CWE视图:2022 CWE中的弱点前25个最危险的软件弱点
 客观的观众关系
以下图显示了在不同抽象级别上存在的弱点之间的类似树状的关系。在最高级别上,存在类别和支柱。类别(不是技术弱点)是用于分组具有共同特征的弱点的特殊CWE条目。支柱是以最抽象的方式描述的弱点。在这些顶级条目的下方是弱点是不同水平的抽象水平。课程仍然非常抽象,通常与任何特定的语言或技术无关。基本水平弱点用于提出更具体类型的弱点。变体是一个弱点,细节级别非常低,通常仅限于特定的语言或技术。链条是一组弱点,必须连续到达,以产生可剥削的脆弱性。虽然复合材料是一组弱点,必须同时同时存在,以产生可剥削的脆弱性。
显示详细资料:
1387年 - 2022年CWE中的弱点前25个最危险的软件弱点
 基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。外面写作- (787)
该软件将数据的数据编写,或者在开始之前或开始之前的预期缓冲区。内存腐败
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。网页生成期间输入的中和不当(“跨站点脚本”)- (79)
该软件不会将用户控制输入放入输出之前,不会中和或错误地中和用作用于其他用户的网页的输出。XSSHTML注射CSS
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。SQL命令中使用的特殊元素的中和不当('SQL注入')- (89)
该软件使用来自上游组件的外部影响的输入构建SQL命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的SQL命令。
 班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。输入验证不当- (20)
该产品接收输入或数据,但并未验证或错误地验证输入具有安全,正确处理数据所需的属性。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。越野读- (125)
该软件读取预期缓冲区的末端或开始之前的数据。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。OS命令中使用的特殊元素的中和不当(“ OS命令注入”)- (78)
该软件使用来自上游组件的外部影响的输入构建全部或部分OS命令,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的OS命令。壳注射壳化元
 变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。免费使用后使用- (416)
引用内存释放后可能会导致程序崩溃,使用意外值或执行代码。悬挂的指针无使用后
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。路径名的不当限制到限制目录(“路径遍历”)- (22)
该软件使用外部输入来构建一个旨在识别位于受限父级目录下方的文件或目录的路径名,但是该软件不能适当地中和路径名中的特殊元素,该路径名中的特殊元素可以使PATHNAME解析到该位置,该位置将其解析到该位置,该位置该位置该位置该位置不在限制目录之外。目录遍历路径遍历
 复合材料 - 一个由两个或更多不同的弱点组成的复合元素,其中所有弱点必须同时存在,以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下,一个弱点对于复合材料可能不是必不可少的,但是当复合材料变成脆弱性时,它会改变其性质。跨站点伪造(CSRF)- (352)
Web应用程序没有或无法充分验证提交请求的用户有意提供了形成良好,有效,一致的请求。会议骑行跨站点参考伪造XSRF
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受限制地上传危险类型的文件- (434)
该软件允许攻击者上传或传输可以在产品环境中自动处理的危险类型的文件。无限制的文件上传
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。空指针解除- (476)
当应用程序将其期望有效但为null,通常导致崩溃或退出的指针时,就会发生零指针解冻。NPDnull deref零指针解除
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受信任数据的次要化- (502)
该应用程序对不受信任的数据进行了验证,而无需充分验证所得数据是否有效。编组,宣布腌制,没有挑剔PHP对象注入
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。整数溢出或环绕- (190)
当逻辑假设结果值始终大于原始值时,该软件执行的计算可以产生整数溢出或环绕。当计算用于资源管理或执行控制时,这可能会引入其他弱点。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。身份验证不当- (287)
当演员声称具有给定身份时,该软件不会证明或不充分证明索赔是正确的。身份验证authnauthc
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用硬编码凭证- (798)
该软件包含硬编码的凭据,例如密码或加密密钥,其用于其自身的入站身份验证,与外部组件的出站通信或内部数据的加密。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。缺少授权- (862)
当演员试图访问资源或执行操作时,该软件不会执行授权检查。Authz
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。命令中使用的特殊元素的中和不当(“命令注射”)- (77)
该软件使用来自上游组件的外部影响的输入构建命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期命令。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缺少关键功能的身份验证- (306)
该产品不对需要可证明的用户身份或消耗大量资源的功能进行任何身份验证。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。内存缓冲区范围内操作的不当限制- (119)
该软件在内存缓冲区上执行操作,但是可以从或写入到缓冲区预期边界之外的内存位置。缓冲区溢出缓冲区超支记忆安全
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。错误的默认权限- (276)
在安装过程中,设置了安装文件权限,以允许任何人修改这些文件。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。服务器端请求伪造(SSRF)- (918)
Web服务器从上游组件接收一个URL或类似请求,并检索该URL的内容,但不能充分确保将请求发送到预期的目的地。XSPA
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。同时使用共享资源的同步执行不当(“种族条件”)- (362)
该程序包含一个可以与其他代码同时运行的代码序列,并且代码序列需要临时,独家访问共享资源,但是存在一个计时窗口,其中共享资源可以通过同时操作的另一个代码序列修改共享资源。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。不受控制的资源消耗- (400)
该软件无法正确控制有限资源的分配和维护,从而使演员能够影响所消耗的资源数量,最终导致可用资源的耗尽。资源耗尽
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。XML外部实体参考的不当限制- (611)
该软件处理一个XML文档,该文档可以包含带有URI的XML实体,该文档解决了预期的控制范围之外的文档,从而导致产品将不正确的文档嵌入其输出中。xxe
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不当控制代码(“代码注入”)- (94)
该软件使用来自上游组件的外部影响的输入构建代码段的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可以修改预期代码段的语法或行为。
参考查看指标内容历史记录
提供更多信息 - 请选择其他过滤器。
|
||||||||||||
