CWE观点:OWASP的弱点十大(2013)
 客观的观众的关系
下面的图显示了树状之间的关系在不同级别的抽象上存在的弱点。在最高的层次上,类别和支柱存在弱点。类别(不是技术上的缺点)是特殊CWE条目用于集团弱点,共享一个共同的特点。柱子是描述的弱点在最抽象的时尚。下面这些顶级条目的弱点是不同程度的抽象。类仍然非常抽象,通常独立于任何特定的语言或技术。基础水平的弱点是用来提供一个更具体的类型的弱点。变量是一个弱点,在很低的水平的细节,描述通常局限于一个特定的语言或技术。链是一系列的缺点,必须可以连续产生可利用的漏洞。而复合的缺点是一组必须同时在场,以产生一个可利用的漏洞。
显示详细信息:
928 -弱点OWASP十大(2013)
 类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A1 -注射- (929)
这一类的弱点有关A1 2013年OWASP十大类别。
 类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和下游组件使用的特殊元素的输出(注射)- (74)
产品结构的全部或部分命令,数据结构,或记录使用externally-influenced输入从一个上游组件,但是它不中和或错误中和特殊元素,可以修改它是如何解析或解释当它发送到下游组件。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不当中和一个命令中使用的特殊元素(“命令注入”)- (77)
产品结构的全部或部分命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时可以修改预定的命令发送到下游组件。
 Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和一个命令的参数分隔符(“参数注入”)- (88)
产品构造一个字符串的命令来执行一个单独的组件在另一个控制范围,但这并不正确划定目标参数,选项,或者开关命令字符串中。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个SQL命令(SQL注入)- (89)
产品构造SQL命令的所有或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改SQL命令发送到下游组件。
 变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。SQL注入:冬眠- (564)
使用Hibernate执行动态SQL语句由用户控制输入允许攻击者可以修改语句的含义或执行任意SQL命令。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在LDAP查询(LDAP注入)- (90)
LDAP查询的产品结构全部或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改预定的LDAP查询发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML注入(又名XPath盲注)- (91)
产品不正确中和特殊元素中使用XML,允许攻击者修改语法,内容,或命令的XML处理结束之前系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和数据在XPath表达式(XPath注入)- (643)
产品使用外部输入动态地构建一个XPath表达式用于检索数据从XML数据库,但它不中和或输入错误中和。这允许攻击者控制的结构查询。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和在XQuery表达式的数据(“XQuery注入”)- (652)
产品使用外部输入动态地构建一个XQuery表达式用于检索数据从XML数据库,但它不中和或输入错误中和。这允许攻击者控制的结构查询。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A2 -破碎的认证和会话管理- (930)
这一类的弱点有关A2 2013年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储密码- (256)
在明文存储密码可能导致系统妥协。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的身份验证- (287)
当一个演员宣称已经给定的身份,产品不能证明或不够证明这种说法是正确的。认证AuthNAuthC
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
 组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。会话固定- (384)
一个用户进行身份验证,或建立一个新的用户会话,无效任何现有的会话标识符给攻击者窃取身份验证会话的机会。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。保护不足的凭证- (522)
产品传送或存储身份验证凭证,但它使用一个不安全的方法容易受到非法拦截和/或检索。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的运输凭证- (523)
登录页面不使用足够的措施,保护用户名和密码,而他们是在运输过程中从客户端到服务器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。会话过期不足- (613)
根据WASC,“会话过期不足是当一个网站允许攻击者重用旧会话凭证或会话id进行授权。”
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经证实的密码更改- (620)
当设置一个新密码的用户,产品不需要知识的原始密码,或使用另一种形式的身份验证。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码恢复机制忘记密码- (640)
产品包含一个机制为用户恢复或更改密码不知道原始密码,但机制薄弱。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A3 -跨站点脚本(XSS)- (931)
这一类的弱点有关A3在2013年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当输入在Web页面生成(“跨站点脚本编制”)- (79)
产品不中和或错误中和用户可控输入之前放在输出作为web页面使用的其他用户。XSSHTML注入CSS
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A4 -不安全的直接对象引用- (932)
这一类的弱点有关A4在2013年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制限制目录的路径名(“路径遍历”)(22)
产品使用外部输入来构造一个路径名,目的是为了辨别一个文件或目录,坐落在父目录的限制,但是产品不正确路径名中的中和特殊元素可以导致路径名来解决限制目录以外的位置。目录遍历路径遍历
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不恰当的控制资源标识符(“资源注入”)- (99)
产品从一个上游组件接收输入,但这并不限制或者错误地限制输入前用作标识符以外的资源可能有意的控制范围。不安全的直接对象引用
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制的关键- (639)
系统的授权功能不防止一个用户获得另一个用户的数据或记录通过修改键值标识数据。不安全的直接对象引用/ IDOR破碎的对象级别授权/流星锤水平的授权
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用Incorrectly-Resolved名称或引用- (706)
产品使用一个名称或引用来访问资源,但名称/引用解析为一个资源预定的控制范围之外。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A5 -安全错误配置- (933)
这一类的弱点有关A5在2013年OWASP十大类别。
类别——CWE条目包含一组其他条目,共享一个共同的特点。7 pk -环境(2)
这类代表一个门的七个致命的王国脆弱性分类。它包括弱点通常期间推出的意想不到的环境条件。根据作者的七个致命的王国,“本节包括之外的所有源代码,但仍然是重要的安全产品。因为本王国的问题不是直接相关的源代码,我们分开的王国。”
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入调试代码- (215)
产品将敏感信息插入调试代码,这可能会暴露这些信息如果调试代码没有在生产中禁用。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。暴露的信息通过目录清单- (548)
不当公开目录清单,产生潜在的攻击者的敏感信息。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A6 -暴露敏感数据- (934)
这一类的弱点有关A6在2013年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。失踪的敏感数据的加密- (311)
产品不加密敏感或关键信息在存储或传输之前。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储的敏感信息- (312)
内的产品在明文存储敏感信息资源可能会访问另一个控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码步骤- (325)
产品没有实现密码算法所需的步骤,导致弱加密算法比广告。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。加密的强度不够- (326)
产品存储或传送敏感数据使用一个加密方案理论上是合理的,但并不足够强大保护所需的水平。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。使用损坏或危险的密码算法- (327)
产品使用损坏或危险的密码算法或协议。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用弱散列- (328)
产品使用一个算法产生一个消化(产值),不符合安全预期一个哈希函数,允许敌人合理确定原始输入(原象攻击),找到另一个输入,可以产生相同的散列(2前象攻击),或发现多个输入值相同的散列(生日攻击)。
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A7 -失踪函数级别的访问控制- (935)
这一类的弱点有关A7在2013年OWASP十大类别。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。不适当的授权- (285)
产品不执行或不正确执行授权检查当演员试图访问资源或执行一个动作。AuthZ
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP十大2013类别A8 -跨站点请求伪造(CSRF)- (936)
这一类的弱点有关A8在2013年OWASP十大类别。
组合——一个复合元素包含两个或两个以上不同的弱点,所有弱点必须出现在同一时间为了一个潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z可以有弱点在哪些情况下可能不是必要的复合,但复合的性质变化时变成了弱点。跨站请求伪造(CSRF)- (352)
web应用程序不会或不能充分验证是否格式良好的,有效的,一致的请求是故意提供的用户提交请求。会话控制跨站参考伪造XSRF
类别——CWE条目包含一组其他条目,共享一个共同的特点。OWASP 2013年十大类别A10——用户重定向和转发- (938)
这一类的弱点有关A10 2013年OWASP十大类别。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。URL重定向不可信的网站(“开放重定向”)- (601)
一个web应用程序接受用户输入指定外部网站的链接,并使用该链接重定向。这简化了网络钓鱼攻击。开放的重定向跨站点重定向跨域重定向
笔记引用查看指标内容的历史
更多的信息是可用的,请选择一个不同的过滤器。
|
||||||||||||||||||||||||||||||||||||||
