 描述
的关系
模式的介绍
 不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果
这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子
示例1
在以下Java示例updateInventory()方法中使用电子商务产品订购/库存应用程序将检查是否输入产品编号在商店或仓库。如果产品被发现,该方法将更新商店或仓库数据库以及聚合产品数据库。如果产品没有找到,打算做一些特殊的处理方法没有更新任何数据库。
公共空间updateInventory(字符串productNumber) {
布尔isProductAvailable = false; 布尔isDelayed = false;
如果(productInStore (productNumber)) {
isProductAvailable = true;
updateInStoreDatabase (productNumber); } else if (productInWarehouse (productNumber)) {
isProductAvailable = true;
updateInWarehouseDatabase (productNumber); } 其他{
isProductAvailable = true; }
如果(isProductAvailable) {
updateProductDatabase (productNumber); } else if (isDelayed) { } }
然而,该方法没有设置isDelayed变量而不是总是更新isProductAvailable变量为true。测试结果是谓词isProductAvailable布尔总是评估为true,因此总是更新产品数据库。进一步,因为isDelayed变量初始化错误,从不改变,总是表达的求值结果为false和客户永远不会警告延迟的产品。
潜在的缓解措施
检测方法
自动静态分析
自动静态分析,通常被称为静态应用程序安全性测试(科协),可以找到一些实例的这个弱点分析源代码或二进制/编译后的代码,而不必执行它。通常情况下,这是通过建立一个模型的数据流和控制流,然后寻找潜在攻击模式,连接“源”与“下沉”(输入)的起源(目的地数据与外部组件交互,较低的层,如操作系统,等等)。
|
会员资格
这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
脆弱性映射笔记
用法:允许
(CWE ID可以用来映射到现实世界的漏洞) |
原因:可接受的使用 |
理由是: 这CWE条目底部的抽象级别,这是一个首选的抽象级别映射到漏洞的根本原因。 |
评论: 仔细阅读这两个名称和描述,以确保此映射是一个适当的配合。不要试图“力”映射到底层基础/变体只是遵守这首选的抽象级别。 |
分类法映射
| 映射分类名称 |
节点ID |
适合 |
映射节点名 |
| CERT C安全编码 |
MSC00-C |
|
编译干净地警告级别很高 |
| 软件故障模式 |
SFP1只能 |
|
在计算故障 |
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
描述
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
