个特权到一个特定的演员,为参与者创造一个意想不到的的控制范围。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。最小特权违反- (272)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1149年 (SEI CERT甲骨文Java安全编码标准——指导15。平台安全(SEC))>272年 (违反最小特权)
执行操作所需的高特权级别如chroot()执行手术后应立即下降。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1149年 (SEI CERT甲骨文Java安全编码标准——指导15。平台安全(SEC))>732年 (不正确的权限分配关键资源)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指导16。运行时环境(ENV)- (1150)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1150年 (SEI CERT甲骨文Java安全编码标准——指导16。运行时环境(ENV))
弱点这类相关的规则和建议的运行时环境(ENV)部分SEI CERT甲骨文Java安全编码标准。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接受外来的不可信的数据和可信的数据- (349)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1150年 (SEI CERT甲骨文Java安全编码标准——指导16。运行时环境(ENV))>349年 (接受外来与可信不可信的数据数据)
产品,当处理可信的数据,接受任何不可信的数据与可信的数据,还包括治疗不可信的数据,就好像它是可信的。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1150年 (SEI CERT甲骨文Java安全编码标准——指导16。运行时环境(ENV))>732年 (不正确的权限分配关键资源)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,准则17。Java Native Interface (JNI)- (1151)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1151年 (SEI CERT甲骨文Java安全编码标准17 -指导方针。Java Native Interface (JNI))
弱点这类相关的规则和建议的Java Native Interface (JNI)部分SEI CERT甲骨文Java安全编码标准。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。直接使用不安全的JNI- (111)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1151年 (SEI CERT甲骨文Java安全编码标准17 -指导方针。Java Native Interface (JNI))>111年 (直接使用不安全的JNI)
当Java应用程序使用Java Native Interface (JNI)来调用代码写在另一个编程语言,它可以使应用程序代码中的弱点,即使这些弱点不能发生在Java。
+ 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,指南49。杂项(MSC)- (1152)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))
弱点这类相关的规则和建议的杂项(MSC)部分SEI CERT甲骨文Java安全编码标准。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的密码- (259)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>259年 (使用硬编码的密码)
产品包含一个硬编码的密码,它使用的入站出站通信的身份验证或外部组件。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>311年 (缺少加密敏感数据)
产品不加密敏感或关键信息在存储或传输之前。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用损坏或危险的密码算法- (327)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>327年 (使用损坏或危险的密码算法)
产品使用损坏或危险的密码算法或协议。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用随机值不足- (330)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>330年 (使用随机值不足)
产品使用随机数或不足值的安全上下文依赖于不可预测的数字。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。熵在PRNG不足- (332)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>332年 (PRNG熵不足)
缺乏可用的熵,或使用的伪随机数发生器(PRNG)可以是一个稳定和安全的威胁。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。相同的伪随机数生成器的种子(PRNG)- (336)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>336年 (相同的种子在伪随机数发生器(PRNG))
一个伪随机数发生器(PRNG)每次使用相同的种子产品初始化。
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可预测的伪随机数生成器的种子(PRNG)- (337)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>337年 (可预见的种子在伪随机数发生器(PRNG))
初始化一个伪随机数发生器(PRNG)在一个可预见的种子,如进程ID或系统时间。
* 类类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不受控制的资源消耗- (400)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>400年 (不受控制的资源消耗)
产品不适当控制的分配和维护一个有限的资源,从而使一个演员来影响资源消耗的数量,最终导致可用资源的枯竭。资源枯竭
* 变体变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。失踪之后释放内存有效寿命- (401)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>401年 (缺少释放内存之后有效的一生)
产品没有足够的跟踪和释放分配的内存后,慢慢消耗剩余的内存。内存泄漏
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>770年 (资源配置没有限制或节流)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
* 基地Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1152年 (SEI CERT甲骨文Java安全编码标准——指南49。杂项(MSC))>798年 (使用硬编码的凭证)
产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。
* 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准——50的指导方针。Android (DRD)- (1153)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1153年 (SEI CERT甲骨文Java安全编码标准——50的指导方针。Android (DRD))
弱点这类相关的规则和建议的Android (DRD)部分SEI CERT甲骨文Java安全编码标准。
* 类别类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT甲骨文Java安全编码标准,准则18。并发性(CON)- (1175)
1133年 (解决的弱点SEI CERT甲骨文Java编码标准)>1175年 (SEI CERT甲骨文Java安全编码标准——指导18。并发性(CON))
弱点这类相关的规则和建议的并发性(CON)部分SEI CERT甲骨文Java安全编码标准。
+笔记

的关系

在这个视图的关系确定基于特定语句中的规则与标准。不是所有的规则都有直接的关系个人的弱点,尽管他们可能在特定情况下有链接关系。
+引用
软件工程研究所(ref - 970)。“SEI CERT甲骨文Java编码标准”。<https://wiki.sei.cmu.edu/confluence/display/java/SEI +证书+甲骨文Java +编码+标准+ +>。
+查看指标
连续波在这个视图 总连续波
弱点 88年 933年
类别 21 352年
的观点 0 47
109年 1332年
+内容的历史
+提交
提交日期 提交者 组织
2018-12-11 CWE内容团队 主教法冠
+修改
修改日期 修饰符 组织
2020-02-24 CWE内容团队 主教法冠
更新View_Audience
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2023年1月31日