CWE - CWE - 670: Always-Incorrect控制流实现(4.10)

弱点ID: 670

抽象:类
结构:简单的

视图定制的信息:

描述

代码包含一个控制流路径,并不能反映旨在实现路径的算法,导致不正确的行为在任何时候这个路径导航。

扩展描述

这个弱点捕获一个特定的情况下,代码段总是错误的算法实现。例如,如果一个C程序员打算包括多个语句在一块但不包括封闭的括号(cwe - 483),那么逻辑永远是不正确的。这个问题是与最弱点的代码通常正确的行为,除非外部恶意操纵方式。

的关系

此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。

相关的视图”研究概念”(cwe - 1000)

自然	类型	ID	的名字
ChildOf	支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。	691年	控制流管理不足
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	480年	使用不正确的操作符
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	483年	不正确的块划定
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	484年	省略Break语句在开关
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	617年	可以断言
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	698年	后执行重定向(EAR)
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	783年	运算符优先级逻辑错误

简化映射的相关视图”缺点漏洞发布”(cwe - 1003)

自然	类型	ID	的名字
ParentOf	Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。	617年	可以断言

模式的介绍

不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。

阶段	请注意
架构和设计
实现	这个问题通常出现在rarely-tested代码,因为“always-incorrect”自然也会检测到一个错误在正常使用。

常见的后果

这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。

范围	影响	可能性
其他	技术的影响:其他;改变执行逻辑

观察到的例子

参考	描述
cve - 2021 - 3011	虚拟中断控制器主机的虚拟化产品允许崩溃写作一定注册无效值,触发一个致命错误,而不是返回一个错误代码

会员资格

这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。

自然	类型	ID	的名字
MemberOf	类别——CWE条目包含一组其他条目,共享一个共同的特点。	977年	SFP二级集群:设计
MemberOf	视图——CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。	1003年	弱点简化映射的漏洞发布

笔记

维护

这个节点可能分为低层节点。“复位”是过早返回给调用者的控制(例如,cwe - 584)。“超额收益”是当控制返回调用堆栈(太远cwe - 600,cwe - 395)。“不当控制限制”发生在产品维护控制在一个较低的水平执行,当控制应该返回“进一步”调用堆栈(cwe - 455)。覆盖的代码“错误语法错误的”等cwe - 484和cwe - 483。

内容的历史

提交
提交日期	提交者	组织
2008-04-11	CWE内容团队	主教法冠
2008-04-11
修改
修改日期	修饰符	组织
2008-07-01	Eric Dalci	Cigital
2008-07-01	更新Time_of_Introduction
2008-09-08	CWE内容团队	主教法冠
2008-09-08	更新描述关系,Other_Notes
2009-07-27	CWE内容团队	主教法冠
2009-07-27	更新Maintenance_Notes Modes_of_Introduction Other_Notes,关系
2011-06-01	CWE内容团队	主教法冠
2011-06-01	更新Common_Consequences、关系、Taxonomy_Mappings
2012-05-11	CWE内容团队	主教法冠
2012-05-11	更新的关系,Taxonomy_Mappings
2014-07-30	CWE内容团队	主教法冠
2014-07-30	更新的关系
2017-01-19	CWE内容团队	主教法冠
2017-01-19	更新的关系
2017-11-08	CWE内容团队	主教法冠
2017-11-08	更新的关系
2019-06-20	CWE内容团队	主教法冠
2019-06-20	更新的关系
2020-02-24	CWE内容团队	主教法冠
2020-02-24	更新的关系,Time_of_Introduction
2021-10-28	CWE内容团队	主教法冠
2021-10-28	更新Observed_Examples

常见的弱点枚举

cwe - 670: Always-Incorrect控制流的实现


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页