CWE

普遍的弱点

社区开发的软件和硬件弱点类型清单
2021 CWE最重要的硬件弱点
CWE前25个最危险的弱点
>CWE列表> cwe-单个字典定义(4.10)
ID

CWE-489:主动调试代码

弱点ID:489
抽象:根据
结构:简单的
查看自定义信息:
+描述
该产品将部署到未经授权的参与者中,其调试代码仍然启用或活动,这可以创建意外的入口点或公开敏感信息。
+扩展描述
一种常见的开发实践是添加专门为调试或测试目的而设计的“后门”代码,而该代码不打算随着产品运输或部署。这些后门入口点会造成安全风险,因为它们在设计或测试过程中不被考虑,并且属于产品的预期运行条件。
+替代条款
剩余的调试代码:
这个词起源于七个有害王国
+关系
部分帮助该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof,parentof,ementof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似弱点。
+与观点“研究概念”相关(CWE-1000)
自然 类型 ID 姓名
Childof 支柱支柱 - 弱点是最抽象的弱点类型,代表了与之相关的所有类别/基础/变体弱点的主题。从技术上讲,柱子与类别不同,因为在技术上仍然是一种描述错误的弱点,而类别代表用于分组相关事物的常见特征。 710 不当遵守编码标准
父母 变体变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。 11 ASP.NET错误配置:创建调试二进制
canpreceede 根据基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。 215 将敏感信息插入调试代码
部分帮助该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof,parentof,ementof,并深入了解可能存在于较高和较低抽象水平的类似项目。此外,定义了诸如Peerof和Canalsobe之类的关系,以显示用户可能想要探索的类似弱点。
+与“软件开发”视图相关(CWE-699)
自然 类型 ID 姓名
成员 类别类别 - 包含共享共同特征的其他条目的CWE条目。 1006 不良的编码实践
+介绍模式
部分帮助引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点,而音符提供了与给定阶段中引言有关的典型情况。
阶段 笔记
执行 在基于Web的应用程序中,调试代码用于测试和修改Web应用程序属性,配置信息和功能。如果在生产服务器上保留调试应用程序,则“软件流程”期间的监督允许攻击者访问调试功能。
构建和汇编
手术
+适用的平台
部分帮助该清单显示了可能出现的弱点的可能区域。这些可能适用于特定的命名语言,操作系统,体系结构,范式,技术或一类此类平台。该平台与给定弱点出现在该实例的频率一起列出。

语言

班级:不是特定语言的(不确定的患病率)

技术

班级:不是针对技术的(不确定的患病率)

班级:ICS/OT(不确定的患病率)

+常见后果
部分帮助该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域,而影响描述了如果对手成功利用这一弱点,就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如,可能会利用弱点来实现一定的影响,但很可能会利用它来实现不同的影响。
范围 影响 可能性
Confidentiality
Integrity
可用性
访问控制
其他

技术影响:旁路保护机制;阅读应用程序数据;获得特权或假定身份;随上下文而变化

The severity of the exposed debug application will depend on the particular instance. At the least, it will give an attacker sensitive information about the settings and mechanics of web applications on the server. At worst, as is often the case, the debug application will allow an attacker complete control over the web application and server, as well as confidential information that either of these access.
+示例的例子

示例1

调试代码可用于绕过身份验证。例如,假设应用程序具有接收用户名和密码的登录脚本。还假设脚本将第三个可选的参数称为“调试”,将其解释为请求开关为调试模式,并且当给出此参数时,未检查用户名和密码。在这种情况下,如果已知应用程序的特殊行为,绕过身份验证过程非常简单。在形式的情况下:

(不良代码)
示例语言:html
<输入类型=文本名称=用户名>
<输入类型=密码名称=密码>
<输入类型=提交>

然后,一个符合链接看起来像:

(信息丰富)
http://target/authenticate_login.cgi?username = ...&password = ...

攻击者可以将其更改为:

(攻击代码)
http://target/authenticate_login.cgi?用户名=&password =&debug = 1

这将使攻击者访问该站点,并绕过身份验证过程。

+潜在的缓解

阶段:构建和汇编;分配

部署应用程序之前,请删除调试代码。
+弱点
条件 描述
间接
(where the weakness is a quality issue that might indirectly make it easier to introduce security-relevant weaknesses or make them more difficult to detect)
基本的
(弱点独立于其他弱点的地方)
+会员资格
部分帮助此成员关系表显示了其他CWE类别和视图,将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。
自然 类型 ID 姓名
成员 类别类别 - 包含共享共同特征的其他条目的CWE条目。 485 7pk-封装
成员 类别类别 - 包含共享共同特征的其他条目的CWE条目。 731 OWASP前十名2004类A10类 - 不安全配置管理
成员 类别类别 - 包含共享共同特征的其他条目的CWE条目。 1002 SFP辅助群集:意外的入口点
成员 类别类别 - 包含共享共同特征的其他条目的CWE条目。 1371 ICS供应链:记录不足或无证件功能
+笔记

其他

在J2EE中,主要方法可能是应用程序中保留调试代码的一个很好的指标,尽管可能没有任何直接的安全影响。
+分类映射
映射的分类名称 节点ID Fit 映射的节点名称
7个有害王国 剩余的调试代码
OWASP 2004年前十名 A10 CWE更具体 不安全的配置管理
软件故障模式 SFP28 意外的访问点
+References
[Ref-6] Katrina Tsipenyuk,Brian Chess和Gary McGraw。“七个有害王国:软件安全错误的分类法”。NIST关于软件安全保证工具技术和指标的研讨会。nist。2005-11-07。<https://samate.nist.gov/ssattm_content/papers/seven%20pernious%20kingdoms%20-%20-%20taxonomy%20OF%20SW%20SECURITY%20Security%20ERR%20-20-%20-%20-%20TSIPENYUK;>。
+内容历史记录
+提交
提交日期 提交者 组织
2006-07-19 7个有害王国
+修改
修改日期 Modifier 组织
2008-07-01 埃里克·达奇(Eric Dalci) Cigital
更新的势_METIGATIONS,time_of_introduction
2008-08-01 KDM分析
添加/更新的白色框定义
2008-09-08 CWE内容团队 MITER
更新的common_cconsquences,关系,其他_notes,gualomy_mappings
2009-07-27 CWE内容团队 MITER
更新了示范_examples
2009-10-29 CWE内容团队 MITER
更新的common_cconsquences
2011-06-01 CWE内容团队 MITER
更新的common_cconsquences
2011-06-27 CWE内容团队 MITER
更新的common_cconsquences
2012-05-11 CWE内容团队 MITER
更新的关系
2012-10-30 CWE内容团队 MITER
更新的势_MINEIGATIONS
2014-06-23 CWE内容团队 MITER
更新描述,模式_OF_INTRODUCTION,其他_notes,time_of_introduction
2014-07-30 CWE内容团队 MITER
更新的关系,分类_mappings
2017-11-08 CWE内容团队 MITER
updated Applicable_Platforms, Relationships, White_Box_Definitions
2019-01-03 CWE内容团队 MITER
更新的弱点_ordinalities
2019-06-20 CWE内容团队 MITER
更新相关的_attack_patterns
2020-02-24 CWE内容团队 MITER
更新的描述,名称,参考,关系
2021-03-15 CWE内容团队 MITER
更新相关的_attack_patterns
2021-07-20 CWE内容团队 MITER
更新的备用_terms
2023-01-31 CWE内容团队 MITER
更新了适用的_platforms,描述,关系
+先前的输入名称
改变日期 先前的输入名称
2020-02-24 剩余的调试代码
提供更多信息 - 请选择其他过滤器。
页面最后更新:2023年1月31日

使用共同弱点枚举(CWE)和本网站的相关参考使用条款。CWE由美国国土安全部(DHS)网络安全和基础设施安全局(CISA),由国土安全系统工程和开发研究所(HSSEDI) which is operated bymanbetx客户端首页(MITER)。版权所有©2006–2023,Miter Comanbetx客户端首页rporation。CWE,CWSS,CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页