CWE视图:2020 CWE中的弱点前25个最危险的软件弱点
 客观的观众关系
以下图显示了在不同抽象级别上存在的弱点之间的类似树状的关系。在最高级别上,存在类别和支柱。类别(不是技术弱点)是用于分组具有共同特征的弱点的特殊CWE条目。支柱是以最抽象的方式描述的弱点。在这些顶级条目的下方是弱点是不同水平的抽象水平。课程仍然非常抽象,通常与任何特定的语言或技术无关。基本水平弱点用于提出更具体类型的弱点。变体是一个弱点,细节级别非常低,通常仅限于特定的语言或技术。链条是一组弱点,必须连续到达,以产生可剥削的脆弱性。虽然复合材料是一组弱点,必须同时同时存在,以产生可剥削的脆弱性。
显示详细资料:
1350- 2020年CWE中的弱点前25个最危险的软件弱点
 基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。网页生成期间输入的中和不当(“跨站点脚本”)- (79)
该产品不会将用户控制输入放入输出中,该产品被用作提供给其他用户的网页之前,不会对用户控制输入进行中和。XSSHTML注射CSS
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。外面写作- (787)
该产品在预期的缓冲区的末端或开始之前将数据编写。内存腐败
 班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。输入验证不当- (20)
该产品接收输入或数据,但并未验证或错误地验证输入具有安全,正确处理数据所需的属性。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。越野读- (125)
该产品在预期的缓冲区的末端或开始之前读取数据。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。内存缓冲区范围内操作的不当限制- (119)
该产品在内存缓冲区上执行操作,但是可以从或写入到缓冲区预期边界之外的内存位置。缓冲区溢出缓冲区超支记忆安全
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。SQL命令中使用的特殊元素的中和不当('SQL注入')- (89)
该产品使用来自上游组件的外部影响的输入构建SQL命令的全部或部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的SQL命令。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。将敏感信息暴露于未经授权的演员- (200)
该产品将敏感信息暴露于未被明确授权访问该信息的演员。信息披露信息泄漏
 变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。免费使用后使用- (416)
引用内存释放后可能会导致程序崩溃,使用意外值或执行代码。悬挂的指针无使用后
 复合材料 - 一个由两个或更多不同的弱点组成的复合元素,其中所有弱点必须同时存在,以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下,一个弱点对于复合材料可能不是必不可少的,但是当复合材料变成脆弱性时,它会改变其性质。跨站点伪造(CSRF)- (352)
Web应用程序没有或无法充分验证提交请求的用户有意提供了形成良好,有效,一致的请求。会议骑行跨站点参考伪造XSRF
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。OS命令中使用的特殊元素的中和不当(“ OS命令注入”)- (78)
该产品使用来自上游组件的外部影响的输入构建全部或部分OS命令,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的OS命令。壳注射壳化元
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。整数溢出或环绕- (190)
当逻辑假设结果值始终大于原始值时,产品执行的计算可以产生整数溢出或环绕。当计算用于资源管理或执行控制时,这可能会引入其他弱点。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。路径名的不当限制到限制目录(“路径遍历”)- (22)
该产品使用外部输入来构建旨在识别位于受限制的父目录下方的文件或目录的路径名,但是该产品不能适当地中和路径名中的特殊元素,该路径名中的特殊元素可以使PATHNAME解析到该位置到一个位置,该位置是不在限制目录之外。目录遍历路径遍历
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。空指针解除- (476)
当应用程序将其期望有效但为null,通常导致崩溃或退出的指针时,就会发生零指针解冻。NPDnull deref零指针解除
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。身份验证不当- (287)
当演员声称具有给定的身份时,该产品不会证明或不充分证明索赔是正确的。身份验证authnauthc
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受限制地上传危险类型的文件- (434)
该产品允许攻击者上传或传输可以在产品环境中自动处理的危险类型的文件。无限制的文件上传
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。关键资源的权限分配不正确- (732)
该产品以允许意想不到的参与者读取或修改该资源的方式指定了关键资源的权限。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不当控制代码(“代码注入”)- (94)
该产品使用来自上游组件的外部影响的输入构建代码段的全部或部分,但并不会中和或错误地中和可能会修改预期代码段语法或行为的特殊元素。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。不充分保护凭据- (522)
产品传输或存储身份验证凭证,但它使用了一种不安全的方法,该方法容易受到未经授权的拦截和/或检索的影响。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。XML外部实体参考的不当限制- (611)
该产品处理一个可以包含XML实体的XML文档,该文档将带有URI的XML实体,该实体决定在预期的控制范围之外进行文档,从而导致产品将不正确的文档嵌入其输出中。xxe
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用硬编码凭证- (798)
该产品包含硬编码的凭据,例如密码或加密密钥,其用于自身的入站身份验证,与外部组件的出站通信或内部数据的加密。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受信任数据的次要化- (502)
该产品在没有充分验证所得数据是否有效的情况下对不受信任的数据进行了挑选。编组,宣布腌制,没有挑剔PHP对象注入
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。特权管理不当- (269)
该产品无法正确分配,修改,跟踪或检查演员的特权,为该演员创建意外的控制领域。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。不受控制的资源消耗- (400)
该产品无法正确控制有限资源的分配和维护,从而使演员能够影响所消耗的资源数量,最终导致可用资源的耗尽。资源耗尽
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缺少关键功能的身份验证- (306)
该产品不对需要可证明的用户身份或消耗大量资源的功能进行任何身份验证。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。缺少授权- (862)
当演员试图访问资源或执行操作时,该产品不会执行授权检查。Authz
参考查看指标内容历史记录
提供更多信息 - 请选择其他过滤器。
|
|||||||||||||||||||||||
