CWE - CWE - 750: 2009的弱点CWE / SANS最危险的编程错误(4.10)

视图ID: 750

类型:图

下载:小册子|CSV|XML

客观的

CWE条目列出在这个视图中(图)2009年CWE / SANS编程错误。这种观点被认为是过时的新版本前25名。

观众

利益相关者	描述
软件开发人员	按照前25名中,开发人员将能够显著降低缺陷的数量发生在他们的软件。
产品的客户	如果一个软件开发人员自称是前25后,然后客户可以寻找弱点在这个视图中以制定独立的这种说法的证据。
教育工作者	教育者可以以多种方式使用这个视图。例如,如果有一个专注于教学的弱点,教育者可以集中在前25名。

的关系

下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。

显示详细信息:

全部展开|全部折叠

750 - 2009年的弱点CWE / SANS最危险的编程错误

类别——CWE条目包含一组其他条目,共享一个共同的特点。2009年前25 -安全组件之间的交互- (751)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)

这一类的弱点是“不安全的组件之间的交互”部分列出的2009 CWE / SANS的编程错误。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的编码或逃避的输出- (116)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>116年 (不正确的编码或转义输出)

产品准备一个结构化的信息沟通与另一个组件,但编码或逃避的数据丢失或错误地完成。因此,是不会保留消息的预期结构。输出卫生处理输出验证输出编码

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的输入验证- (20)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>20. (不正确的输入验证)

产品接收输入或数据,但它不验证或不正确验证输入所需的属性的过程安全、正确的数据。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>209年 (包含敏感信息的错误消息的一代)

产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>319年 (明文传输敏感信息)

明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。

组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。跨站请求伪造(CSRF)- (352)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>352年 (跨站点请求伪造(CSRF))

web应用程序不会或不能充分验证是否格式良好的,有效的,一致的请求是故意提供的用户提交请求。会话控制跨站参考伪造XSRF

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用共享资源与不当同步并发执行(“竞争条件”)- (362)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>362年 (并发执行使用共享资源与不当同步(“竞争条件”))

产品包含一个代码序列,可以同时运行其他代码,和代码序列需要临时,独家访问共享资源,但存在一个时间窗口的共享资源可以被另一个代码序列是修改并发操作。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>78年 (中和不当使用特殊的元素在一个操作系统命令(OS命令注入))

产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当输入在Web页面生成(“跨站点脚本编制”)- (79)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>79年 (中和不当输入在Web页面生成(“跨站点脚本编制”))

产品不中和或错误中和用户可控输入之前放在输出作为web页面使用的其他用户。XSSHTML注入CSS

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个SQL命令(SQL注入)- (89)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>751年 (2009前25 -安全组件之间的交互)>89年 (不当中和特殊元素中使用一个SQL命令(SQL注入的))

产品构造SQL命令的所有或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改SQL命令发送到下游组件。

类别——CWE条目包含一组其他条目,共享一个共同的特点。2009年前25 -资源管理风险- (752)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)

这一类的弱点“高风险资源管理”部分中列出的2009 CWE / SANS编程错误。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的操作限制的范围内一个内存缓冲区- (119)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>119年 (限制不当操作内存缓冲区的边界内)

产品执行操作内存缓冲区,但它可以从磁盘读取或写入的内存位置之外的目标缓冲区的边界。缓冲区溢出缓冲区溢出内存安全

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当关机或释放资源- (404)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>404年 (不当资源关闭或释放)

产品不释放或错误发布资源前可以重用。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不可信的搜索路径- (426)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>426年 (不受信任的搜索路径)

产品搜索关键资源使用外来的搜索路径,可以指向资源不受产品的直接控制。不可信的路径

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。下载的代码没有完整性检查- (494)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>494年 (下载的代码没有完整性检查)

产品下载源代码或从远程位置和执行一个可执行的代码没有充分验证代码的来源和完整性。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。外部控制临界状态的数据- (642)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>642年 (外部的控制临界状态数据)

重要产品商店安全状态信息对其用户,或产品本身的位置可以访问未经授权的演员。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的初始化- (665)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>665年 (不适当的初始化)

产品不初始化或不正确地初始化一个资源,这可能会让资源在一个意想不到的状态时访问或使用。

支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。错误的计算- (682)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>682年 (不正确的计算)

产品执行计算,生成错误或意想不到的结果,后来用于强调安全的决策或资源管理。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制文件名或路径- (73)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>73年 (外部控制文件名或路径)

产品允许用户输入控制或影响路径或文件名中使用文件系统操作。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当控制生成的代码(代码注入)- (94)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>752年风险(2009年前25 -资源管理)>94年 (不当控制生成的代码(代码注入的))

产品结构全部或部分的代码段使用externally-influenced输入从一个上游组件,但是它不中和或中和特殊的元素,可以修改错误的语法或行为的代码段。

类别——CWE条目包含一组其他条目,共享一个共同的特点。2009年前25 -多孔防御- (753)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)

弱点在这一类“多孔防御”一节中列出的2009 CWE / SANS编程错误。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。执行与不必要的特权- (250)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>250年 (执行不必要的特权)

产品执行一个操作在一个特权级别高于所需的最低水平,这创造了新的弱点或者其他弱点放大的后果。

变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的密码- (259)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>259年 (使用硬编码的密码)

产品包含一个硬编码的密码,它使用的入站出站通信的身份验证或外部组件。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的授权- (285)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>285年 (授权不当)

产品不执行或不正确执行授权检查当演员试图访问资源或执行一个动作。AuthZ

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用损坏或危险的密码算法- (327)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>327年 (使用损坏或危险的密码算法)

产品使用损坏或危险的密码算法或协议。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用随机值不足- (330)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>330年 (使用随机值不足)

产品使用随机数或不足值的安全上下文依赖于不可预测的数字。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。客户端执行服务器端安全- (602)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>602年 (客户端执行服务器端安全性)

产品由一个服务器,它依赖于客户端实现一个机制,旨在保护服务器。

类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>732年 (不正确的权限分配关键资源)

重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。

Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)

750年 (2009年的弱点CWE / SANS最危险的编程错误)>753年 (2009前25 -多孔防御)>798年 (使用硬编码的凭证)

产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。

回到顶部

引用

(ref - 615)“2009 CWE / SANS最危险的编程错误”。2009-01-12。<http://cwe.mitre.org/top25/archive/2009/2009_cwe_sans_top25.html>。

查看指标

	连续波在这个视图		总连续波
弱点	26	的	933年
类别	3	的	352年
的观点	0	的	47
总	29日	的	1332年

内容的历史

提交
提交日期	提交者	组织
2009-01-12	CWE内容团队	主教法冠
2009-01-12
修改
修改日期	修饰符	组织
2017-11-08	CWE内容团队	主教法冠
2017-11-08	更新的引用
2019-01-03	CWE内容团队	主教法冠
2019-01-03	更新描述
2019-06-20	CWE内容团队	主教法冠
2019-06-20	更新的引用
2020-02-24	CWE内容团队	主教法冠
2020-02-24	更新View_Audience

常见的弱点枚举

CWE观点:弱点在2009 CWE / SANS最危险的编程错误


	站点地图\|使用条款\|隐私政策\|联系我们\| 使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页