类别——CWE条目包含一组其他条目,共享一个共同的特点。API /功能错误- (1228)
这一类的弱点有关内置函数或外部api的使用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。固有的危险函数的使用- (242)
产品调用一个函数,它不能保证工作安全。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的功能不一致的实现- (474)
的代码使用一个函数实现跨操作系统和版本不一致。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未定义的行为的输入API- (475)
这个函数的行为是未定义的,除非其控制参数设置为一个特定的值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用过时的功能- (477)
代码使用过时或陈旧的函数,这意味着没有得到积极检查或维护的代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。潜在的危险函数的使用- (676)
产品调用一个有潜在危险的函数,可以引入一个漏洞,如果使用不正确,但是函数也可以安全使用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用低级的功能- (695)
产品使用低级功能的框架或规范所明确禁止的产品应该操作。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露危险的方法或函数- (749)
产品提供了一个应用程序编程接口(API)或类似的界面交互与外部演员,但接口包括一个危险的方法或函数,不适当的限制。
类别——CWE条目包含一组其他条目,共享一个共同的特点。审计/日志记录错误- (1210)
这一类的弱点audit-based组件相关的软件系统。经常这些处理日志记录用户活动为了识别系统不受欢迎的访问和修改。这个类别中的弱点可能导致退化的质量审计能力如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的输出中和日志- (117)
产品不消除或中和错误输出写入日志。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。截断的安全相关的信息- (222)
产品截断显示、记录或处理的安全相关信息的方式可以掩盖攻击的源或性质。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。安全相关信息的遗漏- (223)
产品没有记录或显示信息是重要的识别攻击的源或性质,或确定一个行动是安全的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。模糊的安全相关的信息替代名称- (224)
产品记录的安全相关的信息根据受影响的另一个名称的实体,而不是规范的名称。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的日志- (778)
强调安全事件发生时,产品没有记录的事件或省略了重要细节事件日志的时候。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过多的数据的日志- (779)
产品日志太多信息,使日志文件很难过程并可能阻碍后恢复工作或法医分析攻击。
类别——CWE条目包含一组其他条目,共享一个共同的特点。身份验证错误- (1211)
这一类的弱点有关认证组件的系统。经常这些处理验证一个实体的能力确实是那自称是谁。如果不解决在设计或实施一个软件系统,这些弱点可能导致退化的质量认证功能。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过通过替代名称- (289)
产品执行身份验证基于被访问资源的名称,或执行访问的演员的名字,但这并不正确检查所有可能的资源名称或演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过被欺骗- (290)
这attack-focused的缺点是由于错误地实现身份验证方案,受到欺骗攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过被捕获——重放- (294)
捕获——重放缺陷存在时,产品的设计使恶意用户嗅探网络流量,绕过身份验证通过重放服务器的问题同样的效果与原始消息(或微小的改动)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不适当的证书验证- (295)
产品不验证,或不正确的验证,一个证书。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反射攻击在身份验证协议- (301)
简单身份验证协议受到反射攻击如果恶意用户可以使用目标机器来模仿一个可信用户。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的身份验证算法的实现- (303)
产品规定的要求使用一个确定身份验证算法,但算法的实现是不正确的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。认证绕过的主要弱点- (305)
身份验证算法是合理的,但实现的机制可以作为一个单独的结果绕过弱点主要的验证错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的身份验证的重要功能- (306)
产品不执行任何身份验证功能,需要一个可证明的用户标识或消耗了大量的资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制过度的身份验证- (307)
产品没有实现足够的措施来防止多个身份验证尝试失败在短时间内,使它更容易受到暴力攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用单因素身份验证- (308)
使用单因素身份验证可以导致不必要的妥协的风险相比,一个指定的身份验证方案的好处。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用基本身份验证密码系统- (309)
使用的密码系统,身份验证的主要方式可能会受到一些缺陷或不足,每减少机制的有效性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有实体认证密钥交换- (322)
产品执行密钥交换有一个演员没有验证,演员的身份。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用客户端身份验证- (603)
客户机/服务器产品在客户端代码执行身份验证,而不是在服务器代码,允许服务器端身份验证通过修改客户端,省略了绕过身份验证检查。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过分严格的帐户锁定机制- (645)
产品包含一个帐户锁定保护机制,但这种机制过于严格,可以很容易触发,它允许攻击者拒绝服务合法用户,导致他们的账户被锁定了。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可推测的验证码- (804)
产品使用验证码的挑战,但挑战可以猜测或自动被非人的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用密码散列,而不是密码进行身份验证- (836)
产品记录密码散列在一个数据存储,从客户端接收的散列密码,并比较所提供的哈希散列得到的数据存储。
类别——CWE条目包含一组其他条目,共享一个共同的特点。授权错误- (1212)
这一类的弱点与授权系统的组件。经常这些处理的能力执行代理所需的权限之前执行某些操作,如修改数据。如果不解决设计或实现软件系统时,这些缺陷可能会导致授权的质量能力的退化。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。直接请求(“强迫浏览”)- (425)
web应用程序不充分执行适当的授权限制的url,脚本,或文件。强迫浏览
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的行为秩序:授权之前解析和规范化- (551)
如果web服务器不完全解析请求的url之前,检查授权,可以对攻击者绕过授权保护。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。文件或目录访问外部各方- (552)
产品使文件或目录访问未经授权的演员,虽然他们不应该。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制的关键- (639)
系统的授权功能不防止一个用户获得另一个用户的数据或记录通过修改键值标识数据。不安全的直接对象引用/ IDOR破碎的对象级别授权/流星锤水平的授权
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。隔离不当或划分- (653)
产品不正确划分或隔离功能,流程,需要不同的特权级别或资源,权利,或权限。分离的特权
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不适当的授权方案在处理程序定义URL- (939)
产品使用处理程序为一个自定义的URL方案,但它不适当限制演员可以调用处理程序的使用方案。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。用户到不正确的组的位置- (842)
产品或管理员用户进入一个不正确的组。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的粒度的访问控制- (1220)
产品实现访问控制通过政策或其他特征与有意禁用或限制访问(读和/或写)资产在系统不可信的代理。然而,实现访问控制缺乏所需的粒度,使得控制策略过于广泛,因为它允许从未经授权的代理访问安全敏感的资产。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露敏感信息的元数据- (1230)
产品防止直接访问资源包含敏感信息,但这并不足以限制访问元数据来源于原始,敏感信息。
类别——CWE条目包含一组其他条目,共享一个共同的特点。糟糕的编码实践- (1006)
弱点这类相关的编码实践被认为不安全,增加可利用的漏洞的机会将会出现在应用程序。这些弱点并不直接引入一个弱点,但表明,产品没有精心开发或维护。如果一个程序很复杂,难于维护,不方便携带,或显示忽视的证据,然后有一个弱点是埋在代码的可能性更高。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当实施安全检查标准- (358)
产品没有实现或不正确实现一个或多个安全相关的检查按照标准化的设计算法,协议,或技术。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。系统事件数据的信任- (360)
基于事件的安全位置是不安全的,可以欺骗。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的默认情况下在多个条件表达式- (478)
代码表达式中没有一个默认情况下使用多个条件,比如一个switch语句。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖包级别范围- (487)
Java包本身是不封闭;因此,依靠他们对代码安全并不是一个好的做法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。积极的调试代码- (489)
产品部署与调试代码仍然启用或未经授权的演员活跃,可以创造出意想不到的入口点或暴露敏感信息。剩下的调试代码
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码、安全相关的常数- (547)
产品使用硬编码的常量代替符号名称强调安全的值,这就增加了错误在代码维护或安全政策变化的可能性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。死代码- (561)
产品包含死代码,无法执行。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回堆栈变量的地址- (562)
一个函数返回一个堆栈变量的地址,这将导致意想不到的程序行为,通常的形式崩溃。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。赋值变量而不使用- (563)
变量的值被分配,但不会使用,使它一个死去的商店。未使用的变量
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。违反对象模型:定义Equals和Hashcode之一- (581)
产品不维护平等hashcode平等对象。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。显式的调用Finalize ()- (586)
产品是一个显式的调用finalize()方法从外面终结器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。多个绑定到相同的端口- (605)
当多个套接字可以绑定到相同的端口,其他服务端口可能被盗或欺骗。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。函数调用与指定参数不正确- (628)
产品调用一个函数,程序,或常规参数不正确地指定,导致always-incorrect行为和合成的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖单一因素在一个安全的决定- (654)
建立专门保护机制,或在很大程度上,一个条件的评价或单个对象或实体的完整性,使决定授予访问受限的资源或功能。分离的特权
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。通过模糊的安全的依赖- (656)
产品使用一个实力在很大程度上依赖于其默默无闻的保护机制,这样知识的算法或关键数据足以击败机制。不要假设你的秘密是安全的
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。与重复使用多个资源标识符- (694)
产品使用多个资源,可以有相同的标识符,需要在一个上下文惟一标识符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖不可信的输入在一个安全的决定- (807)
产品使用一个保护机制,依赖于存在或输入的值,但一个不可信的输入可以修改演员的方式绕过了保护机制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用冗余代码- (1041)
该产品具有多种功能、方法、程序、宏等等,包含相同的代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。销售数据元素聚合过于大量的元素- (1043)
产品使用一个数据元素,有一个特别大的数的子元素与结构或聚合等非基本数据类型对象。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。体系结构与预期范围以外的水平层的数量- (1044)
产品的架构包含太多或太少,水平层。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。与虚拟析构函数和子类父类没有虚析构函数- (1045)
父类有一个虚析构函数方法,但父母有一个孩子没有虚拟析构函数的类。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用字符串连接创建不可变的文本- (1046)
产品使用字符串连接操作创建一个不可变的文本字符串。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件的大量外部调用- (1048)
代码包含调用控制元素包含一个特别大的数对其他应用程序对象的引用外部调用的上下文,即过度大扇出价值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过多的数据查询操作在一个大数据表- (1049)
产品执行数据查询与大量的连接和大数据表子查询。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。一个循环内过度平台资源消耗- (1050)
产品有一个循环体或循环条件,包含一个控制元件,直接或间接地消耗平台资源,例如消息传递、会话、锁,或文件描述符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。静态代码块内创建类实例- (1063)
静态代码块创建一个类的实例。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。运行时资源管理控制元件在一个组件应用服务器上运行- (1065)
从应用服务器产品使用部署组件,但是它还使用低级函数/方法管理的资源,而不是应用服务器提供的API。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的序列化控制元件- (1066)
产品包含一个可序列化的数据元素,没有一个相关的序列化方法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度的执行顺序搜索的数据资源- (1067)
产品包含一个数据查询SQL表或视图配置的方式不使用索引,可能导致执行顺序搜索。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可序列化的数据元素包含non-Serializable项元素- (1070)
产品包含一个可序列化的,可储存的数据元素,如字段或成员,但是数据元素包含成员元素没有可序列化的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。空的代码块- (1071)
源代码包含一个块,不包含任何代码,即。块是空的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据资源访问,而不使用连接池- (1072)
产品通过一个数据库访问数据资源不使用连接池功能。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。非sql调用控制元件过多的数据资源访问- (1073)
产品包含一个客户端与一个函数或方法,包含大量的数据访问/通过数据管理器发送查询,即。不使用高效的数据库功能。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。父类没有虚析构函数的方法- (1079)
一个父类包含一个或多个子类,但父类没有虚析构函数的方法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。自我破坏控制元件类实例- (1082)
代码包含一个类实例,调用方法或函数删除或销毁。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件与过度的文件或数据访问操作- (1084)
一个函数或方法包含太多的操作,利用数据管理器或文件资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件与过度的注释掉的代码- (1085)
函数、方法、过程等含有过量的代码被注释掉了它的身体内。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有一个虚拟析构函数类和虚拟方法- (1087)
一个类包含一个虚方法,但该方法没有一个相关的虚拟析构函数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。大数据表与过度数量的指标- (1089)
产品使用大数据表,其中包含一个特别大的数的指数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用相同的调用在多个架构层控制元件- (1092)
产品使用相同的跨多个架构层控制元件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度的索引范围扫描数据资源- (1094)
产品包含一个索引范围扫描数据表,但扫描可以覆盖很大的行数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。持久存储数据元素没有关联比较控制元件- (1097)
产品使用一个存储数据元素没有所有必要的相关函数或方法来支持比较。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据元素包含指针项目没有适当的复制控制元件- (1098)
代码包含一个数据元素的指针,没有一个相关的复制或构造函数的方法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。标识符的命名约定不一致- (1099)
产品的代码,文档,或其他工件不一直使用相同的命名惯例为变量,调用,组织相关的调用,I / O功能,数据类型,文件名,或相似类型的元素。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在生成的代码运行时组件的依赖- (1101)
无法执行的产品使用自动生成的代码没有一个特定的运行时支持组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖计算机有关数据表示- (1102)
代码使用一个数据表示,依赖于底层数据表示或结构可能不同在不同的处理器,物理机器,操作系统或其他物理组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。平台相关的第三方组件的使用- (1103)
产品依靠第三方组件,不提供相同的功能在所有理想的平台。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有维护的第三方组件的使用- (1104)
产品依赖于第三方组件不积极支持或维护由原开发人员或一个可信的代理最初的开发人员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用符号常量的不足- (1106)
源代码使用字面常量可能需要改变或随时间而变化,而不是使用符号常量。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。隔离不足的符号常量的定义- (1107)
使用符号常量的源代码,但它没有足够的地方这些常量的定义成一个更集中的或孤立的位置。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度依赖全局变量- (1108)
代码结构化的方式过度依赖于使用或在代码中设置全局变量在不同的点,而不是保留相关信息窄,更多的本地上下文。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用相同的变量有多种用途- (1109)
包含一个可调用的代码,代码块或其他元素的相同的变量是用来控制多个独特的任务或存储数据的多个实例。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的评论风格- (1113)
源代码使用注释样式或格式不一致或不遵循预期标准的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不适当的空格风格- (1114)
源代码包含空格,预计在代码不一致或不遵循标准的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。源代码元素没有标准的开场白- (1115)
源代码包含源文件不一致等元素提供一个序言或头已经标准化的项目。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不准确的评论- (1116)
源代码包含注释,不能准确地描述或解释方面的部分代码相关的评论。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可调用的行为总结不足- (1117)
代码包含一个函数或方法的签名和/或相关的内联文档不充分描述可调用的输入,输出,副作用,假设,或返回代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。声明的变量与不必要的宽范围- (1126)
源代码声明一个变量在一个范围,但变量只是一个狭窄的范围内使用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。编译警告或错误不足- (1127)
代码被编译使没有足够的警告,这可能阻止细微的缺陷或质量问题的检测。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。对性能关键的操作不正确使用自动装箱和拆箱- (1235)
代码使用盒装原语,这可能引入低效率性能关键型操作。
类别——CWE条目包含一组其他条目,共享一个共同的特点。行为问题- (438)
这一类的弱点与意想不到的行为从一个应用程序使用的代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。误解的输入- (115)
产品错误地输入,是否从攻击者或其他产品,安全相关的方式。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的行为秩序:早期验证- (179)
产品验证输入之前应用修改输入的保护机制,这可能允许攻击者绕过验证通过危险的输入,只有修改后出现。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的行为秩序:早期的放大- (408)
产品允许一个实体执行合法但昂贵的操作之前,身份验证或授权。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的端点特性模型- (437)
产品作为媒介或监控两个或多个端点之间,但它并没有一个完整的模型一个端点的特性,行为,或状态,可能导致产品执行不正确的操作基于这个不完整的模型。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在新版本或环境中行为变化- (439)
的行为或功能变化的一个新版本,或一个新的环境,不知道(或管理)的B。功能变化
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预期行为违反- (440)
一个特性、API或函数不执行根据其规范。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不一致的解释HTTP请求(HTTP请求/响应走私的)- (444)
产品作为媒介的HTTP代理(如代理或防火墙)等两个实体之间的数据流的客户机和服务器,但它不解释畸形的HTTP请求和响应的方式符合这些实体将如何处理消息的最终目的地。HTTP请求走私HTTP响应走私HTTP走私
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用不正确的操作符- (480)
产品不小心使用了错误的操作符,它改变了逻辑在安全相关的方面。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的块划定- (483)
代码没有明确划定一块,目的是包含2个或更多的语句,创建一个逻辑错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。省略Break语句在开关- (484)
产品中省略了一个break语句一个开关或类似的构造,导致与之相关的代码执行多个条件。这会产生问题时,程序员只为了执行代码与一个条件有关。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的行为秩序:授权之前解析和规范化- (551)
如果web服务器不完全解析请求的url之前,检查授权,可以对攻击者绕过授权保护。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。后执行重定向(EAR)- (698)
web应用程序发送一个重定向到另一个地点,而是退出,它执行额外的代码。重定向不退出
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。强调安全代码的编译器优化删除或修改- (733)
重要开发人员构建一个安全保护机制的软件,但编译器优化程序的机制被删除或修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。运算符优先级逻辑错误- (783)
产品使用一个表达式的运算符优先级导致使用错误的逻辑。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。循环和遥不可及的退出条件(无限循环)- (835)
产品包含一个迭代或循环的退出条件不能达到,即。,无限循环。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的执行一个独特的行动- (837)
产品要求演员应该只能执行一个动作一次,或只有一个独特的行动,但产品不执行或执行不当这个限制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当行为的执行工作流- (841)
不止一个的产品支持会话行为必须由一个演员表演,但这并不正确确保演员执行所需的行为序列。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。比较使用错误的因素- (1025)
代码执行两个实体之间的比较,但是比较检查错误的因素或特征的实体,这可能导致错误的结果和合成的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理器优化删除或修改重要的安全代码- (1037)
开发人员构建一个强调安全保护机制的软件,但是处理器优化程序的执行这样的机制被删除或修改。
类别——CWE条目包含一组其他条目,共享一个共同的特点。业务逻辑错误- (840)
这一类的弱点识别一些潜在的问题,通常允许攻击者控制应用程序的业务逻辑。错误在整个应用程序业务逻辑可能是毁灭性的。他们可以自动很难找到,因为他们通常涉及合法使用的应用程序的功能。然而,许多业务逻辑错误可以展览模式,类似于易于理解的实现和设计的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经证实的所有权- (283)
产品不正确验证关键资源是由适当的实体。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。授权旁路通过用户控制的关键- (639)
系统的授权功能不防止一个用户获得另一个用户的数据或记录通过修改键值标识数据。不安全的直接对象引用/ IDOR破碎的对象级别授权/流星锤水平的授权
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码恢复机制忘记密码- (640)
产品包含一个机制为用户恢复或更改密码不知道原始密码,但机制薄弱。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的所有权转让- (708)
产品分配资源的所有者,但拥有者是为了控制范围之外的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预期寿命期间过早释放资源- (826)
产品发布资源,还打算使用自己或另一个演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的执行一个独特的行动- (837)
产品要求演员应该只能执行一个动作一次,或只有一个独特的行动,但产品不执行或执行不当这个限制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当行为的执行工作流- (841)
不止一个的产品支持会话行为必须由一个演员表演,但这并不正确确保演员执行所需的行为序列。
类别——CWE条目包含一组其他条目,共享一个共同的特点。通信信道的错误- (417)
这一类的弱点有关处理不当的沟通渠道和访问路径。这些缺点包括问题创建、管理或删除备用通道和备用路径。有些可以虚拟文件重叠问题,常用在“旁路”攻击,比如那些利用身份验证错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有实体认证密钥交换- (322)
产品执行密钥交换有一个演员没有验证,演员的身份。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。起源验证错误- (346)
产品不正确验证数据的来源或沟通是有效的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。秘密时间通道- (385)
隐蔽时间信道传递信息的调制系统的某些方面的行为随着时间的推移,这程序接收信息可以观察到系统行为和推断信息保护。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的主要通道- (419)
产品使用的主要渠道管理或限制功能,但它不妥善保护通道。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的备用通道- (420)
产品保护的主要渠道,但它不使用相同级别的保护另一个频道。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。直接请求(“强迫浏览”)- (425)
web应用程序不充分执行适当的授权限制的url,脚本,或文件。强迫浏览
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。隐蔽存储通道- (515)
隐蔽存储通道传输信息通过一个程序的设置位和阅读的部分。区分这种情况下的普通操作,编码的比特是用来传达信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。服务器端请求伪造(SSRF)- (918)
web服务器接收到一个URL或类似的请求从一个上游组件和检索这个URL的内容,但这并不足够确保请求被发送到预期的目的地。XSPA
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的执行消息完整性在通信信道中传输- (924)
产品与端点建立通信通道和接收一条消息的端点,但这并不足够确保消息不会在传输过程中被修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的验证源通信通道- (940)
产品建立一个通信通道来处理传入请求,由一个演员,但它不正确验证请求来自预期的起源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在通信信道错误指定目的地- (941)
产品创建一个通信通道启动一个外向请求一个演员,但这并不正确地指定目的地,演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。绑定到一个无限制的IP地址- (1327)
产品分配地址0.0.0.0数据库服务器,云服务/实例,或者任何远程通信的计算资源。
类别——CWE条目包含一组其他条目,共享一个共同的特点。复杂问题- (1226)
这一类的弱点与事情过于复杂。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。销售数据元素聚合过于大量的元素- (1043)
产品使用一个数据元素,有一个特别大的数的子元素与结构或聚合等非基本数据类型对象。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。模块与循环依赖- (1047)
产品包含的模块,一个模块的引用,循环回本身,即。,有循环依赖。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。从具体类多重继承- (1055)
产品包含一个类继承多个具体类。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件与可变参数- (1056)
named-callable或方法控制元素有一个签名,支持一个变量(可变)的参数或参数数量。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过多的低效的服务器端数据访问- (1060)
产品执行太多数据查询不使用高效的数据处理功能,如存储过程。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件与签名包含过多的参数- (1064)
产品包含一个函数、子程序或方法的签名有一个不必要的大量参数/参数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。类过深的继承- (1074)
一个类继承的水平太高了,也就是说。,它有一个大量的父类。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无条件的控制流开关组外的转移- (1075)
产品执行无条件的控制转移(如“goto”)在代码之外的一个分支结构如开关部件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。源代码文件,过度的代码的行数- (1080)
一个源代码文件的代码行数太多了。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。类子类的过多- (1086)
一个类包含一个不必要的大量的儿童。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。内循环条件值更新循环- (1095)
产品使用一个循环与基于控制流条件的值更新的体内循环。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度使用无条件分支- (1119)
代码使用太多的无条件分支(如“goto”)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度McCabe圈复杂度- (1121)
代码包含超过一个理想的最大McCabe圈复杂度。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度Halstead复杂性- (1122)
代码结构,霍氏复杂性测量超过一个理想的最大。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。变为无效来过度使用的代码- (1123)
产品使用变为无效来太多的代码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过深的嵌套- (1124)
代码包含一个可调用或其他代码嵌套的分组/分支太深。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度攻击表面- (1125)
产品表面的定量测定的攻击超过一个理想的最大值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。低效的正则表达式的复杂性- (1333)
产品使用一个正则表达式的效率低下,可能指数最坏的计算复杂度,消耗过多的CPU周期。重做正则表达式拒绝服务灾难性的回溯
类别——CWE条目包含一组其他条目,共享一个共同的特点。并发问题- (557)
这一类的弱点与并发共享资源的使用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。信号处理器竞态条件- (364)
产品使用一个信号处理程序,引入了竞争条件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在一个线程竞争条件- (366)
如果两个线程同时执行的使用资源,存在资源可以使用而无效的可能性,进而使执行未定义的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。Time-of-check分时(TOCTOU)竞态条件- (367)
产品检查资源的状态在使用资源之前,但资源的状态可以改变之间的检查和使用的方式无效的结果检查。这可能会导致产品资源时执行无效的操作在一个意想不到的状态。TOCTTOUTOCCTOU
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。上下文切换竞态条件- (368)
产品执行的一系列非原子操作切换上下文交叉特权或其他安全边界,但竞争条件允许攻击者修改或歪曲在开关产品的行为。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。符号名称映射到正确的对象- (386)
一个常数使用符号引用一个对象,虽然能解决到另一个对象的引用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在访问备用通道竞态条件- (421)
产品打开另一个通道与授权用户通信,但通道访问其他演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在并发环境中使用不可重入函数- (663)
产品调用一个不可重入函数在并发环境中竞争的代码序列(如线程或信号处理器)可能有机会调用相同的函数或影响其状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的同步- (820)
产品利用共享资源以并行的方式,但不尝试同步访问资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的同步- (821)
产品利用共享资源以并行的方式,但这并不正确同步访问资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。调用控制元件在多线程环境中使用最后静态存储或成员元素- (1058)
代码包含一个函数或方法,运行在多线程环境中,但拥有一个不安全的最后的静态存储数据元素或成员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在单线程中使用阻塞的代码,非阻塞上下文- (1322)
产品使用一个非阻塞模式,依赖于一个单线程的过程特性,如可伸缩性,但是它包含代码块时调用。
类别——CWE条目包含一组其他条目,共享一个共同的特点。凭证管理错误- (255)
这一类的弱点有关凭证的管理。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储密码- (256)
在明文存储密码可能导致系统妥协。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可恢复的格式存储的密码- (257)
存储密码的可恢复的格式让他们受到恶意用户密码重用攻击。事实上,应该注意的是,可恢复加密密码提供无显著好处在明文密码,因为他们不仅受到重用通过恶意攻击者还恶意的内部人员。如果一个系统管理员可以直接恢复密码,或者使用蛮力搜索可用的信息,管理员可以使用其他账户的密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。密码配置文件- (260)
产品密码存储在一个配置文件可能访问的演员不知道密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码编码- (261)
模糊的密码简单编码不保护密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不使用密码老化- (262)
产品没有一个机制来管理密码老化。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。与长过期密码老化- (263)
产品支持密码老化,但保质期太长了。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用一个关键过去的保质期- (324)
产品使用一个密钥或密码过去的保质期,显著减少其安全通过增加关键的时间窗口破解攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码要求- (521)
产品不需要用户应该有强壮的密码,这使得攻击者更容易妥协用户帐户。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受保护的运输凭证- (523)
登录页面不使用足够的措施,保护用户名和密码,而他们是在运输过程中从客户端到服务器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码字段屏蔽- (549)
产品没有面具的密码在输入,增加潜在的攻击者观察和获取密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经证实的密码更改- (620)
当设置一个新密码的用户,产品不需要知识的原始密码,或使用另一种形式的身份验证。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码恢复机制忘记密码- (640)
产品包含一个机制为用户恢复或更改密码不知道原始密码,但机制薄弱。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)
产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的密码哈希计算努力不足- (916)
产品生成哈希密码,但它使用一个计划没有提供足够水平的计算工作量,使密码破解攻击不可行或昂贵。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用默认凭证- (1392)
产品使用默认凭证(如密码或密钥)潜在的关键功能。
类别——CWE条目包含一组其他条目,共享一个共同的特点。密码问题- (310)
这一类的弱点有关数据机密性和完整性的设计和实现。经常这些处理编码的使用技术,加密库和散列算法。这个类别中的弱点可能导致退化的质量数据如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。弱密码编码- (261)
模糊的密码简单编码不保护密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用一个关键过去的保质期- (324)
产品使用一个密钥或密码过去的保质期,显著减少其安全通过增加关键的时间窗口破解攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码步骤- (325)
产品没有实现密码算法所需的步骤,导致弱加密算法比广告。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用弱散列- (328)
产品使用一个算法产生一个消化(产值),不符合安全预期一个哈希函数,允许敌人合理确定原始输入(原象攻击),找到另一个输入,可以产生相同的散列(2前象攻击),或发现多个输入值相同的散列(生日攻击)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。熵不足- (331)
产品使用一个算法或方案产生不足的熵,离开模式或集群的价值观比其他人更有可能发生。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。小空间的随机值- (334)
可能的随机值的数量小于所需的产品,使它更容易受到暴力攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的使用伪随机数生成器的种子(PRNG)- (335)
产品使用伪随机数发生器(PRNG)但不正确管理种子。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用密码地弱伪随机数生成器(PRNG)- (338)
产品使用伪随机数生成器(PRNG)在一个安全上下文,但是PRNG的算法不是密码地强。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证加密的签名- (347)
产品不验证,或不正确的验证,数据加密签名。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的密码哈希计算努力不足- (916)
产品生成哈希密码,但它使用一个计划没有提供足够水平的计算工作量,使密码破解攻击不可行或昂贵。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的弱初始化向量(IV)- (1204)
产品使用加密原语,使用一个初始化向量(IV),但产品不产生静脉注射,足够根据预期的加密需求不可预测的或独特的原始。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用加密的原始风险实现- (1240)
实现需要加密原语,使用非标准产品实现了一种加密算法,未经证实的,或不允许/不一致的加密实现。
类别——CWE条目包含一组其他条目,共享一个共同的特点。密钥管理错误- (320)
的弱点这一类错误相关的密钥的管理。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有实体认证密钥交换- (322)
产品执行密钥交换有一个演员没有验证,演员的身份。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。重用现时标志,在加密密钥对- (323)
目前应该用于目前的机会只有一次。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用一个关键过去的保质期- (324)
产品使用一个密钥或密码过去的保质期,显著减少其安全通过增加关键的时间窗口破解攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用硬编码的凭证- (798)
产品包含硬编码的凭证,如密码或密钥,这对自己的入站的身份验证,它使用出站通信外部组件,或内部数据的加密。
类别——CWE条目包含一组其他条目,共享一个共同的特点。数据完整性问题- (1214)
弱点这类相关软件系统的数据完整性组件。经常这些处理能力,确保数据的完整性,如信息,资源文件,部署文件和配置文件。这个类别中的弱点可能导致退化数据完整性的质量如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有实体认证密钥交换- (322)
产品执行密钥交换有一个演员没有验证,演员的身份。
类——一个弱点,描述的是一个非常抽象的时尚,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。起源验证错误- (346)
产品不正确验证数据的来源或沟通是有效的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证加密的签名- (347)
产品不验证,或不正确的验证,数据加密签名。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用更少的可信来源- (348)
产品有两种不同的相同的数据或信息的来源,但它使用的来源不支持验证,不太可信,还是少抵抗攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接受外来的不可信的数据和可信的数据- (349)
产品,当处理可信的数据,接受任何不可信的数据与可信的数据,还包括治疗不可信的数据,就好像它是可信的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不足的类型的区别- (351)
产品不正确区分不同类型的元素,导致不安全的行为。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少支持完整性检查- (353)
产品使用一个传输协议,它不包括一个机制来验证在传输过程中数据的完整性,如校验和。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的验证完整性检查的价值- (354)
产品不验证或验证错误消息的完整性检查值或“校验和”。这可能防止检测如果传输的数据被修改或损坏。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。下载的代码没有完整性检查- (494)
产品下载源代码或从远程位置和执行一个可执行的代码没有充分验证代码的来源和完整性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖饼干没有验证和完整性检查- (565)
产品依赖于存在或cookie的值在执行强调安全的操作,但它不正确的设置是有效的确保相关用户。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。依赖混淆或加密的安全相关的输入没有完整性检查- (649)
产品使用混淆或加密的输入,不应由外部演员可变,但产品不使用完整性检查发现如果这些输入已经修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。包含的功能不受信任的控制范围- (829)
产品进口,需要,或包含可执行功能(如图书馆)从源目的控制范围之外的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的执行消息完整性在通信信道中传输- (924)
产品与端点建立通信通道和接收一条消息的端点,但这并不足够确保消息不会在传输过程中被修改。
类别——CWE条目包含一组其他条目,共享一个共同的特点。数据处理错误(19)
这一类的弱点通常是发现在功能处理数据。数据处理的操纵输入检索或保存信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的长度参数不一致- (130)
产品或结构解析一个格式化的消息,但它不处理或不正确处理长度字段与相关数据的实际长度不一致。长度操作长度篡改
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的特殊元素的处理不当- (166)
产品从一个上游组件接收输入,但它不处理或不正确处理预期的特殊元素时失踪。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。额外的特殊元素的处理不当- (167)
产品从一个上游组件接收输入,但它不处理或不正确处理时提供额外的意想不到的特殊元素。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不一致的特殊元素的处理不当- (168)
产品不妥善处理输入的两个或两个以上的特殊字符之间存在不一致或保留字。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的敏感性- (178)
产品不正确的大小写敏感性的差异占当访问或确定资源的属性,导致不一致的结果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据崩溃到不安全的价值- (182)
产品过滤数据的方式,它会减少或者“倒塌”到一个不安全的价值,违背了预期的安全属性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过分严格的正则表达式- (186)
正则表达式是过分严格的,它可以防止危险值被检测到。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的价值观- (229)
产品不妥善处理的预期值参数、字段,或没有提供参数输入,或者如果这些值是未定义的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的参数- (233)
产品不妥善处理参数的期望值时,字段,或参数不提供输入,或如果这些参数定义。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。结构元素的处理不当- (237)
产品不能处理或错误地处理输入相关的复杂的结构。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的意想不到的数据类型- (241)
产品不能处理或不正确处理特定元素时不预期的类型,例如,预计一个数字(0 - 9),但提供一个字母(a - z)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的高度压缩的数据(数据放大)- (409)
产品不能处理或不正确处理输入和非常高的压缩比的压缩,产生巨大的产出。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制Assumed-Immutable Web参数- (472)
web应用程序不充分验证输入假定为不可变的,但实际上是外部控制,比如隐藏表单字段。Assumed-Immutable参数篡改
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。URL重定向不可信的网站(“开放重定向”)- (601)
一个web应用程序接受用户输入指定外部网站的链接,并使用该链接重定向。这简化了网络钓鱼攻击。开放的重定向跨站点重定向跨域重定向
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML外部实体引用的不当限制- (611)
产品流程一个XML文档,XML可以包含实体的uri解析文档之外的目的范围控制,导致产品不正确的文档嵌入到它的输出。XXE
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可执行正则表达式错误- (624)
产品使用一个正则表达式,要么(1)包含一个可执行组件与用户控制输入,或(2)允许用户启用执行插入模式修饰符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。宽容的正则表达式- (625)
产品使用一个正则表达式不充分限制允许的值的集合。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制递归实体引用dtd (XML实体扩张)- (776)
产品使用的XML文档,并允许它们的结构定义文档类型定义(DTD),但这并不正确控制递归定义的实体的数量。XEE十亿笑攻击XML炸弹
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不兼容的类型的比较- (1024)
产品执行两个实体之间的比较,但不同的实体,无法保证不兼容的类型直接比较时提供正确的结果。
类别——CWE条目包含一组其他条目,共享一个共同的特点。数据中和问题- (137)
这一类的弱点有关创建或中和数据使用一个不正确的格式。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和等效特殊元素- (76)
产品正确中和某些特殊元素,但它不当中和当量特殊元素。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个操作系统命令(OS命令注入)- (78)
产品结构的全部或部分操作系统命令使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改OS命令发送到下游组件。壳注射Shell元字符
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当输入在Web页面生成(“跨站点脚本编制”)- (79)
产品不中和或错误中和用户可控输入之前放在输出作为web页面使用的其他用户。XSSHTML注入CSS
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和一个命令的参数分隔符(“参数注入”)- (88)
产品为执行一个命令构造一个字符串在另一个控制范围由一个单独的组件,但这并不正确划定目标参数,选项,或者开关命令字符串中。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在一个SQL命令(SQL注入)- (89)
产品构造SQL命令的所有或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改SQL命令发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当使用中和特殊元素在LDAP查询(LDAP注入)- (90)
LDAP查询的产品结构全部或部分使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素时,可以修改预定的LDAP查询发送到下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。XML注入(又名XPath盲注)- (91)
产品不正确中和特殊元素中使用XML,允许攻击者修改语法,内容,或命令的XML处理结束之前系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当CRLF序列(CRLF注入)- (93)
产品采用CRLF(回车换行)作为一种特殊的元素,例如单独的行或记录,但它不中和或错误中和CRLF从输入序列。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当控制生成的代码(代码注入)- (94)
产品结构全部或部分的代码段使用externally-influenced输入从一个上游组件,但是它不中和或中和特殊的元素,可以修改错误的语法或行为的代码段。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的输出中和日志- (117)
产品不消除或中和错误输出写入日志。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。中和不当分隔符- (140)
产品不中和或错误中和分隔符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当零终止- (170)
产品不终止或不正确地终止字符串或数组null字符或等价的终结者。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。删除数据结构前哨- (463)
数据结构的意外删除哨兵可以导致严重的编程逻辑问题。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。哨兵的数据结构- (464)
意外的数据结构哨兵可以导致严重的编程逻辑问题。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制文件和其他资源的名称- (641)
产品结构使用输入文件的名称或其他资源的上游组件,但这并不限制或者错误地限制产生的名字。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。与重复使用多个资源标识符- (694)
产品使用多个资源,可以有相同的标识符,需要在一个上下文惟一标识符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完全过滤的特殊元素- (791)
产品从一个上游组件接收数据,但不完全过滤特殊元素之前发送给下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的编码输出环境- (838)
产品使用或指定一个编码在生成输出到下游组件,但指定的编码是不一样的编码所预期的下游组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和一个表达式语言语句中使用的特殊元素(表达式语言注入)- (917)
产品结构的全部或部分的表达式语言(EL)声明一个框架如Java服务器页面(JSP)使用externally-influenced输入从一个上游组件,但这并不中和或错误地中和特殊元素,可以修改预定的EL语句之前执行。EL注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当中和公式元素的CSV文件- (1236)
产品保存用户信息为逗号分隔值(CSV)文件,但它不中和或错误地中和特殊元素,可以解释为一个命令文件打开时,一个电子表格的产品。CSV注入公式注入Excel宏注入
类别——CWE条目包含一组其他条目,共享一个共同的特点。文档的问题- (1225)
弱点这类相关的文档提供给支持,创建,或分析一个产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的文档设计- (1053)
产品没有文档表示它是如何设计的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。实现之间的矛盾和记录设计- (1068)
产品的实现中不符合描述的设计相关文档。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的设计文档- (1110)
产品的设计文档不充分描述控制流、数据流、系统初始化、任务之间的关系,组件,设计的依据,或其他重要方面。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的I / O文档- (1111)
产品的文档不充分定义的输入,输出,或系统/软件接口。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的文档的程序执行- (1112)
文档不完全定义所有机制用于控制或影响特定于产品的程序是如何执行的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。文档错误处理技术的不足- (1118)
文档不充分描述的技术用于错误处理,异常处理,或类似的机制。
类别——CWE条目包含一组其他条目,共享一个共同的特点。文件处理问题- (1219)
弱点这类处理相关的文件在一个软件系统。文件、目录和文件夹信息技术的核心,许多不同的弱点和变异被发现。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制限制目录的路径名(“路径遍历”)(22)
产品使用外部输入来构造一个路径名,目的是为了辨别一个文件或目录,坐落在父目录的限制,但是产品不正确路径名中的中和特殊元素可以导致路径名来解决限制目录以外的位置。目录遍历路径遍历
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的解决路径等效(41)
该产品是容易通过路径等效文件系统内容披露。路径等效包括使用特殊字符的文件和目录的名称。相关操作的目的是生成多个名称相同的对象。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当链接之前决议文件访问(“链接后”)(59)
产品基于文件名试图访问一个文件,但它不适当阻止,文件名标识一个链接或快捷方式,解决了一个意想不到的资源。不安全的临时文件拉链滑
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的文件名识别虚拟资源- (66)
产品不能处理或不正确处理文件名标识一个“虚拟”的资源,不是直接内指定的目录与文件名称,导致产品对资源执行文件操作,不是一个文件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。创建临时文件和不安全的权限- (378)
打开临时文件不适当措施或控制可以把文件,其内容和任何函数,它的影响很容易受到攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。创建临时文件目录的权限- (379)
产品创建一个临时文件目录的权限允许意想不到的演员来确定文件的存在或访问该文件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不可信的搜索路径- (426)
产品搜索关键资源使用外来的搜索路径,可以指向资源不受产品的直接控制。不可信的路径
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不受控制的搜索路径元素- (427)
产品使用一个固定的或控制搜索路径找到资源,但一个或多个位置的控制下,路径可以意想不到的演员。DLL预加载二元种植不安全的库加载依赖关系混乱
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。非上市搜索路径或元素- (428)
产品使用一个搜索路径,其中包含一个非上市元素,元素包含空格或其他分隔符。这可能会导致产品在父路径来访问资源。
类别——CWE条目包含一组其他条目,共享一个共同的特点。封装的问题- (1227)
弱点这类问题相关的数据绑定的方法用来操作数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不必要的调用控制元件在一个深水平层- (1054)
代码在一个架构层调用的代码驻留在更深的一层比相邻层,即。跳过至少一层调用,调用代码不属于垂直效用层,可以引用任何水平层。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预期之外的数据访问操作数据管理器组件- (1057)
产品使用一个专用,中央数据管理器组件根据设计需要,但它包含的代码,执行数据访问操作,不要使用这个数据管理器。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。父类与子类的引用- (1062)
的代码有一个父类,其中包含子类的引用,其方法或其成员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。数据访问管理器组件预期以外的数据- (1083)
该产品旨在通过一个特定的数据管理器来管理数据访问组件,如关系或非sql数据库中,但是它包含执行数据访问操作的代码没有使用该组件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。方法包含访问另一个类的成员元素- (1090)
一个类方法执行一个操作,直接从另一个类成员访问元素。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。隔离系统的功能不足- (1100)
产品或代码不隔离系统的功能为独立的独立模块。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。机器特有的功能的封装不足- (1105)
产品或代码使用计算机有关的功能,但它不足够封装或隔离此功能的代码。
类别——CWE条目包含一组其他条目,共享一个共同的特点。错误条件,返回值,状态代码- (389)
这一类包括弱点,如果一个函数不生成正确的返回/状态代码,或者应用程序不能处理所有可能的返回/状态代码,可以由一个函数。这种类型的问题通常是在条件中发现,很少遇到在产品的正常运行。据推测,最常见的条件是发现相关的bug和消除在开发和测试期间。在某些情况下,攻击者可以直接控制或影响环境引发罕见的条件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未捕获异常- (248)
从一个函数抛出异常,但这并不是她的老公知道。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不返回值- (252)
产品不会检查方法或函数返回值,可以防止检测意想不到的状态和条件。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。函数返回值的错误检查- (253)
产品不正确检查函数的返回值,这就避免了冲突检测错误或异常情况。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有行动检测错误条件- (390)
产品检测到一个特定的错误,但没有行动来处理错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未经检查的错误条件- (391)
(计划在弃用。看到维修笔记和考虑cwe - 252, cwe - 248,或cwe - 1069。)忽略异常和其他错误条件可能允许攻击者产生异常行为引起注意。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的报告错误条件- (392)
产品遇到错误但不提供一个状态码或返回值,表明发生了一个错误。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回错误状态码- (393)
返回一个函数或操作不正确的返回值或状态并不意味着一个错误的代码,但导致产品修改其行为基于错误的结果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。意想不到的状态代码或返回值- (394)
产品不正确检查当函数或操作函数返回一个值,是合法的,但不是所期望的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用的NullPointerException捕获检测空指针- (395)
捕捉NullPointerException不应使用替代编程检查以防止非关联化一个空指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。捕捉通用异常宣言- (396)
捕捉过于广泛的异常促进复杂的错误处理代码,更有可能包含安全漏洞。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。声明抛出的一般例外- (397)
抛出过于广泛的异常促进复杂的错误处理代码,更有可能包含安全漏洞。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少标准化的错误处理机制- (544)
产品不使用一个标准化的方法处理错误的代码,这可能介绍不一致的错误处理和合成的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回在Finally块- (584)
代码的返回语句在finally块中,这将导致任何抛出异常在try块被丢弃。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可以断言- (617)
产品包含一个assert()或类似的语句,可以由攻击者,从而导致应用程序退出或其他不必要的行为更严重。断言失败
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的自定义错误页面- (756)
产品不返回自定义错误页面给用户,可能暴露敏感信息。
类别——CWE条目包含一组其他条目,共享一个共同的特点。表达式问题- (569)
这一类的弱点错误相关表达式在代码写的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用不正确的操作符- (480)
产品不小心使用了错误的操作符,它改变了逻辑在安全相关的方面。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。表达式总是错误的- (570)
产品包含一个表达式,总是计算为false。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。表达式总是正确的- (571)
产品包含一个表达式,总是评估为true。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。运算符优先级逻辑错误- (783)
产品使用一个表达式的运算符优先级导致使用错误的逻辑。
类别——CWE条目包含一组其他条目,共享一个共同的特点。处理程序错误- (429)
这一类的弱点有关管理不当的处理程序。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。部署错误处理程序- (430)
错误的处理程序是分配给对象的过程。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的处理程序- (431)
一个处理程序不可用或实现。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制上传文件与危险的类型- (434)
产品允许攻击者上传或危险的传输文件类型,可以自动处理产品的内环境。不受限制的文件上传
类别——CWE条目包含一组其他条目,共享一个共同的特点。信息管理错误- (199)
这一类的弱点有关处理不当的敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入发送数据- (201)
代码数据传送到另一个演员,但是部分数据包括敏感信息,不应该访问的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可观察到的响应差异- (204)
产品提供了不同的反应传入请求的方式揭示了内部状态信息未经授权的演员之外的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可观察到的行为差异- (205)
产品的行为表明重要的差异可能会观察到未经授权的演员的方式揭示了(1)其内部状态或决策过程,或(2)区别其他产品与等效的功能。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可观测的时间差异- (208)
两个独立操作一个产品需要不同的大量的时间来完成,在某种程度上可以观察到的一个演员,揭示了安全相关产品的状态信息,例如特定的操作是否成功与否。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。代的包含敏感信息的错误消息- (209)
产品生成一个错误消息,包括环境的敏感信息,用户,或相关的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当删除敏感信息在存储或传输- (212)
产品存储、传输或共享一个资源包含敏感信息,但它并不正确删除信息在产品使资源可用于未经授权的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。由于不兼容的政策暴露敏感信息- (213)
产品应有的功能暴露某些参与者的信息按照开发人员的安全政策,但这些信息被认为是敏感的目的根据安全策略对其他利益相关者如产品的管理员,用户,或其他的信息处理。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用可见敏感信息的调用过程- (214)
命令行参数调用一个过程与敏感,环境变量,或者其他元素可以被其他进程在操作系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入调试代码- (215)
产品将敏感信息插入调试代码,这可能会暴露这些信息如果调试代码没有在生产中禁用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文存储的敏感信息- (312)
内的产品在明文存储敏感信息资源可能会访问另一个控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。明文传输的敏感信息- (319)
明文的产品传递重要敏感或安全数据通信通道,可以嗅未经授权的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露私人个人信息未经授权的演员- (359)
产品不正确阻止一个人的私人的,个人信息被访问的演员要么(1)没有明确授权访问信息或(2)没有隐式的同意的人谁收集的信息。隐私的侵犯隐私泄漏隐私泄漏
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。接触敏感的系统信息未经授权的控制范围- (497)
产品不妥善防止敏感系统级信息不被未经授权的访问演员没有相同级别的访问底层系统的产品。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用缓存包含敏感信息- (524)
代码使用一个缓存包含敏感信息,但可以读缓存一个演员之外的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。敏感信息插入可外部访问文件或目录- (538)
产品地方敏感信息到文件或目录的演员被允许访问的文件,但不敏感信息。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。存储的敏感数据没有访问控制机制- (921)
产品将敏感信息存储在一个文件系统或设备,没有内置的访问控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露敏感信息的元数据- (1230)
产品防止直接访问资源包含敏感信息,但这并不足以限制访问元数据来源于原始,敏感信息。
类别——CWE条目包含一组其他条目,共享一个共同的特点。初始化和清理错误- (452)
弱点这类行为发生在用于初始化和崩溃。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当删除敏感信息在存储或传输- (212)
产品存储、传输或共享一个资源包含敏感信息,但它并不正确删除信息在产品使资源可用于未经授权的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可信的外部初始化变量或数据存储- (454)
产品初始化关键内部变量或数据存储使用输入,可以修改不可信的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。出口在初始化失败- (455)
产品不退出或修改其操作时的安全相关的错误发生在初始化期间,如当一个配置文件格式错误或硬件安全模块(HSM)不能被激活,这可能会导致产品在更安全的方式执行由管理员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的清理- (459)
产品不正确的“清理”,删除临时或支持资源后使用。清理不足
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。用硬编码的网络资源配置数据初始化- (1051)
产品使用硬编码的值初始化数据作为网络资源标识符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过度使用硬编码文本初始化- (1052)
产品初始化数据元素使用硬编码的文字,不是一个简单的整数或静态常量元素。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不安全的默认初始化资源- (1188)
产品初始化或集资源管理员默认的本意是要改变的,但默认是不安全的。
类别——CWE条目包含一组其他条目,共享一个共同的特点。数据验证问题- (1215)
弱点这类相关软件系统的组件输入验证、输出验证,或其他类型的验证。验证是一个经常使用的技术,确保数据符合预期进一步处理之前作为输入或输出。有很多品种的验证(见CWE-20,也就是输入验证)。验证是不同于其他技术,尝试修改数据前处理,尽管开发人员可能认为所有尝试产品“安全”输入或输出的验证。无论如何,验证是一个强大的工具,通常用于最小化数据进入系统畸形,或间接避免代码注入或其他潜在的恶意模式在生成输出。这个类别中的弱点可能导致退化的质量数据流系统中如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的XML验证- (112)
产品接受来自不受信任来源的XML但并不针对适当的模式验证XML。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的行为秩序:早期验证- (179)
产品验证输入之前应用修改输入的保护机制,这可能允许攻击者绕过验证通过危险的输入,只有修改后出现。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。宽容的允许输入列表- (183)
产品实现了一个保护机制,它依赖于输入(或输入)的属性的列表,明确允许的政策,因为输入被认为是安全的,但是列表太宽容——也就是说,它允许一个输入是不安全的,导致合成的弱点。Allowlist /允许列表Safelist /安全列表“白名单”/白名单
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不允许输入的完整列表- (184)
产品实现了一个保护机制,它依赖于输入的列表(或输入)的属性所不允许的政策或者需要其他行动中和之前额外的处理,但是清单是不完整的,导致合成的弱点。Denylist /拒绝列表过滤清单/块列表黑名单/黑名单
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。检查循环条件的输入- (606)
产品不正确检查输入用于循环条件,可能导致拒绝服务或其他后果,因为过度的循环。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制文件和其他资源的名称- (641)
产品结构使用输入文件的名称或其他资源的上游组件,但这并不限制或者错误地限制产生的名字。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。验证框架的使用不当- (1173)
产品不使用,或不正确使用,输入验证框架提供的源语言或一个独立的库。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证指定数量的输入- (1284)
产品接收输入,将指定一个量(如大小或长度),但它并不验证或不正确验证数量具有所需的属性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。验证指定的索引位置不当,或抵消输入- (1285)
产品接收输入,将指定一个索引,位置,或抵消变成一个可转位资源如缓冲区或文件,但它不验证或不正确验证指定的索引/位置/抵消具有所需的属性。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当语法正确性的验证输入- (1286)
产品接收输入,预计将是格式良好的。,遵守一定的语法,但它不验证或不正确验证输入符合语法。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的验证指定的类型的输入- (1287)
产品接收输入,将某种类型的,但它并不验证或不正确验证的输入实际上是预期的类型。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当内的一致性验证输入- (1288)
产品与多个元素或接收一个复杂的输入字段,必须相互一致,但它并不验证或验证输入错误实际上是一致的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的不安全的等价验证输入- (1289)
产品收到一个输入值,作为资源标识符或其它类型的引用,但是它不验证或不正确验证输入相当于一个潜在的不安全的值。
类别——CWE条目包含一组其他条目,共享一个共同的特点。锁定机制的错误- (1216)
这一类的弱点与软件系统相关的锁定机制。经常这些处理场景,在多次失败的情况下生效一个给定的资源的访问。这个类别中的弱点可能导致退化的访问系统资产如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过分严格的帐户锁定机制- (645)
产品包含一个帐户锁定保护机制,但这种机制过于严格,可以很容易触发,它允许攻击者拒绝服务合法用户,导致他们的账户被锁定了。
类别——CWE条目包含一组其他条目,共享一个共同的特点。内存缓冲区错误- (1218)
弱点这类相关的处理软件系统中的内存缓冲区。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缓冲区复制没有检查输入的大小(经典的缓冲区溢出)- (120)
产品输入缓冲区复制到输出缓冲区没有验证输入缓冲区的大小小于输出缓冲区的大小,导致缓冲区溢出。经典的缓冲区溢出无限的转移
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缓冲区承销(缓冲区下溢)- (124)
产品写入缓冲区使用索引或指针,引用一个内存位置之前缓冲区的开始。缓冲暗流
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。禁止入内的读- (125)
产品读取数据过去,一开始,或之前预期的缓冲区。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的缓冲区大小的计算- (131)
产品不正确计算时使用的大小分配一个缓冲区,这可能会导致缓冲区溢出。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。之前访问的内存位置缓冲区的开始- (786)
产品读取或写入缓冲区使用索引或指针,引用一个内存位置之前缓冲区的开始。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。禁止入内的写- (787)
结束过去的产品写数据,或者在开始之前,预期的缓冲区。内存泄露
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。访问结束后的内存位置缓冲区- (788)
产品读取或写入缓冲区使用索引或指针,引用一个内存位置后的缓冲区。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缓冲区长度值不正确的访问- (805)
产品使用顺序操作读或写一个缓冲,但它使用一个不正确的长度值,使访问内存缓冲区的边界之外。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当验证指定数量的输入- (1284)
产品接收输入,将指定一个量(如大小或长度),但它并不验证或不正确验证数量具有所需的属性。
类别——CWE条目包含一组其他条目,共享一个共同的特点。数字错误- (189)
这一类的弱点有关不当或转换的数字计算。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。环绕式处理错误- (128)
绕过去时发生错误值递增最大值的类型,因此“围绕”很小,消极,或未定义的值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。整数溢出或概括的- (190)
产品执行的计算可以产生一个整数溢出或概括,当逻辑假设得到的值总是大于原始值。这可以介绍其他弱点当计算用于资源管理或执行控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。整数下溢(包装或概括)- (191)
产品减去一个值从另一个角度来看,这样的结果小于最低容许整型值,产生的值不等于正确的结果。整数下溢
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。错误- (193)
计算产品或使用错误的最大或最小值1,或小1,比正确的值。off-by-five
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。除以零- (369)
这个产品值除以零。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的数值类型之间的转换- (681)
当从一个数据类型转换到另一个,比如长整数,数据可以省略或翻译的方式产生意想不到的价值。如果使用生成的值在一个敏感的情况下,就可能发生危险的行为。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。没有最低检查数字范围比较- (839)
产品检查一个值,以确保它是小于或等于最大,但它也不验证值是大于或等于最低。签署的比较
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的位整数的转变- (1335)
一个整数值指定由负的金额或转移金额大于或等于价值所包含的比特数导致意外或不确定的结果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。精度不足或精度实数- (1339)
产品流程一个实数与实现数量的表示不保存所需的准确度和精密度的小数部分,导致一个不正确的结果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的解析数字不同的词根- (1389)
以10为底的产品解析数值输入假设(十进制)值,但它不占输入,使用不同的基数(基数)。
类别——CWE条目包含一组其他条目,共享一个共同的特点。权限的问题- (275)
这一类的弱点权限的分配或处理不当有关。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的默认权限- (276)
在安装过程中,安装文件权限设置为允许任何人修改这些文件。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不安全的继承权限- (277)
产品定义了一组安全权限继承的对象创建的项目。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不安全的保存继承权限- (278)
产品继承了一套安全对象的权限,如从存档文件复制时,无需用户意识或参与。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。不正确的Execution-Assigned权限- (279)
虽然执行,产品集的权限对象的目的在某种程度上违反了权限已经由用户指定。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的权限或权限不足- (280)
产品不能处理或错误处理当它有足够的权限来访问资源或功能作为其权限规定。这可能导致意想不到的代码路径,可能导致产品在一个无效的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。保存不当的权限- (281)
产品不保存权限或不正确保存权限复制时,恢复,或共享对象,这可能会导致他们有严格的权限比预期少。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。曝光不安全的ActiveX方法- (618)
一个ActiveX控件用于web浏览器,但它使危险的方法,执行操作,在浏览器的安全模型(例如欧元区或域)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。关键数据元素声明- (766)
产品声明一个关键变量、字段或成员时公共安全政策要求它是私有的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。访问私有变量通过公共方法至关重要- (767)
产品定义了一个公共方法,读取或修改一个私有变量。
类别——CWE条目包含一组其他条目,共享一个共同的特点。指针的问题- (465)
这一类的弱点有关处理不当的指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回指针值的预期范围之外- (466)
函数可以返回一个指针指向的内存之外的缓冲区的指针将参考。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的指针扩展- (468)
在C和c++中,常常会不小心把错误的记忆由于当隐式数学操作的语义扩展。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用指针减法来确定尺寸- (469)
产品减去一个指针从另一个为了确定大小,但是这个计算可以是不正确的,如果不存在于相同的内存块的指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。空指针废弃- (476)
应用程序时出现空指针废弃取消引用指针,它预计将是有效的,但是是空的,通常导致崩溃或退出。NPD零deref空指针
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。分配一个固定地址的指针- (587)
产品设置一个指针指向一个特定的地址而不是NULL或0。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无效的指针或引用- (763)
产品试图返回系统内存资源,但它调用错误的释放函数或调用适当的释放函数不正确。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不可信的指针- (822)
产品来自不受信任来源的获取一个值,将该值转换为一个指针,取消引用指针。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。超出范围的使用指针偏移量- (823)
产品对一个有效的执行指针算术指针,但它使用一个偏移量,可以指出目的范围外的结果有效的内存位置的指针。不可信的指针偏移量
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。访问未初始化的指针- (824)
产品访问或使用一个指针没有初始化。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过期的指针- (825)
产品取消引用指针包含一个内存位置之前有效,但不再有效。悬空指针
类别——CWE条目包含一组其他条目,共享一个共同的特点。权限的问题- (265)
这一类的弱点发生和处理不当,转让,或特权的管理。一种特权是一个代理的属性,比如一个用户。它可以让代理做通常是不允许的。例如,有特权允许代理执行维护功能,如重启电脑。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。创建chroot监狱不改变工作目录- (243)
产品使用chroot()系统调用创建一个监狱,但不改变工作目录之后。这并不阻止访问文件之外的监狱。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。执行与不必要的特权- (250)
产品执行一个操作在一个特权级别高于所需的最低水平,这创造了新的弱点或者其他弱点放大的后果。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的权限分配- (266)
产品错误地分配一个特权到一个特定的演员,为参与者创造一个意想不到的的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。特权定义了不安全的行为- (267)
特定的权限、角色、功能或对可用于执行安全操作,没有目的,即使它被分配给正确的实体。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。特权链接- (268)
两个截然不同的权限、角色、功能或权利可以组合的方式允许一个实体执行安全操作,不允许没有组合。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。特权上下文切换错误- (270)
产品不正确管理权限时切换不同的上下文中有不同的特权或领域的控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。最小特权违反- (272)
执行操作所需的高特权级别如chroot()执行手术后应立即下降。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。检查了不当的特权- (273)
产品试图放弃特权但不检查或不正确检查下成功了。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的处理权限不足- (274)
产品不能处理或不正确处理足够的权限来执行一个操作,导致合成的弱点。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。处理不当的权限或权限不足- (280)
产品不能处理或错误处理当它有足够的权限来访问资源或功能作为其权限规定。这可能导致意想不到的代码路径,可能导致产品在一个无效的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。信任边界违反- (501)
产品混合可信和不可信的数据在同一数据结构或结构化信息。
变体——一个弱点与某种类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。没有super.clone clone()方法()- (580)
产品包含一个克隆()方法不叫super.clone()来获取新对象。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的使用特权的api- (648)
产品不符合API函数调用的要求,需要额外的特权。这可能允许攻击者获得特权导致功能不正确。
类别——CWE条目包含一组其他条目,共享一个共同的特点。随机数问题- (1213)
弱点这类软件系统相关的随机数生成。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。熵不足- (331)
产品使用一个算法或方案产生不足的熵,离开模式或集群的价值观比其他人更有可能发生。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。小空间的随机值- (334)
可能的随机值的数量小于所需的产品,使它更容易受到暴力攻击。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的使用伪随机数生成器的种子(PRNG)- (335)
产品使用伪随机数发生器(PRNG)但不正确管理种子。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用密码地弱伪随机数生成器(PRNG)- (338)
产品使用伪随机数生成器(PRNG)在一个安全上下文,但是PRNG的算法不是密码地强。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预测从可观察到的状态- (341)
基于观测数目或对象是可预测的,攻击者可以对系统或网络的状态,如时间、进程ID等等。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。从先前的值可以预测的精确值- (342)
一个精确的值或随机数可以精确预测通过观察之前的值。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。可预测的值从之前的值- (343)
产品的随机数发生器产生一系列的值,观察时,可以用来推断未来价值相对小范围的可能性,可以生成的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。在动态变化的环境中使用不变的价值- (344)
产品使用一个恒定值,名字,或引用,但这个值可以(或应该)在不同的环境不同。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用随机数发生器的可预测的算法- (1241)
设备使用一个可预测的算法和生成一个伪随机数。
类别——CWE条目包含一组其他条目,共享一个共同的特点。资源锁定问题- (411)
这一类的弱点有关处理不当的锁用于控制对资源的访问。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无限制的外部访问的锁- (412)
产品正确检查锁的存在,但锁可以外部控制或影响演员以外的目的的控制范围。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不恰当的资源锁定- (413)
产品不锁或不正确锁资源时,产品必须具有独占访问的资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的锁止- (414)
产品不执行之前检查是否锁存在敏感操作资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。双重检查锁定- (609)
产品使用双重检查锁定访问资源没有显式同步的开销,但是锁是不够的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。一个关键资源的多个锁- (764)
产品锁关键资源多次,导致系统中一个意想不到的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。多个打开的关键资源- (765)
产品打开一个关键资源多次,导致系统中一个意想不到的状态。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。解锁不锁定的资源- (832)
产品试图打开一个资源不上锁。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。死锁- (833)
产品包含多个线程或可执行的部分,正在等待对方释放必要的锁,导致死锁。
类别——CWE条目包含一组其他条目,共享一个共同的特点。资源管理错误- (399)
这一类的弱点不当相关系统资源的管理。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制文件名或路径- (73)
产品允许用户输入控制或影响路径或文件名中使用文件系统操作。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。意想不到的控制范围的曝光的文件描述符(文件描述符泄漏)- (403)
过程不敏感的文件描述符调用子进程之前,允许孩子使用这些描述符执行未经授权的I / O操作。文件描述符泄漏
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。足够的资源池- (410)
产品的资源池处理高峰需求不够大,攻击者可以阻止其他人访问资源利用(相对)大量的资源要求。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制输入选择类或代码(“不安全的反思”)- (470)
产品使用外部输入和反射来选择使用哪个类或代码,但这并不足够防止输入选择不当或代码的类。反射注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。反序列化的数据不可信- (502)
产品反序列化不可信数据不充分验证结果数据将是有效的。打包,包酸洗,unpicklePHP对象注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。悬空数据库游标(光标注入)- (619)
如果不能正常关闭数据库游标,然后它可能成为访问其他用户同时保留最初分配相同的特权,让光标“悬空”。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制文件和其他资源的名称- (641)
产品结构使用输入文件的名称或其他资源的上游组件,但这并不限制或者错误地限制产生的名字。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。与重复使用多个资源标识符- (694)
产品使用多个资源,可以有相同的标识符,需要在一个上下文惟一标识符。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。无效的指针或引用- (763)
产品试图返回系统内存资源,但它调用错误的释放函数或调用适当的释放函数不正确。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。资源配置没有限制或节流- (770)
产品分配一个可重用的资源或一组资源代表一个演员不强加任何限制的大小或数量的可分配的资源,违反安全策略的演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。缺少参考活动分配资源- (771)
产品不正确维护引用一个已分配的资源,防止资源被回收。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪后释放资源的有效寿命- (772)
产品不其有效寿命结束后释放资源,即。后,资源不再需要。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。预期寿命期间过早释放资源- (826)
产品发布资源,还打算使用自己或另一个演员。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用未初始化资源- (908)
产品使用或访问资源尚未初始化。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。失踪的初始化资源- (909)
产品不初始化一个临界资源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用过期的文件描述符- (910)
产品使用或访问一个文件描述符后关闭。的文件描述符
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不更新的引用计数- (911)
产品使用引用计数来管理资源,但它不更新或不正确地更新引用计数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当Dynamically-Identified变量的控制- (914)
产品不适当限制阅读或写作dynamically-identified变量。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。控制不当修改动态确定对象的属性- (915)
产品从一个上游组件接收输入指定多个属性,属性,或字段初始化或更新的对象,但这并不正确控制哪些属性可以修改。大量的任务AutoBindingPHP对象注入
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制电力消耗- (920)
的产品环境中运营的权力是有限的资源,不能自动补充,但产品不合理限制的权力,其操作使用。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不安全的默认初始化资源- (1188)
产品初始化或集资源管理员默认的本意是要改变的,但默认是不安全的。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。多个版本的相同的资源或处理- (1341)
产品试图关闭或释放资源或处理不止一次,没有任何成功打开之间的关闭操作。
类别——CWE条目包含一组其他条目,共享一个共同的特点。信号错误- (387)
这一类的弱点有关信号的处理不当。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。信号处理器竞态条件- (364)
产品使用一个信号处理程序,引入了竞争条件。
类别——CWE条目包含一组其他条目,共享一个共同的特点。状态问题- (371)
这一类的弱点有关系统状态的管理不当。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。外部控制系统或配置设置(15)
一个或多个系统设置或外部配置元素可以由用户控制。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不完整的内部状态的区别- (372)
产品不正确确定哪些状态,使其承担在各州X,而实际上它是Y,导致执行不正确的操作的安全相关的方式。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。将可变对象传递给一个不可信的方法- (374)
产品发送似乎与可变数据作为参数一个方法或函数。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。返回一个可变对象,一个不受信任的调用者- (375)
发送似乎与可变数据的返回值可能会导致调用函数被修改或删除的数据。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。意想不到的可重入调用不可重入的代码通过嵌套调用- (1265)
不可重入代码的执行期间,无意中生产的产品执行调用不可重入的嵌套调用的代码。
类别——CWE条目包含一组其他条目,共享一个共同的特点。字符串错误- (133)
这一类的弱点与字符串的创建和修改。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用外部控制的格式字符串- (134)
产品使用一个函数,它接受一个格式字符串作为参数,但格式字符串来自外部源。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。多字节字符串长度不正确的计算- (135)
产品不正确计算的长度可以包含宽或多字节字符的字符串。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。使用不正确的操作符- (480)
产品不小心使用了错误的操作符,它改变了逻辑在安全相关的方面。
类别——CWE条目包含一组其他条目,共享一个共同的特点。类型错误- (136)
这类缺陷是由于不恰当的数据类型转换或处理不当的多个数据类型。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不正确的数值类型之间的转换- (681)
当从一个数据类型转换到另一个,比如长整数,数据可以省略或翻译的方式产生意想不到的价值。如果使用生成的值在一个敏感的情况下,就可能发生危险的行为。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。访问资源的使用不兼容的类型(类型混淆)- (843)
产品分配和初始化一个指针等资源,对象,或变量使用一个类型,但后来访问该资源使用与原始类型不兼容的类型。对象类型的困惑
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当的验证指定的类型的输入- (1287)
产品接收输入,将某种类型的,但它并不验证或不正确验证的输入实际上是预期的类型。
类别——CWE条目包含一组其他条目,共享一个共同的特点。用户界面的安全问题- (355)
这一类的弱点或相关介绍了用户界面(UI)。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。产品用户界面不警告用户不安全的行为- (356)
产品的用户界面不警告用户之前代表该用户进行不安全的行动。这使得攻击者更容易欺骗用户造成损害他们的系统。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。UI不足警告危险的操作- (357)
用户界面提供了一个警告用户关于危险或敏感操作,但警告并不明显足以引起注意。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。未实现的或不支持的UI功能- (447)
安全特性的UI功能似乎是支持和给用户反馈表明,它是支持,但潜在的功能还没有实现。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。过时的功能界面- (448)
UI功能是过时的和产品不警告用户。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。UI执行错误的行动- (449)
UI执行错误的操作对用户的请求。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。丢失的密码字段屏蔽- (549)
产品没有面具的密码在输入,增加潜在的攻击者观察和获取密码。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不足的视觉区别Homoglyphs呈现给用户- (1007)
产品显示信息或用户标识符,但显示机制不方便用户区分类似或相同视觉符号(homoglyphs),这可能会造成用户误解字形和执行一个意想不到的,不安全的行动。同形异义字攻击
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当限制呈现UI层或帧- (1021)
web应用程序不限制或错误地限制帧对象或UI层,属于另一个应用程序或域,从而导致用户困惑的用户交互界面。“点击劫持”UI纠正攻击Tapjacking
类别——CWE条目包含一组其他条目,共享一个共同的特点。用户会话的错误- (1217)
这一类相关会话管理的弱点。经常这些处理信息或状态对每个用户及其访问权限为多个请求的持续时间。这个类别中的弱点可能导致退化的会话管理的质量如果不解决。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。暴露错误的会话的数据元素- (488)
产品之间没有充分执行边界各州不同的会话,导致数据提供,或使用错误的会话。
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。会话过期不足- (613)
根据WASC,“会话过期不足是当一个网站允许攻击者重用旧会话凭证或会话id进行授权。”
Base -一个弱点,仍主要是独立的资源或技术,但有足够的细节来提供特定的检测和预防方法。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。不当行为的执行工作流- (841)
不止一个的产品支持会话行为必须由一个演员表演,但这并不正确确保演员执行所需的行为序列。