 描述
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
的关系
 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
732年 |
不正确的权限分配的关键资源 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“软件开发”(cwe - 699)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
 类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
275年 |
权限的问题 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关观点“硬件设计”(cwe - 1194)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1198年 |
权限分离和访问控制问题 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
| 自然 |
类型 |
ID |
的名字 |
| ChildOf |
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。 |
732年 |
不正确的权限分配的关键资源 |
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关视图”架构概念”(cwe - 1008)
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1011年 |
授权的演员 |
模式的介绍
不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
利用的可能性
观察到的例子
| 参考 |
描述 |
|
|
可执行文件安装人人可写的。 |
|
|
主目录安装全局。 |
|
|
允许人人可写的日志文件信息丢失;全局文件明文密码。 |
|
|
全局目录的。 |
|
|
在安装Windows产品使用不安全的权限在Solaris(创世纪端口错误)。 |
|
|
不安全的共享密钥文件的权限。重复密码问题。 |
|
|
设备的默认权限允许IP欺骗。 |
潜在的缓解措施
阶段:体系结构和设计;操作
架构需要访问和修改属性文件实际上只有那些用户需要这些行动。 |
阶段:体系结构和设计
划分系统“安全”领域信任边界可以明确。不允许走出信任边界和敏感数据时总是小心与舱外的安全区域。
确保适当的划分是建立到系统设计,划分允许和强化特权分离功能。建筑师和设计师应该依靠最小特权原则来决定适当的时间使用特权和特权。
|
弱点Ordinalities
| Ordinality |
描述 |
|
主 |
(其他弱点的弱点存在独立的) |
检测方法
自动静态分析——二进制或字节码
根据飙升,以下检测技术可能是有用的:
|
人工静态分析——二进制或字节码
根据飙升,以下检测技术可能是有用的:
|
动态分析与自动化的结果解释
根据飙升,以下检测技术可能是有用的:
|
动态分析与人工解释结果
根据飙升,以下检测技术可能是有用的:
-
模糊测试
-
基于框架Fuzzer
-
自动化监控执行
-
强制执行路径
|
人工静态分析源代码
根据飙升,以下检测技术可能是有用的:
|
自动静态分析源代码
根据飙升,以下检测技术可能是有用的:
|
自动静态分析
根据飙升,以下检测技术可能是有用的:
|
体系结构或设计审查
根据飙升,以下检测技术可能是有用的:
|
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
| 自然 |
类型 |
ID |
的名字 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
743年 |
CERT C安全编码标准(2008)第十章-输入输出(FIO) |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
857年 |
CERT甲骨文安全Java编码标准(2011)第14章-输入输出(FIO) |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
877年 |
CERT c++安全编码部分09 -输入输出(FIO) |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
946年 |
SFP二级集群:不安全的资源权限 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1147年 |
SEI CERT甲骨文Java安全编码标准,指南13。输入输出(FIO) |
| MemberOf |
 视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1337年 |
2021 CWE最危险软件的弱点的弱点 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1345年 |
OWASP 2021年十大类别A01:2021——破碎的访问控制 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1366年 |
ICS通讯:脆弱的安全协议 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1376年 |
集成电路工程(建筑/部署):在调试安全缺口 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1387年 |
2022 CWE最危险软件的弱点的弱点 |
| MemberOf |
类别——CWE条目包含一组其他条目,共享一个共同的特点。 |
1396年 |
综合分类:访问控制 |
| MemberOf |
视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 |
1425年 |
2023 CWE最危险软件的弱点的弱点 |
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| 千鸟 |
|
|
不安全的默认权限 |
| CERT C安全编码 |
FIO06-C |
|
用适当的访问权限创建文件 |
| CERT甲骨文安全Java编码标准(2011) |
FIO01-J |
|
用适当的访问权限创建文件 |
| ISA / IEC 62443 |
部分2 - 4 |
|
点播SP.03.08 |
| ISA / IEC 62443 |
4 - 2部分 |
|
点播CR 2.1 |
引用
|
(ref - 62)马克·多德约翰麦克唐纳和贾斯汀Schuh。“软件安全评估的艺术”。第三章,“不违约”,69页。1版。艾迪生卫斯理》2006。 |
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
简化映射的相关视图”缺点漏洞发布”(cwe - 1003)
