CWE观点:解决的弱点SEI CERT Perl编码标准
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
1178 -解决的弱点SEI CERT Perl编码标准
 类别——CWE条目包含一组其他条目,共享一个共同的特点。01 SEI CERT Perl编码标准,指导方针。输入验证和数据卫生处理(IDS)- (1179)
弱点这类相关的规则和建议输入验证和数据的卫生处理(IDS)部分SEI CERT Perl编码标准。
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制限制目录的路径名(“路径遍历”)(22)
产品使用外部输入来构造一个路径名,目的是为了辨别一个文件或目录,坐落在父目录的限制,但是产品不正确路径名中的中和特殊元素可以导致路径名来解决限制目录以外的位置。目录遍历路径遍历
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制的格式字符串- (134)
产品使用一个函数,它接受一个格式字符串作为参数,但格式字符串来自外部源。
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当的验证数组索引- (129)
产品使用不受信任的输入在计算或使用数组索引,但是产品不验证或不正确验证索引,确保索引引用数组中的一个有效位置。禁止入内的数组索引index-out-of-range数组索引下溢
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。内存分配过多的大小值- (789)
基于一个不可信的产品分配内存,大尺寸值,但这并不能保证尺寸在预期范围内,允许任意数量的内存分配。堆栈疲惫
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的编码或逃避的输出- (116)
产品准备一个结构化的信息沟通与另一个组件,但编码或逃避的数据丢失或错误地完成。因此,是不会保留消息的预期结构。输出卫生处理输出验证输出编码
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和一个命令中使用的特殊元素(“命令注入”)- (77)
产品结构的全部或部分命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时可以修改预定的命令发送到下游组件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和指令的动态评估代码(Eval注入)- (95)
产品从一个上游组件接收输入,但它不会消除或中和代码语法错误使用前输入在一个动态的评价(如打电话。“eval”)。
类别——CWE条目包含一组其他条目,共享一个共同的特点。02 SEI CERT Perl编码标准,指导方针。声明和初始化(DCL)- (1180)
弱点这类相关的规则和建议的声明和初始化(DCL)部分SEI CERT Perl编码标准。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。函数调用与指定参数不正确- (628)
产品调用一个函数,程序,或常规参数不正确地指定,导致always-incorrect行为和合成的弱点。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。失踪的初始化一个变量- (456)
产品不关键变量进行初始化,导致执行环境使用意想不到的价值。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用未初始化的变量- (457)
代码使用一个变量没有初始化,导致不可预知的或意想不到的结果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用过时的功能- (477)
代码使用过时或陈旧的函数,这意味着没有得到积极检查或维护的代码。
类别——CWE条目包含一组其他条目,共享一个共同的特点。03 SEI CERT Perl编码标准,指导方针。表达式(EXP)- (1181)
弱点这类相关的规则和建议的表达式(EXP)部分SEI CERT Perl编码标准。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。意想不到的状态代码或返回值- (394)
产品不正确检查当函数或操作函数返回一个值,是合法的,但不是所期望的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。运算符优先级逻辑错误- (783)
产品使用一个表达式的运算符优先级导致使用错误的逻辑。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用过时的功能- (477)
代码使用过时或陈旧的函数,这意味着没有得到积极检查或维护的代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未捕获异常- (248)
从一个函数抛出异常,但这并不是她的老公知道。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经检查的错误条件- (391)
(计划在弃用。看到维修笔记和考虑cwe - 252, cwe - 248,或cwe - 1069。)忽略异常和其他错误条件可能允许攻击者产生异常行为引起注意。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。清理不当抛出异常- (460)
产品不清理它的状态或不正确清理其状态时将抛出一个异常,导致意想不到的状态或控制流。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的控制流范围- (705)
产品不正常控制流返回到正确的位置后,完成了一个任务或发现一个不寻常的条件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的检查异常或异常情况- (754)
产品不检查或不正确检查异常或异常情况不会经常发生在日常操作的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不返回值- (252)
产品不会检查方法或函数返回值,可以防止检测意想不到的状态和条件。
 链——一个复合元素是一个序列的两个或两个以上的独立的缺点,可以在软件中紧密联系在一起。一个弱点,X,可以直接创建所必需的条件导致另一个弱点,Y,进入一个脆弱的状态。,当这一切发生的时候,CWE指X作为“主”Y, Y是“合成”X连锁可能涉及两个以上缺点,在某些情况下,他们可能有一个树状结构。检查返回值为NULL指针- (690)
产品后不检查错误调用函数可以返回一个空指针如果函数失败,导致合成NULL指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。函数调用与指定参数不正确- (628)
产品调用一个函数,程序,或常规参数不正确地指定,导致always-incorrect行为和合成的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回一个可变对象,一个不受信任的调用者- (375)
发送似乎与可变数据的返回值可能会导致调用函数被修改或删除的数据。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用错误的操作符的字符串比较- (597)
产品使用错误的操作符比较字符串时,比如使用“= =”当.equals()方法应该使用。
类别——CWE条目包含一组其他条目,共享一个共同的特点。04 SEI CERT Perl编码标准,指导方针。整数(INT)- (1182)
弱点这类相关的规则和建议的整数(INT)部分SEI CERT Perl编码标准。
类别——CWE条目包含一组其他条目,共享一个共同的特点。05年SEI CERT Perl编码标准,指导方针。字符串(STR)- (1183)
弱点这类相关的规则和建议的字符串(STR)部分SEI CERT Perl编码标准。
类别——CWE条目包含一组其他条目,共享一个共同的特点。06 SEI CERT Perl编码标准,指导方针。面向对象编程(OOP)- (1184)
弱点这类相关的规则和建议的面向对象编程(OOP)部分SEI CERT Perl编码标准。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。访问私有变量通过公共方法至关重要- (767)
产品定义了一个公共方法,读取或修改一个私有变量。
类别——CWE条目包含一组其他条目,共享一个共同的特点。07年SEI CERT Perl编码标准,指导方针。文件输入和输出(FIO)- (1185)
弱点这类相关的规则和建议在文件的输入和输出(FIO)部分SEI CERT Perl编码标准。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当链接之前决议文件访问(“链接后”)(59)
产品基于文件名试图访问一个文件,但它不适当阻止,文件名标识一个链接或快捷方式,解决了一个意想不到的资源。不安全的临时文件拉链滑
类别——CWE条目包含一组其他条目,共享一个共同的特点。SEI CERT Perl编码标准——50的指导方针。杂项(MSC)- (1186)
弱点这类相关的规则和建议的杂项(MSC)部分SEI CERT Perl编码标准。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。死代码- (561)
产品包含死代码,无法执行。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。赋值变量而不使用- (563)
变量的值被分配,但不会使用,使它一个死去的商店。未使用的变量
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
|||||||||||||||||||||||
