CWE观点:OWASP的弱点十大(2007)
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
629 -弱点OWASP十大(2007)
 类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2007类别A1 -跨站脚本(XSS)- (712)
这一类的弱点有关A1 2007年OWASP十大类别。
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当输入在Web页面生成(“跨站点脚本编制”)- (79)
产品不中和或错误中和用户可控输入之前放在输出作为web页面使用的其他用户。XSSHTML注入CSS
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2007类别A2 -注塑缺陷- (713)
这一类的弱点有关A2 2007年OWASP十大类别。
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和一个命令中使用的特殊元素(“命令注入”)- (77)
产品结构的全部或部分命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时可以修改预定的命令发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个SQL命令(SQL注入)- (89)
产品构造SQL命令的所有或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改SQL命令发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在LDAP查询(LDAP注入)- (90)
LDAP查询的产品结构全部或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改预定的LDAP查询发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML注入(又名XPath盲注)- (91)
产品不正确中和特殊元素中使用XML,允许攻击者修改语法,内容,或命令的XML处理结束之前系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当CRLF序列(CRLF注入)- (93)
产品采用CRLF(回车换行)作为一种特殊的元素,例如单独的行或记录,但它不中和或错误中和CRLF从输入序列。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2007年十大类别A3 -恶意文件执行- (714)
这一类的弱点有关A3在2007年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制上传文件与危险的类型- (434)
产品允许攻击者上传或危险的传输文件类型,可以自动处理产品的内环境。不受限制的文件上传
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当中和指令的动态评估代码(Eval注入)- (95)
产品从一个上游组件接收输入,但它不会消除或中和代码语法错误使用前输入在一个动态的评价(如打电话。“eval”)。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)- (98)
输入从一个PHP应用程序接收上游组件,但这并不限制或者错误地限制使用前的输入“需要”,“包括”或类似的功能。远程文件包含RFI本地文件包含
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2007类别A4 -不安全的直接对象引用- (715)
这一类的弱点有关A4在2007年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制限制目录的路径名(“路径遍历”)(22)
产品使用外部输入来构造一个路径名,目的是为了辨别一个文件或目录,坐落在父目录的限制,但是产品不正确路径名中的中和特殊元素可以导致路径名来解决限制目录以外的位置。目录遍历路径遍历
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制Assumed-Immutable Web参数- (472)
web应用程序不充分验证输入假定为不可变的,但实际上是外部控制,比如隐藏表单字段。Assumed-Immutable参数篡改
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制的关键- (639)
系统的授权功能不防止一个用户获得另一个用户的数据或记录通过修改键值标识数据。不安全的直接对象引用/ IDOR破碎的对象级别授权/流星锤水平的授权
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2007年十大类别A5,跨站请求伪造(CSRF)- (716)
这一类的弱点有关A5在2007年OWASP十大类别。
 组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。跨站请求伪造(CSRF)- (352)
web应用程序不会或不能充分验证是否格式良好的,有效的,一致的请求是故意提供的用户提交请求。会话控制跨站参考伪造XSRF
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2007年十大类别A6——信息泄漏和错误处理不当- (717)
这一类的弱点有关A6在2007年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。暴露敏感信息的未经授权的演员- (200)
产品暴露敏感信息的一个演员,没有明确被授权可以访问这些信息。信息披露信息泄漏
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可观察到的差异- (203)
产品的不同行为或发送不同的反应在不同的情况下,可观测到一个未经授权的演员,暴露的安全相关的状态信息产品,如特定的操作是否成功与否。边信道攻击
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入调试代码- (215)
产品将敏感信息插入调试代码,这可能会暴露这些信息如果调试代码没有在生产中禁用。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2007类别A7 -破碎的认证和会话管理- (718)
这一类的弱点有关A7在2007年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的身份验证- (287)
当一个演员宣称已经给定的身份,产品不能证明或不够证明这种说法是正确的。认证AuthNAuthC
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反射攻击在身份验证协议- (301)
简单身份验证协议受到反射攻击如果恶意用户可以使用目标机器来模仿一个可信用户。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。保护不足的凭证- (522)
产品传送或存储身份验证凭证,但它使用一个不安全的方法容易受到非法拦截和/或检索。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2007年十大类别A8——不安全的加密存储- (719)
这一类的弱点有关A8在2007年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的加密密钥- (321)
硬编码的加密密钥的使用显著增加加密的数据可以恢复的可能性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码步骤- (325)
产品没有实现密码算法所需的步骤,导致弱加密算法比广告。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。加密的强度不够- (326)
产品存储或传送敏感数据使用一个加密方案理论上是合理的,但并不足够强大保护所需的水平。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2007年十大类别A9——不安全的通信- (720)
这一类的弱点有关A9 2007年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的加密密钥- (321)
硬编码的加密密钥的使用显著增加加密的数据可以恢复的可能性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码步骤- (325)
产品没有实现密码算法所需的步骤,导致弱加密算法比广告。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。加密的强度不够- (326)
产品存储或传送敏感数据使用一个加密方案理论上是合理的,但并不足够强大保护所需的水平。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2007类别A10 -未能限制的URL访问- (721)
这一类的弱点有关A10 2007年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的授权- (285)
产品不执行或不正确执行授权检查当演员试图访问资源或执行一个动作。AuthZ
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过使用另一种路径或通道- (288)
一个产品需要认证,但产品备用路径或通道,不需要身份验证。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。直接请求(“强迫浏览”)- (425)
web应用程序不充分执行适当的授权限制的url,脚本,或文件。强迫浏览
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||
