CWE观点:解决的弱点CERT甲骨文Java安全编码标准(2011)
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
844 - CERT甲骨文安全弱点解决的Java编码标准(2011)
 类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第二章-输入验证和数据卫生处理(IDS)- (845)
弱点这类规则输入验证和数据相关卫生处理(IDS)章的CERT甲骨文Java安全编码标准(2011)。
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的编码或逃避的输出- (116)
产品准备一个结构化的信息沟通与另一个组件,但编码或逃避的数据丢失或错误地完成。因此,是不会保留消息的预期结构。输出卫生处理输出验证输出编码
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制的格式字符串- (134)
产品使用一个函数,它接受一个格式字符串作为参数,但格式字符串来自外部源。
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当行分隔符- (144)
产品从一个上游组件接收输入,但它不中和或错误中和特殊元素,可以解释为行分隔符时发送到下游组件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。中和不当逃脱、元或控制序列- (150)
产品从一个上游组件接收输入,但它不中和或错误中和特殊元素,可以被解释为逃避,元,或控制字符序列当他们被发送到一个下游组件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的行为顺序:规范化之前验证- (180)
产品验证输入之前规范化,防止产品检测数据规范化步骤后变得无效。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据崩溃到不安全的价值- (182)
产品过滤数据的方式,它会减少或者“倒塌”到一个不安全的价值,违背了预期的安全属性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过通过替代名称- (289)
产品执行身份验证基于被访问资源的名称,或执行访问的演员的名字,但这并不正确检查所有可能的资源名称或演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的高度压缩的数据(数据放大)- (409)
产品不能处理或不正确处理输入和非常高的压缩比的压缩,产生巨大的产出。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。宽容的正则表达式- (625)
产品使用一个正则表达式不充分限制允许的值的集合。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用非规范的URL路径进行授权决策- (647)
产品名称空间定义政策,使基于假设一个URL授权决策规范化。这可以让一个非规范URL绕过授权。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的编码输出环境- (838)
产品使用或指定一个编码在生成输出到下游组件,但指定的编码是不一样的编码所预期的下游组件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第3章-声明和初始化(DCL)- (846)
弱点这类相关规则的声明和初始化(DCL)章CERT甲骨文Java安全编码标准(2011)。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的初始化- (665)
产品不初始化或不正确地初始化一个资源,这可能会让资源在一个意想不到的状态时访问或使用。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第4章-表达式(EXP)- (847)
弱点在这一类相关规则的表达式(EXP)章CERT甲骨文安全Java编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不返回值- (252)
产品不会检查方法或函数返回值,可以防止检测意想不到的状态和条件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。信号处理器使用不可重入函数- (479)
产品定义了一个信号处理程序,调用一个不可重入函数。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。比较对象引用,而不是对象的内容- (595)
产品比较对象引用,而不是对象本身的内容,防止检测对象。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用错误的操作符的字符串比较- (597)
产品使用错误的操作符比较字符串时,比如使用“= =”当.equals()方法应该使用。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第五章-数值类型和操作(NUM)- (848)
弱点这类规则的相关数值类型和操作(NUM)章的CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数字截断误差- (197)
截断误差发生当一个原始的小一号的原始和转换数据丢失。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。除以零- (369)
这个产品值除以零。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的数值类型之间的转换- (681)
当从一个数据类型转换到另一个,比如长整数,数据可以省略或翻译的方式产生意想不到的价值。如果使用生成的值在一个敏感的情况下,就可能发生危险的行为。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第六章-面向对象(OBJ)- (849)
弱点在这一类相关规则的面向对象(OBJ)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。将可变对象传递给一个不可信的方法- (374)
产品发送似乎与可变数据作为参数一个方法或函数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回一个可变对象,一个不受信任的调用者- (375)
发送似乎与可变数据的返回值可能会导致调用函数被修改或删除的数据。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。比较的类的名字- (486)
产品比较类的名字,它会导致多个类时使用了错误的类可以有相同的名称。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有最后的公众可克隆()方法(“对象劫持”)- (491)
一个类有一个可克隆()方法并不是宣布决赛,它允许不调用构造函数创建一个对象。这可能会导致意外状态的对象。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用内部类包含敏感数据- (492)
内部类是翻译成类,可在计划范围和可能公开代码,程序员为了保持私人攻击者。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。关键的公共变量没有最后的修饰符- (493)
产品有一个关键性的公共变量,不是最后的,要修改的变量可以包含意想不到的价值。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可克隆类包含敏感信息- (498)
敏感数据的代码包含一个类,类是可克隆。克隆可以访问的数据类。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。公共静态字段不是决赛- (500)
一个对象包含一个公共静态字段,不是决赛,这可能允许它被修改以意想不到的方式。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。数组声明公开,最终和静态的- (582)
产品声明一个数组,决赛,和静态,不足以防止数组的内容修改。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。关键数据元素声明- (766)
产品声明一个关键变量、字段或成员时公共安全政策要求它是私有的。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT Oracle安全编码标准的Java(2011)第七章-方法(遇到)- (850)
弱点这类相关规则的方法(遇到)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖包级别范围- (487)
Java包本身是不封闭;因此,依靠他们对代码安全并不是一个好的做法。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有super.finalize finalize()方法()- (568)
产品包含finalize()方法不叫super.finalize ()。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当的规范由调用者- (573)
产品不遵循或不正确遵循规范的实现语言的要求,环境,框架,协议,或平台。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。违反对象模型:定义Equals和Hashcode之一- (581)
产品不维护平等hashcode平等对象。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。宣布公共finalize()方法- (583)
移动产品违反安全编码原则,宣布finalize()方法的公共代码。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。显式的调用Finalize ()- (586)
产品是一个显式的调用finalize()方法从外面终结器。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。调用Non-ubiquitous API- (589)
不存在的产品使用API函数在所有版本的目标平台。这可能导致可移植性问题或矛盾,使拒绝服务或其他后果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可以断言- (617)
产品包含一个assert()或类似的语句,可以由攻击者,从而导致应用程序退出或其他不必要的行为更严重。断言失败
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第八章-异常行为(ERR)- (851)
弱点在这一类相关规则的特殊行为(ERR)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。缺失值的处理不当- (230)
产品不能处理或不正确处理参数时,字段,或指定参数名称,但相关的价值缺失,即它是空的,一片空白,或null。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。未定义的值的处理不当- (232)
产品不能处理或不正确处理当值没有定义或支持相关的参数,字段,或参数名称。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未捕获异常- (248)
从一个函数抛出异常,但这并不是她的老公知道。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。J2EE坏实践:使用system . exit ()- (382)
J2EE应用程序使用system . exit(),它也关闭容器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有行动检测错误条件- (390)
产品检测到一个特定的错误,但没有行动来处理错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的NullPointerException捕获检测空指针- (395)
捕捉NullPointerException不应使用替代编程检查以防止非关联化一个空指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。声明抛出的一般例外- (397)
抛出过于广泛的异常促进复杂的错误处理代码,更有可能包含安全漏洞。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。清理不当抛出异常- (460)
产品不清理它的状态或不正确清理其状态时将抛出一个异常,导致意想不到的状态或控制流。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接触敏感的系统信息未经授权的控制范围- (497)
产品不妥善防止敏感系统级信息不被未经授权的访问演员没有相同级别的访问底层系统的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回在Finally块- (584)
代码的返回语句在finally块中,这将导致任何抛出异常在try块被丢弃。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在Servlet异常- (600)
Servlet不能捕获所有异常,这可能显示敏感的调试信息。失踪的Catch块
 链——一个复合元素是一个序列的两个或两个以上的独立的缺点,可以在软件中紧密联系在一起。一个弱点,X,可以直接创建所必需的条件导致另一个弱点,Y,进入一个脆弱的状态。,当这一切发生的时候,CWE指X作为“主”Y, Y是“合成”X连锁可能涉及两个以上缺点,在某些情况下,他们可能有一个树状结构。检查返回值为NULL指针- (690)
产品后不检查错误调用函数可以返回一个空指针如果函数失败,导致合成NULL指针。
 支柱——一个弱点是最抽象类型的弱点和代表一个主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。检查或不当处理异常情况- (703)
产品不正确地预见和处理异常情况很少发生在产品的正常运行。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的控制流范围- (705)
产品不正常控制流返回到正确的位置后,完成了一个任务或发现一个不寻常的条件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第9章-可见性和原子性(VNA)- (852)
弱点这类规则相关的可见性和原子性(VNA)章CERT甲骨文Java安全编码标准(2011)。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用共享资源与不当同步并发执行(“竞争条件”)- (362)
产品包含一个代码序列,可以同时运行其他代码,和代码序列需要临时,独家访问共享资源,但存在一个时间窗口的共享资源可以被另一个代码序列是修改并发操作。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在一个线程竞争条件- (366)
如果两个线程同时执行的使用资源,存在资源可以使用而无效的可能性,进而使执行未定义的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的资源锁定- (413)
产品不锁或不正确锁资源时,产品必须具有独占访问的资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。同步多线程访问共享数据上下文- (567)
产品不正确同步共享数据,如跨线程的静态变量,从而导致未定义行为和不可预知的数据变化。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不同步- (662)
该产品利用多个线程或进程允许临时访问共享资源,只能独享一个过程,但这并不正确同步这些动作,这可能导致由多个线程同时访问这个资源或流程。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的锁定- (667)
产品不正确获取或释放资源的锁,导致意想不到的资源状态和行为变化。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第十章-锁定(LCK)- (853)
弱点在这一类相关规则的锁定(LCK)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制的外部访问的锁- (412)
产品正确检查锁的存在,但锁可以外部控制或影响演员以外的目的的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的资源锁定- (413)
产品不锁或不正确锁资源时,产品必须具有独占访问的资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。双重检查锁定- (609)
产品使用双重检查锁定访问资源没有显式同步的开销,但是锁是不够的。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的锁定- (667)
产品不正确获取或释放资源的锁,导致意想不到的资源状态和行为变化。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的同步- (820)
产品利用共享资源以并行的方式,但不尝试同步访问资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。死锁- (833)
产品包含多个线程或可执行的部分,正在等待对方释放必要的锁,导致死锁。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第11章-线程api (THI)- (854)
弱点这类规则相关的线程api (THI)章CERT甲骨文Java安全编码标准(2011)。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。调用线程运行()而不是开始()- (572)
产品调用线程的运行()方法,而不是调用start(),导致在调用者的线程运行的代码而不是被调用的函数。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的控制流范围- (705)
产品不正常控制流返回到正确的位置后,完成了一个任务或发现一个不寻常的条件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第十二章-线程池(TPS)- (855)
弱点这类规则相关的线程池(TPS)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的报告错误条件- (392)
产品遇到错误但不提供一个状态码或返回值,表明发生了一个错误。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不对称的资源消耗(放大)- (405)
产品不适当控制敌人的情况下可以导致产品消耗或生产过度资源不需要敌人投资相当于工作或其他证明授权,即。对手的影响是“不对称”。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的资源池- (410)
产品的资源池处理高峰需求不够大,攻击者可以阻止其他人访问资源利用(相对)大量的资源要求。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第十三章-线程安全杂项(TSM)- (856)
弱点这类规则相关的线程安全杂项(TSM)章CERT甲骨文Java安全编码标准(2011)。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第14章-输入输出(FIO)- (857)
弱点在这一类相关规则的输入输出(FIO)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。多字节字符串长度不正确的计算- (135)
产品不正确计算的长度可以包含宽或多字节字符的字符串。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用不正确的字节顺序- (198)
产品从一个上游组件接收输入,但它不占字节顺序(如大端法和低位优先)在处理输入,导致一个不正确的数量或价值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的默认权限- (276)
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的Execution-Assigned权限- (279)
虽然执行,产品集的权限对象的目的在某种程度上违反了权限已经由用户指定。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露私人个人信息未经授权的演员- (359)
产品不正确阻止一个人的私人的,个人信息被访问的演员要么(1)没有明确授权访问信息或(2)没有隐式的同意的人谁收集的信息。隐私的侵犯隐私泄漏隐私泄漏
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不安全的临时文件- (377)
创建和使用不安全的临时文件可以把应用程序和系统数据容易受到攻击。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当关机或释放资源- (404)
产品不释放或错误发布资源前可以重用。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不对称的资源消耗(放大)- (405)
产品不适当控制敌人的情况下可以导致产品消耗或生产过度资源不需要敌人投资相当于工作或其他证明授权,即。对手的影响是“不对称”。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的清理- (459)
产品不正确的“清理”,删除临时或支持资源后使用。清理不足
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入日志文件- (532)
信息写入日志文件可以是一个敏感的天性,给攻击者或有价值的指导用户暴露敏感信息。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。处理不当的Windows设备名称- (67)
产品结构从用户输入路径名,但它不能处理或不正确地处理包含Windows设备名称,如辅助路径名或场骗局通常会导致拒绝服务或信息暴露当应用程序试图处理作为一个常规文件路径名。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第十五章-序列化(SER)- (858)
弱点在这一类相关规则的序列化(SER)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。执行与不必要的特权- (250)
产品执行一个操作在一个特权级别高于所需的最低水平,这创造了新的弱点或者其他弱点放大的后果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不受控制的资源消耗- (400)
产品不适当控制的分配和维护一个有限的资源,从而使一个演员来影响资源消耗的数量,最终导致可用资源的枯竭。资源枯竭
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可序列化的类包含敏感数据- (499)
敏感数据的代码包含一个类,但没有明确否认序列化的类。数据可以通过序列化的类访问另一个类。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反序列化的数据不可信- (502)
产品反序列化不可信数据不充分验证结果数据将是有效的。打包,包酸洗,unpicklePHP对象注入
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。调用Non-ubiquitous API- (589)
不存在的产品使用API函数在所有版本的目标平台。这可能导致可移植性问题或矛盾,使拒绝服务或其他后果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第十六章-平台安全(SEC)- (859)
的弱点这一类相关平台安全规则(SEC)章CERT甲骨文Java安全编码标准(2011)。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。直接使用不安全的JNI- (111)
当Java应用程序使用Java Native Interface (JNI)来调用代码写在另一个编程语言,它可以使应用程序代码中的弱点,即使这些弱点不能发生在Java。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的权限分配- (266)
产品错误地分配一个特权到一个特定的演员,为参与者创造一个意想不到的的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。最小特权违反- (272)
执行操作所需的高特权级别如chroot()执行手术后应立即下降。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。通道由Non-Endpoint访问- (300)
产品不充分验证的身份演员通信通道的两端,或不充分保证通道的完整性,在某种程度上允许访问通道或受到演员不是一个端点。Adversary-in-the-Middle / AITM中间人/ MITMPerson-in-the-Middle / PITMMonkey-in-the-MiddleMonster-in-the-Middle路径有关攻击拦截攻击
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过Assumed-Immutable数据- (302)
身份验证方案或实现使用关键数据元素被认为是不可变的,但是可以被攻击者控制或修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证加密的签名- (347)
产品不验证,或不正确的验证,数据加密签名。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制输入选择类或代码(“不安全的反思”)- (470)
产品使用外部输入和反射来选择使用哪个类或代码,但这并不足够防止输入选择不当或代码的类。反射注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。下载的代码没有完整性检查- (494)
产品下载源代码或从远程位置和执行一个可执行的代码没有充分验证代码的来源和完整性。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖不可信的输入在一个安全的决定- (807)
产品使用一个保护机制,依赖于存在或输入的值,但一个不可信的输入可以修改演员的方式绕过了保护机制。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011年)第十七章-运行时环境(ENV)- (860)
弱点这类规则相关的运行时环境(ENV)章CERT甲骨文Java安全编码标准(2011)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接受外来的不可信的数据和可信的数据- (349)
产品,当处理可信的数据,接受任何不可信的数据与可信的数据,还包括治疗不可信的数据,就好像它是可信的。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不正确的权限分配的关键资源- (732)
重要的产品指定权限安全资源的方式允许读取或修改资源意想不到的演员。
类别——CWE条目包含一组其他条目,共享一个共同的特点。CERT甲骨文安全Java编码标准(2011)第18章-杂项(MSC)- (861)
弱点在这一类相关规则的杂项(MSC)章CERT甲骨文Java安全编码标准(2011)。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用硬编码的密码- (259)
产品包含一个硬编码的密码,它使用的入站出站通信的身份验证或外部组件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用随机值不足- (330)
产品使用随机数或不足值的安全上下文依赖于不可预测的数字。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。熵在PRNG不足- (332)
缺乏可用的熵,或使用的伪随机数发生器(PRNG)可以是一个稳定和安全的威胁。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。处理不当的熵在TRNG不足- (333)
真正的随机数生成器(TRNG)通常有一个有限的熵和因此可能会失败或块。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。相同的伪随机数生成器的种子(PRNG)- (336)
一个伪随机数发生器(PRNG)每次使用相同的种子产品初始化。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。可预测的伪随机数生成器的种子(PRNG)- (337)
初始化一个伪随机数发生器(PRNG)在一个可预见的种子,如进程ID或系统时间。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不受控制的资源消耗- (400)
产品不适当控制的分配和维护一个有限的资源,从而使一个演员来影响资源消耗的数量,最终导致可用资源的枯竭。资源枯竭
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。失踪之后释放内存有效寿命- (401)
产品没有足够的跟踪和释放分配的内存后,慢慢消耗剩余的内存。内存泄漏
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。使用单例模式没有同步在多线程环境中- (543)
产品使用了单例模式在多线程环境中创建资源时。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)
产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
|||||||||||||||||||||||||||||||||||||||||
