CWE -CWE -610：另一个领域中对资源的外部控制（4.10）

弱点ID：610

抽象：班级
结构：简单的

查看自定义信息：

描述

该产品使用外部控制的名称或参考，该名称可以解决到预期控制领域之外的资源。

关系

该表显示了与该弱点相关的弱点和高级类别。这些关系定义为childof，parentof，ementof，并深入了解可能存在于较高和较低抽象水平的类似项目。此外，定义了诸如Peerof和Canalsobe之类的关系，以显示用户可能想要探索的类似弱点。

与观点“研究概念”相关（CWE-1000）

自然	类型	ID	姓名
Childof	支柱 - 弱点是最抽象的弱点类型，代表了与之相关的所有类别/基础/变体弱点的主题。从技术上讲，柱子与类别不同，因为在技术上仍然是一种描述错误的弱点，而类别代表用于分组相关事物的常见特征。	664	一生对资源的控制不当
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	15	系统或配置设置的外部控制
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	73	文件名或路径的外部控制
父母	复合材料 - 一个由两个或更多不同的弱点组成的复合元素，其中所有弱点必须同时存在，以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下，一个弱点对于复合材料可能不是必不可少的，但是当复合材料变成脆弱性时，它会改变其性质。	384	会话固定
父母	班级 - 以非常抽象的方式描述的弱点，通常与任何特定的语言或技术无关。比支柱弱点更具体，但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题：行为，属性和资源。	441	意外代理或中介（“困惑的副手”）
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	470	使用外部控制输入来选择类或代码（“不安全反射”）
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	601	URL重定向到不信任站点（“开放重定向”）
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	611	XML外部实体参考的不当限制
peerof	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	386	符号名称不映射到纠正对象

与“简化已发表漏洞的简化映射”（CWE-1003）相关的视图相关（CWE-1003）

自然	类型	ID	姓名
父母	复合材料 - 一个由两个或更多不同的弱点组成的复合元素，其中所有弱点必须同时存在，以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下，一个弱点对于复合材料可能不是必不可少的，但是当复合材料变成脆弱性时，它会改变其性质。	384	会话固定
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	601	URL重定向到不信任站点（“开放重定向”）
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	611	XML外部实体参考的不当限制
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	918	服务器端请求伪造（SSRF）
父母	基础 - 仍然主要独立于资源或技术的弱点，但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题：行为，财产，技术，语言和资源。	1021	不当限制渲染UI层或帧

与“建筑概念”（CWE-1008）有关

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1015	限制访问

介绍模式

引言的不同模式提供了有关如何以及何时引入这种弱点的信息。该阶段识别可能发生介绍的生命周期中的一个点，而音符提供了与给定阶段中引言有关的典型情况。

阶段	笔记
建筑和设计	委员会：这种弱点是指与建筑安全策略相关的不正确设计。

常见后果

该表指定与弱点相关的不同个人后果。该范围确定了违反的应用程序安全区域，而影响描述了如果对手成功利用这一弱点，就会产生负面的技术影响。其可能性提供了有关预期相对于列表中其他后果的特定后果的可能性的信息。例如，可能会利用弱点来实现一定的影响，但很可能会利用它来实现不同的影响。

范围	影响	可能性
保密正直	技术影响：阅读应用程序数据；修改应用程序数据

会员资格

此成员关系表显示了其他CWE类别和视图，将此弱点称为成员。该信息通常可用于理解弱点适合外部信息源的何处。

自然	类型	ID	姓名
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	980	SFP辅助集群：资源名称分辨率中的链接
成员	查看 - CWE条目的子集，提供了一种检查CWE内容的方法。两个主视图结构是切片（平面列表）和图（包含条目之间的关系）。	1003	简化已发表漏洞的弱点
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1347	OWASP前十2021年A03：2021-注射
成员	类别 - 包含共享共同特征的其他条目的CWE条目。	1368	ICS依赖性（＆体系结构）：外部数字系统

笔记

关系

这是一般弱点类别，但是大多数研究都集中在更专业的病例上，例如路径遍历（CWE-22）和symlink conter（CWE-61）。符号链接具有名称；通常，它看起来像文件系统中的任何其他文件。但是，该链接包括对另一个文件的引用，通常是在另一个目录中 - 也许在另一个控制范围内。许多接受文件名的常见库功能将“遵循”符号链接，然后使用链接的目标。

维护

之间的关系CWE-99和CWE-610需要进一步的调查和澄清。他们可能是重复的。CWE-99“资源注入”最初在七个有害王国分类法中定义的，强调了“用于访问系统资源的标识符”，例如文件名或端口号，但它明确地指出“资源注入”术语不适用于”路径操作，“有效地识别找到资源的路径，可以被认为是资源标识符的一个方面。还，CWE-610有效地涵盖任何类型的资源，无论该资源在系统层，应用程序层还是代码层。

普遍的弱点

CWE-610：另一个领域中对资源的外部控制参考


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用共同弱点枚举（CWE）和本网站的相关参考使用条款。CWE由美国国土安全部（DHS）网络安全和基础设施安全局（CISA），由国土安全系统工程和开发研究所（HSSEDI）由manbetx客户端首页（MITER）。版权所有©2006–2023，Miter Comanbetx客户端首页rporation。CWE，CWSS，CWRAF和CWE徽标是Miter Corporation的商标。manbetx客户端首页