CWE观点:OWASP的弱点十大(2021)
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
1344 -弱点OWASP十大(2021)
 类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2021年十大类别A01:2021——破碎的访问控制- (1345)
这一类的弱点A01相关类别“破碎的访问控制”OWASP十大2021。
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制限制目录的路径名(“路径遍历”)(22)
产品使用外部输入来构造一个路径名,目的是为了辨别一个文件或目录,坐落在父目录的限制,但是产品不正确路径名中的中和特殊元素可以导致路径名来解决限制目录以外的位置。目录遍历路径遍历
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。相对路径遍历- (23)
产品使用外部输入来构造一个路径名应该在一个受限制的目录,但它不适当中和序列如“. .”,可以解决该目录以外的一个位置。拉链滑
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。路径遍历:“…/…/ /”(35)
产品使用外部输入来构造一个路径名应该在一个受限制的目录,但它不适当中和“…/…/ / '(增加了一倍三倍点斜杠)序列,能够解决该目录以外的位置。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当链接之前决议文件访问(“链接后”)(59)
产品基于文件名试图访问一个文件,但它不适当阻止,文件名标识一个链接或快捷方式,解决了一个意想不到的资源。不安全的临时文件拉链滑
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。暴露敏感信息的未经授权的演员- (200)
产品暴露敏感信息的一个演员,没有明确被授权可以访问这些信息。信息披露信息泄漏
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入发送数据- (201)
代码数据传送到另一个演员,但是部分数据包括敏感信息,不应该访问的演员。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。存储文件的Web根目录下的敏感数据- (219)
产品存储敏感数据在web文档根与访问控制不足,这可能使其能够访问不可信。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的默认权限- (276)
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
 支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。访问控制不当- (284)
产品不限制或错误地限制从未经授权的访问资源的演员。授权
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的授权- (285)
产品不执行或不正确执行授权检查当演员试图访问资源或执行一个动作。AuthZ
 组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。跨站请求伪造(CSRF)- (352)
web应用程序不会或不能充分验证是否格式良好的,有效的,一致的请求是故意提供的用户提交请求。会话控制跨站参考伪造XSRF
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露私人个人信息未经授权的演员- (359)
产品不正确阻止一个人的私人的,个人信息被访问的演员要么(1)没有明确授权访问信息或(2)没有隐式的同意的人谁收集的信息。隐私的侵犯隐私泄漏隐私泄漏
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不安全的临时文件- (377)
创建和使用不安全的临时文件可以把应用程序和系统数据容易受到攻击。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。私人资源的传输到一个新的领域(资源泄漏)- (402)
产品使可用资源不可信方当这些资源只是为了访问的产品。资源泄漏
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。直接请求(“强迫浏览”)- (425)
web应用程序不充分执行适当的授权限制的url,脚本,或文件。强迫浏览
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。意想不到的代理或中介(困惑副)- (441)
产品接收请求、消息或指令从上游组件,但是产品不充分保留原始请求的请求转发给外部演员之前产品的控制范围之外。这将导致出现产品请求的来源,主要充当代理或其他上游组件和外部演员之间的媒介。困惑的副
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接触敏感的系统信息未经授权的控制范围- (497)
产品不妥善防止敏感系统级信息不被未经授权的访问演员没有相同级别的访问底层系统的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入可外部访问文件或目录- (538)
产品地方敏感信息到文件或目录的演员被允许访问的文件,但不敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。包含敏感信息的源代码- (540)
源代码在web服务器或存储库通常包含敏感信息,通常不应该访问的用户。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。暴露的信息通过目录清单- (548)
不当公开目录清单,产生潜在的攻击者的敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。文件或目录访问外部各方- (552)
产品使文件或目录访问未经授权的演员,虽然他们不应该。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制SQL主键- (566)
产品使用一个数据库表,包括记录不应该访问的一个演员,但它执行一个SQL语句的主键可以控制的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。URL重定向不可信的网站(“开放重定向”)- (601)
一个web应用程序接受用户输入指定外部网站的链接,并使用该链接重定向。这简化了网络钓鱼攻击。开放的重定向跨站点重定向跨域重定向
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制的关键- (639)
系统的授权功能不防止一个用户获得另一个用户的数据或记录通过修改键值标识数据。不安全的直接对象引用/ IDOR破碎的对象级别授权/流星锤水平的授权
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。暴露的WSDL文件包含敏感信息- (651)
Web服务体系结构可能需要公开Web服务定义语言(WSDL)文件,其中包含的信息公开服务,这些服务的调用者应该如何与它们进行交互(如参数他们期望什么,他们返回类型)。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。曝光资源错误的球体- (668)
产品暴露错误的控制范围的资源,提供意想不到的演员与不恰当的访问资源。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用Incorrectly-Resolved名称或引用- (706)
产品使用一个名称或引用来访问资源,但名称/引用解析为一个资源预定的控制范围之外。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的授权- (862)
产品不执行授权检查当演员试图访问资源或执行一个动作。AuthZ
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。错误的授权- (863)
产品执行授权检查当演员试图访问资源或执行一个动作,但它不正确执行检查。这允许攻击者绕过访问限制。AuthZ
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的控制代码动态地管理资源- (913)
产品不适当限制阅读或编写代码动态地管理资源,如变量、对象、类、属性、功能,或可执行指令或语句。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不安全的存储敏感信息- (922)
产品存储敏感信息的不适当限制读写访问未经授权的演员。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。敏感的饼干和不当SameSite属性- (1275)
SameSite属性没有设置敏感饼干,或一个不安全的使用价值。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2021类别A02:2021 -密码失败- (1346)
这一类的弱点A02相关类别“加密失败”OWASP十大2021。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码编码- (261)
模糊的密码简单编码不保护密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的证书链的信任- (296)
产品不遵守或者不正确,信任的证书链回受信任的根证书,导致错误的信任与证书相关联的任何资源。
类别——CWE条目包含一组其他条目,共享一个共同的特点。密码问题- (310)
这一类的弱点有关数据机密性和完整性的设计和实现。经常这些处理编码的使用技术,加密库和散列算法。这个类别中的弱点可能导致退化的质量数据如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的加密密钥- (321)
硬编码的加密密钥的使用显著增加加密的数据可以恢复的可能性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有实体认证密钥交换- (322)
产品执行密钥交换有一个演员没有验证,演员的身份。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。重用现时标志,在加密密钥对- (323)
目前应该用于目前的机会只有一次。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用一个关键过去的保质期- (324)
产品使用一个密钥或密码过去的保质期,显著减少其安全通过增加关键的时间窗口破解攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码步骤- (325)
产品没有实现密码算法所需的步骤,导致弱加密算法比广告。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。加密的强度不够- (326)
产品存储或传送敏感数据使用一个加密方案理论上是合理的,但并不足够强大保护所需的水平。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用损坏或危险的密码算法- (327)
产品使用损坏或危险的密码算法或协议。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用弱散列- (328)
产品使用一个算法产生一个消化(产值),不符合安全预期一个哈希函数,允许敌人合理确定原始输入(原象攻击),找到另一个输入,可以产生相同的散列(2前象攻击),或发现多个输入值相同的散列(生日攻击)。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。第四代可预测与CBC模式- (329)
产品生成和使用一个可预测的初始化向量(IV)和密码块链接(CBC)模式,这将导致算法容易受到字典攻击时相同的密钥进行加密。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用随机值不足- (330)
产品使用随机数或不足值的安全上下文依赖于不可预测的数字。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。熵不足- (331)
产品使用一个算法或方案产生不足的熵,离开模式或集群的价值观比其他人更有可能发生。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的使用伪随机数生成器的种子(PRNG)- (335)
产品使用伪随机数发生器(PRNG)但不正确管理种子。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。相同的伪随机数生成器的种子(PRNG)- (336)
一个伪随机数发生器(PRNG)每次使用相同的种子产品初始化。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可预测的伪随机数生成器的种子(PRNG)- (337)
初始化一个伪随机数发生器(PRNG)在一个可预见的种子,如进程ID或系统时间。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用密码地弱伪随机数生成器(PRNG)- (338)
产品使用伪随机数生成器(PRNG)在一个安全上下文,但是PRNG的算法不是密码地强。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。一代的可预测的数字或标识符- (340)
产品使用方案,生成数字或标识符比需要更容易预测。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证加密的签名- (347)
产品不验证,或不正确的验证,数据加密签名。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的运输凭证- (523)
登录页面不使用足够的措施,保护用户名和密码,而他们是在运输过程中从客户端到服务器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。谈判期间选择低收入低保险算法(算法降级)- (757)
协议或其实现支持多个参与者之间的交互,并允许那些演员协商算法应该作为一种保护机制,如加密或认证,但它不选择最强的算法,可用于双方。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用单向散列没有盐- (759)
产品采用单向加密散列在一个输入,不应是可逆的,如一个密码,但是产品还没有使用盐,作为输入的一部分。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用单向散列和一个可预测的盐- (760)
产品采用单向加密散列在一个输入,不应是可逆的,如一个密码,但产品使用一个可预测的盐,作为输入的一部分。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有OAEP使用RSA算法- (780)
产品使用RSA算法,但不纳入最优非对称加密填充(OAEP),这可能会削弱加密。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的密码哈希计算努力不足- (916)
产品生成哈希密码,但它使用一个计划没有提供足够水平的计算工作量,使密码破解攻击不可行或昂贵。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2021类别A03:2021 -注射- (1347)
这一类A03类别相关的弱点在2021年OWASP十大“注入”。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的输入验证- (20)
产品接收输入或数据,但它不验证或不正确验证输入所需的属性的过程安全、正确的数据。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和下游组件使用的特殊元素的输出(注射)- (74)
产品结构的全部或部分命令,数据结构,或记录使用externally-influenced输入从一个上游组件,但是它不中和或错误中和特殊元素,可以修改它是如何解析或解释当它发送到下游组件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。未能清洁特殊元素转换为不同的平面(特殊元素注入)- (75)
产品不充分过滤用户输入特殊元素控制的影响。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和一个命令中使用的特殊元素(“命令注入”)- (77)
产品结构的全部或部分命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时可以修改预定的命令发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当输入在Web页面生成(“跨站点脚本编制”)- (79)
产品不中和或错误中和用户可控输入之前放在输出作为web页面使用的其他用户。XSSHTML注入CSS
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和与脚本相关的所有HTML标记的Web页面(基本XSS)- (80)
产品从一个上游组件接收输入,但它不会消除或中和错误等特殊字符“<”、“>”,和“&”,可以理解为当他们被发送到一个web脚本元素下游组件处理web页面。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当脚本在一个Web页面的属性- (83)
产品不中和或错误中和“javascript:“在标签或其他uri从危险的属性,如鼠标移到目标上,onload, onerror或风格。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当交替XSS语法- (87)
产品不中和或错误中和用户控制输入备用脚本语法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和一个命令的参数分隔符(“参数注入”)- (88)
产品构造一个字符串的命令来执行一个单独的组件在另一个控制范围,但这并不正确划定目标参数,选项,或者开关命令字符串中。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个SQL命令(SQL注入)- (89)
产品构造SQL命令的所有或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改SQL命令发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在LDAP查询(LDAP注入)- (90)
LDAP查询的产品结构全部或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改预定的LDAP查询发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML注入(又名XPath盲注)- (91)
产品不正确中和特殊元素中使用XML,允许攻击者修改语法,内容,或命令的XML处理结束之前系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当CRLF序列(CRLF注入)- (93)
产品采用CRLF(回车换行)作为一种特殊的元素,例如单独的行或记录,但它不中和或错误中和CRLF从输入序列。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当控制生成的代码(代码注入)- (94)
产品结构全部或部分的代码段使用externally-influenced输入从一个上游组件,但是它不中和或中和特殊的元素,可以修改错误的语法或行为的代码段。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和指令的动态评估代码(Eval注入)- (95)
产品从一个上游组件接收输入,但它不会消除或中和代码语法错误使用前输入在一个动态的评价(如打电话。“eval”)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和静态保存指令的代码(静态代码注入)- (96)
产品从一个上游组件接收输入,但它不会消除或中和代码语法错误之前输入插入一个可执行的资源,如图书馆,配置文件,或者模板。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和服务器端包含(SSI)在一个Web页面- (97)
产品生成一个web页面,但不消除或中和用户可控的输入错误,可以解释为一个服务器端包含(SSI)指令。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)- (98)
输入从一个PHP应用程序接收上游组件,但这并不限制或者错误地限制使用前的输入“需要”,“包括”或类似的功能。远程文件包含RFI本地文件包含
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不恰当的控制资源标识符(“资源注入”)- (99)
产品从一个上游组件接收输入,但这并不限制或者错误地限制输入前用作标识符以外的资源可能有意的控制范围。不安全的直接对象引用
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和CRLF序列在HTTP头(HTTP请求/响应分裂)- (113)
产品接收数据从一个HTTP代理/组件(例如,web服务器,代理,浏览器,等等),但它并不中和或错误中和CR和低频字符之前的数据包含在即将离任的HTTP标头。HTTP请求分割HTTP响应分裂
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的编码或逃避的输出- (116)
产品准备一个结构化的信息沟通与另一个组件,但编码或逃避的数据丢失或错误地完成。因此,是不会保留消息的预期结构。输出卫生处理输出验证输出编码
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和特殊元素- (138)
产品从一个上游组件接收输入,但它不中和或错误中和特殊元素,可以被解释为控制元素或句法标记,当他们被发送到一个下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不允许输入的完整列表- (184)
产品实现了一个保护机制,它依赖于输入的列表(或输入)的属性所不允许的政策或者需要其他行动中和之前额外的处理,但是清单是不完整的,导致合成的弱点。Denylist /拒绝列表过滤清单/块列表黑名单/黑名单
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制输入选择类或代码(“不安全的反思”)- (470)
产品使用外部输入和反射来选择使用哪个类或代码,但这并不足够防止输入选择不当或代码的类。反射注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。修改Assumed-Immutable数据(服务员)- (471)
产品不妥善保护assumed-immutable元素从被攻击者修改。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。SQL注入:冬眠- (564)
使用Hibernate执行动态SQL语句由用户控制输入允许攻击者可以修改语句的含义或执行任意SQL命令。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。在另一个球体外部控制的参考资源- (610)
产品使用外部控制的名称或引用解析为一个资源预定的控制范围之外。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和数据在XPath表达式(XPath注入)- (643)
产品使用外部输入动态地构建一个XPath表达式用于检索数据从XML数据库,但它不中和或输入错误中和。这允许攻击者控制的结构查询。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当的HTTP头中和脚本语法- (644)
产品不消除或中和web脚本语法错误在HTTP头可以使用web浏览器组件,可以处理原始标题,如Flash。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和在XQuery表达式的数据(“XQuery注入”)- (652)
产品使用外部输入动态地构建一个XQuery表达式用于检索数据从XML数据库,但它不中和或输入错误中和。这允许攻击者控制的结构查询。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和一个表达式语言语句中使用的特殊元素(表达式语言注入)- (917)
产品结构的全部或部分的表达式语言(EL)声明一个框架如Java服务器页面(JSP)使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素,可以修改预定的EL语句之前执行。EL注入
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2021年十大类别A04:2021——不安全设计- (1348)
这一类的弱点有关A04“不安全设计”在2021年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制文件名或路径- (73)
产品允许用户输入控制或影响路径或文件名中使用文件系统操作。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。宽容的允许输入列表- (183)
产品实现了一个保护机制,它依赖于输入(或输入)的属性的列表,明确允许的政策,因为输入被认为是安全的,但是列表太宽容——也就是说,它允许一个输入是不安全的,导致合成的弱点。Allowlist /允许列表Safelist /安全列表“白名单”/白名单
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。由于不兼容的政策暴露敏感信息- (213)
产品应有的功能暴露某些参与者的信息按照开发人员的安全政策,但这些信息被认为是敏感的目的根据安全策略对其他利益相关者如产品的管理员,用户,或其他的信息处理。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。处理不当的额外参数- (235)
产品不能处理或不正确处理参数的数量时,字段,或具有相同名称的参数超过预期的数量。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储密码- (256)
在明文存储密码可能导致系统妥协。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可恢复的格式存储的密码- (257)
存储密码的可恢复的格式让他们受到恶意用户密码重用攻击。事实上,应该注意的是,可恢复加密密码提供无显著好处在明文密码,因为他们不仅受到重用通过恶意攻击者还恶意的内部人员。如果一个系统管理员可以直接恢复密码,或者使用蛮力搜索可用的信息,管理员可以使用其他账户的密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的权限分配- (266)
产品错误地分配一个特权到一个特定的演员,为参与者创造一个意想不到的的控制范围。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。权限管理不当- (269)
产品的不合理分配、修改、跟踪,或检查权限的一个演员,创建一个意想不到的控制范围,演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的权限或权限不足- (280)
产品不能处理或错误处理当它有足够的权限来访问资源或功能作为其权限规定。这可能导致意想不到的代码路径,可能导致产品在一个无效的状态。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储的敏感信息- (312)
内的产品在明文存储敏感信息资源可能会访问另一个控制范围。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。明文存储在文件或磁盘- (313)
产品在明文存储敏感信息的文件,或在磁盘上。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。明文存储敏感信息在内存中- (316)
产品将敏感信息在明文存储在内存中。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的主要通道- (419)
产品使用的主要渠道管理或限制功能,但它不妥善保护通道。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。部署错误处理程序- (430)
错误的处理程序是分配给对象的过程。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制上传文件与危险的类型- (434)
产品允许攻击者上传或危险的传输文件类型,可以自动处理产品的内环境。不受限制的文件上传
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不一致的解释HTTP请求(HTTP请求/响应走私的)- (444)
产品作为媒介的HTTP代理(如代理或防火墙)等两个实体之间的数据流的客户机和服务器,但它不解释畸形的HTTP请求和响应的方式符合这些实体将如何处理消息的最终目的地。HTTP请求走私HTTP响应走私HTTP走私
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。用户界面(UI)关键信息的误传- (451)
用户界面(UI)不正确代表用户关键信息,让信息——或者源头——被掩盖或欺骗。这通常是一个组件在钓鱼攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制Assumed-Immutable Web参数- (472)
web应用程序不充分验证输入假定为不可变的,但实际上是外部控制,比如隐藏表单字段。Assumed-Immutable参数篡改
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。信任边界违反- (501)
产品混合可信和不可信的数据在同一数据结构或结构化信息。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。保护不足的凭证- (522)
产品传送或存储身份验证凭证,但它使用一个不安全的方法容易受到非法拦截和/或检索。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用Web浏览器缓存包含敏感信息- (525)
web应用程序不使用一个适当的缓存策略,指定每个网页的程度和相关表单字段应该被缓存。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用持久cookie包含敏感信息- (539)
web应用程序使用持久饼干,饼干包含敏感信息。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。J2EE坏实践:Non-serializable对象存储在会话中- (579)
产品存储一个HttpSession non-serializable对象属性,从而损害可靠性。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用GET请求方法的敏感的查询字符串- (598)
web应用程序使用HTTP GET方法来处理请求,并在查询字符串中包含敏感信息的请求。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。客户端执行服务器端安全- (602)
产品由一个服务器,它依赖于客户端实现一个机制,旨在保护服务器。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。外部控制临界状态的数据- (642)
重要产品商店安全状态信息对其用户,或产品本身的位置可以访问未经授权的演员。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。依赖外来文件的文件名或扩展- (646)
产品可以上传一个文件,但它依赖于文件的文件名或扩展来确定适当的行为。这可能是攻击者所使用的分类错误导致文件和处理在一个危险的方式。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。信任服务器端的HTTP方法许可- (650)
服务器包含一个保护机制,假设任何URI使用HTTP GET访问不会引起状态变化相关的资源。这可能允许攻击者绕过目的访问限制,开展资源修改和删除攻击,因为有些应用程序允许修改状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。隔离不当或划分- (653)
产品不正确划分或隔离功能,流程,需要不同的特权级别或资源,权利,或权限。分离的特权
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。通过模糊的安全的依赖- (656)
产品使用一个实力在很大程度上依赖于其默默无闻的保护机制,这样知识的算法或关键数据足以击败机制。不要假设你的秘密是安全的
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。违反安全的设计原则- (657)
产品安全违反的原则设计。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的交互控制频率- (799)
产品不正确数量限制或频率与演员的互动,比如传入的请求的数量。anti-automation不足蛮力
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖不可信的输入在一个安全的决定- (807)
产品使用一个保护机制,依赖于存在或输入的值,但一个不可信的输入可以修改演员的方式绕过了保护机制。
类别——CWE条目包含一组其他条目,共享一个共同的特点。业务逻辑错误- (840)
这一类的弱点识别一些潜在的问题,通常允许攻击者控制应用程序的业务逻辑。错误在整个应用程序业务逻辑可能是毁灭性的。他们可以自动很难找到,因为他们通常涉及合法使用的应用程序的功能。然而,许多业务逻辑错误可以展览模式,类似于易于理解的实现和设计的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当行为的执行工作流- (841)
不止一个的产品支持会话行为必须由一个演员表演,但这并不正确确保演员执行所需的行为序列。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用隐式意图敏感的通信- (927)
Android应用程序使用隐式意图传输敏感数据的其他应用程序。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制呈现UI层或帧- (1021)
web应用程序不限制或错误地限制帧对象或UI层,属于另一个应用程序或域,从而导致用户困惑的用户交互界面。“点击劫持”UI纠正攻击Tapjacking
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。验证框架的使用不当- (1173)
产品不使用,或不正确使用,输入验证框架提供的源语言或一个独立的库。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2021类别A05:2021 -安全错误配置- (1349)
这一类的弱点A05相关类别“安全错误配置”OWASP十大2021。
类别——CWE条目包含一组其他条目,共享一个共同的特点。7 pk -环境(2)
这类代表一个门的七个致命的王国脆弱性分类。它包括弱点通常期间推出的意想不到的环境条件。根据作者的七个致命的王国,“本节包括之外的所有源代码,但仍然是重要的安全产品。因为本王国的问题不是直接相关的源代码,我们分开的王国。”
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。ASP。网络错误配置:创建调试二进制(11)
系统调试消息帮助攻击者了解和计划攻击的一种形式。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。ASP。网络错误配置:密码配置文件(13)
将明文密码存储在一个配置文件允许任何人谁可以读取文件访问密码保护资源使他们一个简单的攻击者的目标。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制系统或配置设置(15)
一个或多个系统设置或外部配置元素可以由用户控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。密码配置文件- (260)
产品密码存储在一个配置文件可能访问的演员不知道密码。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。明文存储敏感信息的Cookie- (315)
产品将敏感信息在明文存储在一个cookie。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。net错误配置:使用模拟- (520)
允许一个。net应用程序运行在可能升级级别的访问底层操作和文件系统可能是危险的和导致各种形式的攻击。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。明文存储在一个环境变量的敏感信息- (526)
产品使用环境变量来存储加密敏感信息。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。Java运行时包含敏感信息的错误消息- (537)
在许多情况下,攻击者可以利用的条件,导致未处理的异常错误系统为了获得未经授权的访问。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。在一个包含文件包含敏感信息- (541)
如果一个源访问包含文件,该文件可以包含用户名和密码,以及对应用程序和系统有关的敏感信息。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码、安全相关的常数- (547)
产品使用硬编码的常量代替符号名称强调安全的值,这就增加了错误在代码维护或安全政策变化的可能性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML外部实体引用的不当限制- (611)
产品流程一个XML文档,XML可以包含实体的uri解析文档之外的目的范围控制,导致产品不正确的文档嵌入到它的输出。XXE
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。敏感的饼干在HTTPS会话没有“安全”属性- (614)
敏感的饼干的安全属性没有设置HTTP会话,这可能导致用户代理发送那些明文在一个HTTP会话cookie。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的自定义错误页面- (756)
产品不返回自定义错误页面给用户,可能暴露敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制递归实体引用dtd (XML实体扩张)- (776)
产品使用的XML文档,并允许它们的结构定义文档类型定义(DTD),但这并不正确控制递归定义的实体的数量。XEE十亿笑攻击XML炸弹
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。宽容与不可信域跨域策略- (942)
产品使用跨域策略文件,包括不应该被信任域。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。敏感的饼干没有“HttpOnly”标志- (1004)
产品使用cookie来存储敏感信息,但饼干并不标明HttpOnly国旗。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。ASP。网络错误配置:不当模型验证- (1174)
ASP。网络应用程序不使用,或不正确使用,模型验证框架。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2021年十大类别A06:2021——脆弱的和过时的组件- (1352)
这一类的弱点A06相关类别“脆弱和过时的组件”OWASP十大2021。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有维护的第三方组件的使用- (1104)
产品依赖于第三方组件不积极支持或维护由原开发人员或一个可信的代理最初的开发人员。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2021类别A07:2021 -识别和身份验证失败- (1353)
这一类的弱点A07相关类别“识别和身份验证失败”OWASP十大2021。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的密码- (259)
产品包含一个硬编码的密码,它使用的入站出站通信的身份验证或外部组件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的身份验证- (287)
当一个演员宣称已经给定的身份,产品不能证明或不够证明这种说法是正确的。认证AuthNAuthC
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过使用另一种路径或通道- (288)
一个产品需要认证,但产品备用路径或通道,不需要身份验证。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过被欺骗- (290)
这attack-focused的缺点是由于错误地实现身份验证方案,受到欺骗攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过被捕获——重放- (294)
捕获——重放缺陷存在时,产品的设计使恶意用户嗅探网络流量,绕过身份验证通过重放服务器的问题同样的效果与原始消息(或微小的改动)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不适当的证书验证- (295)
产品不验证,或不正确的验证,一个证书。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。与主机不匹配不当的验证证书- (297)
产品与主机通信,它提供了一个证书,但是产品不正确确保证书实际上是相关的主机。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。通道由Non-Endpoint访问- (300)
产品不充分验证的身份演员通信通道的两端,或不充分保证通道的完整性,在某种程度上允许访问通道或受到演员不是一个端点。Adversary-in-the-Middle / AITM中间人/ MITMPerson-in-the-Middle / PITMMonkey-in-the-MiddleMonster-in-the-Middle路径有关攻击拦截攻击
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过Assumed-Immutable数据- (302)
身份验证方案或实现使用关键数据元素被认为是不可变的,但是可以被攻击者控制或修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的关键一步验证- (304)
产品实现身份验证技术,但它跳过步骤,削弱了技术。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的身份验证的重要功能- (306)
产品不执行任何身份验证功能,需要一个可证明的用户标识或消耗了大量的资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制过度的身份验证- (307)
产品没有实现足够的措施来防止多个身份验证尝试失败在短时间内,使它更容易受到暴力攻击。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。起源验证错误- (346)
产品不正确验证数据的来源或沟通是有效的。
组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。会话固定- (384)
一个用户进行身份验证,或建立一个新的用户会话,无效任何现有的会话标识符给攻击者窃取身份验证会话的机会。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码要求- (521)
产品不需要用户应该有强壮的密码,这使得攻击者更容易妥协用户帐户。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。会话过期不足- (613)
根据WASC,“会话过期不足是当一个网站允许攻击者重用旧会话凭证或会话id进行授权。”
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经证实的密码更改- (620)
当设置一个新密码的用户,产品不需要知识的原始密码,或使用另一种形式的身份验证。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码恢复机制忘记密码- (640)
产品包含一个机制为用户恢复或更改密码不知道原始密码,但机制薄弱。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)
产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的验证源通信通道- (940)
产品建立一个通信通道来处理传入请求,由一个演员,但它不正确验证请求来自预期的起源。
类别——CWE条目包含一组其他条目,共享一个共同的特点。锁定机制的错误- (1216)
这一类的弱点与软件系统相关的锁定机制。经常这些处理场景,在多次失败的情况下生效一个给定的资源的访问。这个类别中的弱点可能导致退化的访问系统资产如果不解决。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2021年十大类别A08:2021——软件和数据完整性的失败- (1354)
这一类的弱点A08相关类别“软件和数据完整性的失败”OWASP十大2021。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。验证数据的真实性不足- (345)
产品不充分验证数据的来源或真实性,在某种程度上使它接受无效数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少支持完整性检查- (353)
产品使用一个传输协议,它不包括一个机制来验证在传输过程中数据的完整性,如校验和。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不可信的搜索路径- (426)
产品搜索关键资源使用外来的搜索路径,可以指向资源不受产品的直接控制。不可信的路径
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。下载的代码没有完整性检查- (494)
产品下载源代码或从远程位置和执行一个可执行的代码没有充分验证代码的来源和完整性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反序列化的数据不可信- (502)
产品反序列化不可信数据不充分验证结果数据将是有效的。打包,包酸洗,unpicklePHP对象注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖饼干没有验证和完整性检查- (565)
产品依赖于存在或cookie的值在执行强调安全的操作,但它不正确的设置是有效的确保相关用户。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。依赖饼干没有验证和完整性检查在一个安全的决定- (784)
产品使用一个保护机制,依赖于存在或cookie的值,但它不正确确保相关用户的cookie是有效的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。包含的功能不受信任的控制范围- (829)
产品进口,需要,或包含可执行功能(如图书馆)从源目的控制范围之外的。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。从一个不可信的源包含Web功能- (830)
产品包括网络功能(如web部件)从另一个域,导致其经营领域内的产品,可能给予总访问和控制产品的不可信来源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。控制不当修改动态确定对象的属性- (915)
产品从一个上游组件接收输入指定多个属性,属性,或字段初始化或更新的对象,但这并不正确控制哪些属性可以修改。大量的任务AutoBindingPHP对象注入
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2021年十大类别A09:2021——安全日志和监控失败- (1355)
这一类的弱点A09相关类别“安全日志和监控失败”OWASP十大2021。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的输出中和日志- (117)
产品不消除或中和错误输出写入日志。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。安全相关信息的遗漏- (223)
产品没有记录或显示信息是重要的识别攻击的源或性质,或确定一个行动是安全的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入日志文件- (532)
信息写入日志文件可以是一个敏感的天性,给攻击者或有价值的指导用户暴露敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的日志- (778)
强调安全事件发生时,产品没有记录的事件或省略了重要细节事件日志的时候。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2021类别A10:2021 -服务器端请求伪造(SSRF)- (1356)
这一类的弱点A10相关类别中的“服务器端请求伪造(SSRF)”OWASP十大2021。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。服务器端请求伪造(SSRF)- (918)
web服务器接收到一个URL或类似的请求从一个上游组件和检索这个URL的内容,但这并不足够确保请求被发送到预期的目的地。XSPA
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
||||||||||||
