CWE观点:弱点在ICS SEI ETF类别的安全漏洞
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
1358 - SEI的弱点在ICS ETF类别的安全漏洞
 类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS通信- (1359)
这一类的弱点有关“ICS通信”超级类别从SEI ETF”类别的安全漏洞在ICS”发表在2022年3月。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS通讯:区域边界的失败- (1364)
弱点这类相关的“区域边界的失败”的类别SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“在一个集成电路系统,通过网络流量穿过区域边界,漏洞出现在这些边界为安全或其他用途,但转化为安全”。注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的资源领域之间的转移- (669)
产品不正确将资源/行为转移到另一个领域,从另一个领域或进口资源/不当行为,意想不到的方式提供对资源的控制。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的检查异常或异常情况- (754)
产品不检查或不正确检查异常或异常情况不会经常发生在日常操作的产品。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。曝光资源错误的球体- (668)
产品暴露错误的控制范围的资源,提供意想不到的演员与不恰当的访问资源。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS通讯:不可靠- (1365)
弱点这类相关的“不可靠”的类别SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“漏洞出现在反应在物理层中断(例如创建电气噪声)用来携带交通。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。物理或环境条件的处理不当- (1384)
产品不妥善处理意外的物理或自然或人工诱导发生的环境条件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS通讯:脆弱的安全协议- (1366)
的弱点这一类“脆弱的安全协议”相关类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“漏洞出现由于mis-implementation ICS的或不完整的实现安全通信协议的实现。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用损坏或危险的密码算法- (327)
产品使用损坏或危险的密码算法或协议。
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当实施安全检查标准- (358)
产品没有实现或不正确实现一个或多个安全相关的检查按照标准化的设计算法,协议,或技术。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS依赖性(&架构)- (1360)
这一类的弱点有关“ICS依赖性”(&架构)从SEI ETF超类别“ICS类别的安全漏洞”,发表在2022年3月。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS依赖性(&架构):外部物理系统- (1367)
弱点这类“外部物理系统”相关类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“由于高度互联技术,外部依赖另一个物理系统可能造成的供应中断保护系统”。注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当保护电压和时钟故障- (1247)
设备不包含或包含不正确实现电路或传感器来检测和降低电压和时钟故障和保护敏感信息或软件包含在设备上。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当对硬件过热保护- (1338)
硬件设备丢失或有不足保护功能,以防止经济过热。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。依赖不够可信组件- (1357)
产品由多个独立的组件,但是它使用一个组件,它不是足够信任来满足预期安全、可靠性、updateability和可维护性。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。物理或环境条件的处理不当- (1384)
产品不妥善处理意外的物理或自然或人工诱导发生的环境条件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS依赖性(&架构):外部数字系统- (1368)
弱点这类“外部数字系统”相关类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“由于高度互联技术,外部依赖另一个数字系统可能导致机密性、完整性和可用性的事件保护系统”。注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制系统或配置设置(15)
一个或多个系统设置或外部配置元素可以由用户控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预期行为违反- (440)
一个特性、API或函数不执行根据其规范。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制输入选择类或代码(“不安全的反思”)- (470)
产品使用外部输入和反射来选择使用哪个类或代码,但这并不足够防止输入选择不当或代码的类。反射注入
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。在另一个球体外部控制的参考资源- (610)
产品使用外部控制的名称或引用解析为一个资源预定的控制范围之外。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不使用完整的中介- (638)
产品不执行访问检查资源每次访问的资源是一个实体,它可以创建合成的弱点,如果实体的权利或特权随时间变化。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。足够的技术文档- (1059)
产品不包含足够的技术或工程文档(无论是在纸上或以电子形式),它包含所有相关的软件/硬件的描述元素的产品,比如它的用法,结构,建筑组件、接口、设计、实现、配置、操作等。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。实现之间的矛盾和记录设计- (1068)
产品的实现中不符合描述的设计相关文档。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有维护的第三方组件的使用- (1104)
产品依赖于第三方组件不积极支持或维护由原开发人员或一个可信的代理最初的开发人员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖组件,它不是可更新- (1329)
产品包含的组件不能被更新或修补,从而消除漏洞或重要的bug。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。依赖不够可信组件- (1357)
产品由多个独立的组件,但是它使用一个组件,它不是足够信任来满足预期安全、可靠性、updateability和可维护性。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS供应链- (1361)
这一类的弱点有关“ICS供应链”超级类别从SEI ETF”类别的安全漏洞在ICS”发表在2022年3月。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS供应链:/不收敛扩张- (1369)
这一类的弱点有关“这/不收敛扩张”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“DER普及率的增加设备和智能负载使新兴ICS网络更喜欢网络,从而容易受到类似的漏洞的网络。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不是不安全(不开放)- (636)
当产品遇到错误或失败条件,其设计需要回落到安全状态低于其他选项可用,如选择最弱加密算法或使用最宽容的访问控制限制。没有开放的
 支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。访问控制不当- (284)
产品不限制或错误地限制从未经授权的访问资源的演员。授权
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS供应链:普通模式的弱点- (1370)
弱点这类相关的“共同模式”弱点类别SEI ETF“ICS类别的安全漏洞”,发表在2022年3月:“在组件级别,大多数ICS系统是由常见的部分由其他公司。一个或多个公共部分可能包含漏洞,可能导致广泛的事件。”Note: members of this category include "Nearest IT Neighbor" recommendations from the report, as well as suggestions by the CWE team. These relationships are likely to change in future CWE versions.
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。第四代可预测与CBC模式- (329)
产品生成和使用一个可预测的初始化向量(IV)和密码块链接(CBC)模式,这将导致算法容易受到字典攻击时相同的密钥进行加密。
支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。保护机制失败- (693)
产品不使用或不正确使用保护机制,提供足够的防御定向攻击。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。依赖不够可信组件- (1357)
产品由多个独立的组件,但是它使用一个组件,它不是足够信任来满足预期安全、可靠性、updateability和可维护性。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS供应链:记录不良的或非法的特性- (1371)
这一类的弱点有关“贫乏的记录或者无证功能”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“无证能力和配置构成风险,没有清楚地了解设备的具体应该怎么做,只有做。因此可能开放表面和漏洞的攻击。”Note: members of this category include "Nearest IT Neighbor" recommendations from the report, as well as suggestions by the CWE team. These relationships are likely to change in future CWE versions.
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。隐藏功能- (912)
产品包含的功能,不记录,不规范的一部分,而不是通过一个接口来访问或命令序列明显的产品的用户或管理员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。积极的调试代码- (489)
产品部署与调试代码仍然启用或未经授权的演员活跃,可以创造出意想不到的入口点或暴露敏感信息。剩下的调试代码
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。足够的技术文档- (1059)
产品不包含足够的技术或工程文档(无论是在纸上或以电子形式),它包含所有相关的软件/硬件的描述元素的产品,比如它的用法,结构,建筑组件、接口、设计、实现、配置、操作等。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。包含非法特性或鸡肉- (1242)
设备包括鸡肉块或非法特性,可以为未经授权的演员创造入口点。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS供应链:OT假冒和恶意的腐败- (1372)
这一类的弱点有关“OT盗版和恶意腐败”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“在ICS,当这个采购过程导致一个漏洞或组件损坏,它可以有网格影响或造成身体上的伤害。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少保护硬件逆向工程使用集成电路(IC)成像技术- (1278)
信息存储在硬件可能被攻击者的能力恢复的捕获和分析图像使用扫描电镜等技术集成电路。
类别——CWE条目包含一组其他条目,共享一个共同的特点。权限分离和访问控制问题- (1198)
这一类的特性和相关机制的弱点提供基于硬件的隔离和访问控制(例如,身份,政策,锁定控制)的敏感共享硬件资源,如寄存器和保险丝。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预防不当锁一些修改- (1231)
产品使用一个可信的锁位限制访问寄存器,解决地区,或其他资源,但产品不防止锁位的值修改后。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的安全敏感的硬件控制锁保护- (1233)
产品使用寄存器锁保护机制,但它并不能保证锁防止修改的系统寄存器或控制执行重要的硬件系统配置变化。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署)- (1362)
这一类的弱点有关“ICS工程(建筑/部署)“超级类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署):信任模型的问题- (1373)
弱点这类“信任模型问题”相关类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“假设关于用户在设计或施工阶段可能导致漏洞系统安装后如果用户操作相比,使用不同的安全方法或过程设计或建造什么。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。权限管理不当- (269)
产品的不合理分配、修改、跟踪,或检查权限的一个演员,创建一个意想不到的控制范围,演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖不可信的输入在一个安全的决定- (807)
产品使用一个保护机制,依赖于存在或输入的值,但一个不可信的输入可以修改演员的方式绕过了保护机制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接受外来的不可信的数据和可信的数据- (349)
产品,当处理可信的数据,接受任何不可信的数据与可信的数据,还包括治疗不可信的数据,就好像它是可信的。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署):制造商断路器失明- (1374)
这一类的弱点有关“制造商断路器失明”范畴从SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“缺乏认识的蓄意攻击技术的人(和天气等自然原因的失效模式或金属疲劳)可能导致安全控制内置ICS系统不足。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署):缺口/数据的细节- (1375)
这一类的弱点有关“信息/数据差距”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“高度复杂系统通常由人员有多年的管理经验,特别的设施或植物。大部分的知识是通过口头传递或实习培训但可能不是完全记录在书面实践和程序。”Note: members of this category include "Nearest IT Neighbor" recommendations from the report, as well as suggestions by the CWE team. These relationships are likely to change in future CWE versions.
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。足够的技术文档- (1059)
产品不包含足够的技术或工程文档(无论是在纸上或以电子形式),它包含所有相关的软件/硬件的描述元素的产品,比如它的用法,结构,建筑组件、接口、设计、实现、配置、操作等。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的设计文档- (1110)
产品的设计文档不充分描述控制流、数据流、系统初始化、任务之间的关系,组件,设计的依据,或其他重要方面。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署):在调试安全缺口- (1376)
这一类的弱点有关“安全缺口调试”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“作为一个大系统带来了在线系统的组件可能仍然脆弱,直到整个系统操作和功能和安全控制到位。这将创建一个机会之窗在调试过程中对敌人。”Note: members of this category include "Nearest IT Neighbor" recommendations from the report, as well as suggestions by the CWE team. These relationships are likely to change in future CWE versions.
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的默认权限- (276)
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用共享资源与不当同步并发执行(“竞争条件”)- (362)
产品包含一个代码序列,可以同时运行其他代码,和代码序列需要临时,独家访问共享资源,但存在一个时间窗口的共享资源可以被另一个代码序列是修改并发操作。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用默认密码- (1393)
产品使用默认密码可能至关重要的功能。
类别——CWE条目包含一组其他条目,共享一个共同的特点。集成电路工程(建筑/部署):设计固有的可预测性- (1377)
弱点这类相关的“固有的可预见性设计”类别SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“设计的共性(ic / SCADA架构)能源系统和环境打开了妥协的可能性,利用固有的可预见性的设计。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少保护硬件逆向工程使用集成电路(IC)成像技术- (1278)
信息存储在硬件可能被攻击者的能力恢复的捕获和分析图像使用扫描电镜等技术集成电路。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护)- (1363)
这一类的弱点有关“ICS操作(&维护)“超级类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):缺口义务和培训- (1378)
相关弱点这类“义务和培训空白”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“OT所有权和负责识别和减轻漏洞不明确或组织内部沟通,让环境应用补丁的,可利用的,和更广泛的攻击表面。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):ICS环境中的人为因素- (1379)
这一类的弱点有关“ICS环境中的人为因素”范畴从SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“环境因素在ICS包括物理胁迫、系统复杂性、和隔离可能会导致安全漏洞或缺陷在个人的职责和责任的表现。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的心理可接受性- (655)
产品都有一个保护机制,太困难或不便使用,鼓励无恶意的用户禁用或绕过机制,无论是偶然还是故意。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。用户界面(UI)关键信息的误传- (451)
用户界面(UI)不正确代表用户关键信息,让信息——或者源头——被掩盖或欺骗。这通常是一个组件在钓鱼攻击。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):后分析变化- (1380)
弱点这类相关的“后分析变化”类SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“更改之前的分析和批准ICS环境可以引入新的安全漏洞(相对于安全)”。注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):可利用的标准操作程序- (1381)
弱点这类相关的“可利用的标准操作规程”类别SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“标准ic开发安全操作规程和操作在一个封闭的功能,控制通信环境更多的连接环境中可以引入漏洞。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):新兴能源技术- (1382)
弱点这类“新兴能源技术”相关类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“能源系统的快速发展加速了各级等新技术的出现,电动汽车,先进的通信(5 g +),小说和多样化的挑战出现的安全和弹性操作系统”。注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的输入验证- (20)
产品接收输入或数据,但它不验证或不正确验证输入所需的属性的过程安全、正确的数据。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的授权- (285)
产品不执行或不正确执行授权检查当演员试图访问资源或执行一个动作。AuthZ
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不适当的证书验证- (295)
产品不验证,或不正确的验证,一个证书。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的证书链的信任- (296)
产品不遵守或者不正确,信任的证书链回受信任的根证书,导致错误的信任与证书相关联的任何资源。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。起源验证错误- (346)
产品不正确验证数据的来源或沟通是有效的。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。控制的网络消息量不足(网络放大)- (406)
产品没有足够的监测或控制传输网络流量体积,这样一个演员可以导致产品传播应该允许更多的流量比的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。URL重定向不可信的网站(“开放重定向”)- (601)
一个web应用程序接受用户输入指定外部网站的链接,并使用该链接重定向。这简化了网络钓鱼攻击。开放的重定向跨站点重定向跨域重定向
类别——CWE条目包含一组其他条目,共享一个共同的特点。ICS操作(&维护):合规/符合监管要求- (1383)
这一类的弱点有关“合规/符合监管要求”类别的SEI ETF”类别的安全漏洞在ICS”发表在2022年3月:“ICS环境面临重叠的监管制度和政府与多个重点领域(例如,操作弹性、物理安全、互操作性、和安全性)从而导致网络安全漏洞实现为写由于考虑的差距时,outdatedness,或相互冲突的需求。”注:这个类别的成员包括“最近的邻居”的建议报告,以及由CWE团队的建议。这些关系可能会改变在未来CWE版本。
支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。不当坚持编码标准- (710)
产品不发展遵循一定的编码规则,从而导致合成的弱点或增加相关漏洞的严重性。
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
|||||||||||||||||||||||
