CWE视图:2010年CWE/SANS的弱点前25个最危险的编程错误
 客观的观众关系
以下图显示了在不同抽象级别上存在的弱点之间的类似树状的关系。在最高级别上,存在类别和支柱。类别(不是技术弱点)是用于分组具有共同特征的弱点的特殊CWE条目。支柱是以最抽象的方式描述的弱点。在这些顶级条目的下方是弱点是不同水平的抽象水平。课程仍然非常抽象,通常与任何特定的语言或技术无关。基本水平弱点用于提出更具体类型的弱点。变体是一个弱点,细节级别非常低,通常仅限于特定的语言或技术。链条是一组弱点,必须连续到达,以产生可剥削的脆弱性。虽然复合材料是一组弱点,必须同时同时存在,以产生可剥削的脆弱性。
显示详细资料:
800- 2010年CWE/SANS的弱点前25个最危险的编程错误
 类别 - 包含共享共同特征的其他条目的CWE条目。2010年前25名 - 风口浪尖上的弱点- (808)
此类别中的弱点不是一般前25名的一部分,但它们属于最初的提名列表的一部分,从中获得了前25名。
 基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用外部控制格式字符串- (134)
该软件使用接受格式字符串作为参数的函数,但是格式字符串源自外部源。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。存储或转移之前,不当删除敏感信息- (212)
产品存储,转移或共享包含敏感信息的资源,但是在产品使未经授权的参与者可用资源之前,它不能正确删除该信息。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不当限制过度身份验证尝试- (307)
该产品没有采取足够的措施来防止在短时间内进行多次失败的身份验证尝试,从而使其更容易受到蛮力攻击。
 班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。使用不足的随机值- (330)
该软件在安全上下文中使用不足的随机数或值,这取决于不可预测的数字。
 变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。免费使用后使用- (416)
引用内存释放后可能会导致程序崩溃,使用意外值或执行代码。悬挂的指针无使用后
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不信任的搜索路径- (426)
该应用程序使用外部供应搜索路径搜索关键资源,该路径可以指向不在应用程序直接控制下的资源。不受信任的路径
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。受信任变量或数据存储的外部初始化- (454)
该软件使用可能由不受信任的参与者修改的输入来初始化关键的内部变量或数据存储。
变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。缺少变量的初始化- (456)
该软件不会初始化关键变量,这会导致执行环境使用意外值。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。空指针解除- (476)
当应用程序将其期望有效但为null,通常导致崩溃或退出的指针时,就会发生零指针解冻。NPDnull deref零指针解除
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。在文件访问之前,链接分辨率不正确(“链接后面”)- (59)
该软件试图根据文件名访问文件,但不能正确阻止该文件名识别解决意外资源的链接或快捷方式。不安全的临时文件拉链滑动
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。到期或发布后在资源上操作- (672)
该资源过期,释放或撤销该资源后,该软件使用,访问或以其他方式在资源上运行。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。数字类型之间的不正确转换- (681)
从一种数据类型转换为另一种数据类型(例如长到整数)时,可以以产生意外值的方式省略或翻译数据。如果结果值在敏感的环境中使用,则可能发生危险行为。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。暴露危险方法或功能- (749)
该软件提供了与外部参与者交互的应用程序编程接口(API)或类似接口,但是该接口包含一个不正确限制的危险方法或功能。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。有效的一生后缺少资源的释放- (772)
该软件在其有效的生命周期结束后不会发布资源,即不再需要资源之后。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。相互作用频率的控制不当- (799)
该软件不能正确限制与演员的交互的数量或频率,例如传入请求的数量。抗自动化不足蛮力
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。可猜测的验证码- (804)
该软件采用验证码挑战,但是非人类演员可以猜测或自动识别挑战。
类别 - 包含共享共同特征的其他条目的CWE条目。2010前25个 - 多孔防御- (803)
该类别中的弱点在2010年CWE/SANS前25个编程错误的“多孔防御”部分中列出。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。授权不当- (285)
当演员试图访问资源或执行操作时,该软件不会执行或错误执行授权检查。Authz
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缺少关键功能的身份验证- (306)
该产品不对需要可证明的用户身份或消耗大量资源的功能进行任何身份验证。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。缺少敏感数据的加密- (311)
该软件在存储或传输之前不会加密敏感或关键信息。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。使用破裂或危险的加密算法- (327)
使用破裂或危险的加密算法是不必要的风险,可能导致敏感信息暴露。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。关键资源的权限分配不正确- (732)
该产品以允许意想不到的参与者读取或修改该资源的方式指定了关键资源的权限。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。使用硬编码凭证- (798)
该软件包含硬编码的凭据,例如密码或加密密钥,其用于其自身的入站身份验证,与外部组件的出站通信或内部数据的加密。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。在安全决定中依赖不受信任的输入- (807)
该应用程序使用一种依赖输入的存在或值的保护机制,但是未经信任的参与者可以通过绕过保护机制来修改输入。
类别 - 包含共享共同特征的其他条目的CWE条目。2010年前25名 - 风险资源管理- (802)
该类别中的弱点在2010年CWE/SANS前25个编程错误的“风险资源管理”部分中列出。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缓冲区副本未检查输入的大小(“经典缓冲区溢出”)- (120)
该程序将输入缓冲区复制到输出缓冲区,而无需验证输入缓冲区的大小是否小于输出缓冲区的大小,从而导致缓冲区溢出。经典缓冲区溢出无界转移
变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。数组索引的验证不当- (129)
该产品在计算或使用数组索引时使用不受信任的输入,但是该产品不会验证或错误验证该索引以确保索引参考数组中的有效位置。外部阵列索引索引范围数组索引下流
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。缓冲尺寸的计算不正确- (131)
该软件无法正确计算分配缓冲区时要使用的大小,这可能导致缓冲区溢出。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。整数溢出或环绕- (190)
当逻辑假设结果值始终大于原始值时,该软件执行的计算可以产生整数溢出或环绕。当计算用于资源管理或执行控制时,这可能会引入其他弱点。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。路径名的不当限制到限制目录(“路径遍历”)- (22)
该软件使用外部输入来构建一个旨在识别位于受限父级目录下方的文件或目录的路径名,但是该软件不能适当地中和路径名中的特殊元素,该路径名中的特殊元素可以使PATHNAME解析到该位置,该位置将其解析到该位置,该位置该位置该位置该位置不在限制目录之外。目录遍历路径遍历
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。无需完整检查的代码下载- (494)
该产品从远程位置下载源代码或可执行文件,并执行代码,而无需充分验证代码的来源和完整性。
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。不适当检查异常或特殊情况- (754)
该软件不会检查或错误检查是否是否期望在该软件的日常操作中经常发生这种异常或特殊情况。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。资源分配而无需限制或限制- (770)
该软件代表参与者分配可重复使用的资源或一组资源,而无需对可以分配的资源的规模或数量施加任何限制,违反了该行为者的预期安全策略。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。长度值不正确的缓冲区访问- (805)
该软件使用顺序操作来读取或编写缓冲区,但是它使用不正确的长度值,使其可访问在缓冲区边界之外的内存。
变体 - 与某种类型的产品相关的弱点,通常涉及特定的语言或技术。比基本弱点更具体。变体级别的弱点通常以以下维度的3到5来描述问题:行为,财产,技术,语言和资源。在PHP程序中对文件名的不当控制(“ PHP远程文件包含”)- (98)
PHP应用程序从上游组件接收输入,但在使用“ require”,“ include”或类似功能之前,它不会限制或错误地限制输入。远程文件包括RFI本地文件包含
类别 - 包含共享共同特征的其他条目的CWE条目。2010 TOP 25-组件之间的不安全互动- (801)
该类别中的弱点在2010 CWE/SANS前25个编程错误的“组件之间的不安全相互作用”部分中列出。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。产生包含敏感信息的错误消息- (209)
该软件生成了一个错误消息,其中包含有关其环境,用户或相关数据的敏感信息。
 复合材料 - 一个由两个或更多不同的弱点组成的复合元素,其中所有弱点必须同时存在,以便出现潜在的脆弱性。消除任何弱点都消除或大幅降低了风险。一个弱点x可以被“分解”成y和z的组分弱点。在某些情况下,一个弱点对于复合材料可能不是必不可少的,但是当复合材料变成脆弱性时,它会改变其性质。跨站点伪造(CSRF)- (352)
Web应用程序没有或无法充分验证提交请求的用户有意提供了形成良好,有效,一致的请求。会议骑行跨站点参考伪造XSRF
班级 - 以非常抽象的方式描述的弱点,通常与任何特定的语言或技术无关。比支柱弱点更具体,但比基本弱点更一般。班级弱点通常用以下维度的1或2来描述问题:行为,属性和资源。同时使用共享资源的同步执行不当(“种族条件”)- (362)
该程序包含一个可以与其他代码同时运行的代码序列,并且代码序列需要临时,独家访问共享资源,但是存在一个计时窗口,其中共享资源可以通过同时操作的另一个代码序列修改共享资源。
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。不受限制地上传危险类型的文件- (434)
该软件允许攻击者上传或传输可以在产品环境中自动处理的危险类型的文件。无限制的文件上传
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。URL重定向到不信任站点(“开放重定向”)- (601)
Web应用程序接受用户控制的输入,该输入指定指向外部站点的链接,并在重定向中使用该链接。这简化了网络钓鱼攻击。打开重定向跨站点重定向跨域重定向
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。OS命令中使用的特殊元素的中和不当(“ OS命令注入”)- (78)
该软件使用来自上游组件的外部影响的输入构建全部或部分OS命令,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的OS命令。壳注射壳化元
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。网页生成期间输入的中和不当(“跨站点脚本”)- (79)
该软件不会将用户控制输入放入输出之前,不会中和或错误地中和用作用于其他用户的网页的输出。XSSHTML注射CSS
基础 - 仍然主要独立于资源或技术的弱点,但有足够的细节来提供特定的检测和预防方法。基本水平的弱点通常用以下维度的2或3来描述问题:行为,财产,技术,语言和资源。SQL命令中使用的特殊元素的中和不当('SQL注入')- (89)
该软件使用来自上游组件的外部影响的输入构建SQL命令的全部或一部分,但是它不会中和或错误地中和特殊元素,这些元素可能会在将其发送到下游组件时可以修改预期的SQL命令。
参考查看指标内容历史记录
提供更多信息 - 请选择其他过滤器。
|
||||||||||||||||||||||||||||||||||||||
