具有CWE的图形描绘的PDF(版本4.9)
以下PDF文件提供了各种CWE视图的图形表示,这提供了一种快速查看这些视图中父关系所隐含的结构的方法。一些文件提供了“覆盖范围”,其中较小视图的成员在较大的视图的上下文中突出显示。这提供了一种方法,可以查看较小视图的较小视图的条目如何组织。
| 如下所示,具有不同水平的弱点和彩色的入门类型的研究观点。 |
| 抽象的研究观点突出显示 |
|
弱点支柱 |
|
|
弱点 |
|
|
弱点基础 |
|
|
弱点变体 |
|
|
复合元素 |
|
| 具有不同水平的弱点抽象和彩色的输入类型的开发视图,如下所示。 |
| 突出显示抽象的开发视图 |
|
类别 |
|
|
弱点支柱 |
|
|
弱点 |
|
|
弱点基础 |
|
|
弱点变体 |
|
|
复合元素 |
|
| 硬件视图具有不同级别的弱点抽象和彩色的条目类型,如下所示。 |
| 带有抽象的硬件视图突出显示 |
|
类别 |
|
|
弱点支柱 |
|
|
弱点 |
|
|
弱点基础 |
|
|
弱点变体 |
|
|
复合元素 |
|
| 简化已发表漏洞的弱点,其弱点的弱点和彩色的条目类型的不同级别如下所示。 |
| 突出显示抽象的简化映射的弱点 |
|
弱点支柱 |
|
|
弱点 |
|
|
弱点基础 |
|
|
弱点变体 |
|
|
复合元素 |
|
| 开发视图的类别条目类型彩色如下所示。 |
| 突出显示类别的开发视图 |
|
类别 |
|
|
| OWASP前10(2021)视图,带有彩色条目,如下所示。 |
| OWASP前10名(2021) |
|
A01-损坏的访问控制 |
|
|
A02-加密故障 |
|
|
A03-注射 |
|
|
A04-不安全的设计 |
|
|
A05-安全性错误 |
|
|
A06-脆弱和过时的组件 |
|
|
A07-标识和身份验证失败 |
|
|
A08-软件和数据完整性失败 |
|
|
A09-安全记录和监视故障 |
|
|
A10-服务器端请求伪造(SSRF) |
|
|
| OWASP前10名(2021)的其他可视化,条目颜色如下指定。 |
|
|
|
A01-损坏的访问控制 |
|
|
A02-加密故障 |
|
|
A03-注射 |
|
|
A04-不安全的设计 |
|
|
A05-安全性错误 |
|
|
A06-脆弱和过时的组件 |
|
|
A07-标识和身份验证失败 |
|
|
A08-软件和数据完整性失败 |
|
|
A09-安全记录和监视故障 |
|
|
A10-服务器端请求伪造(SSRF) |
|
|
|
|
| 与OWASP TOP 10(2004)条目有关的可视化效果,如下所示。 |
|
|
|
A1-未验证的输入 |
|
|
A2-损坏的访问控制 |
|
|
A3-破裂的身份验证和会话管理 |
|
|
A4-跨站点脚本(XSS)缺陷 |
|
|
A5-缓冲区溢出 |
|
|
A6-注射缺陷 |
|
|
A7-错误处理不当 |
|
|
A8-不安全的存储 |
|
|
A9-拒绝服务 |
|
|
A10-不安全配置管理 |
|
|
红色亮点,从远处可见 |
|
| OWASP TOP 10(2007)条目已映射到CWE条目。 |
| OWASP TOP 10(2007)在CWE中 |
|
A1-跨站点脚本(XSS) |
|
|
A2-注射缺陷 |
|
|
A3-恶意文件执行 |
|
|
A4-不安全的直接对象参考 |
|
|
A5-跨站点请求伪造(CSRF) |
|
|
A6-信息泄漏和错误处理不当 |
|
|
A7-破裂的身份验证和会话管理 |
|
|
A8-不安全的加密存储 |
|
|
A9-不安全的通信 |
|
|
A10-无法限制URL访问 |
|
| OWASP TOP 10(2013)条目已映射到CWE条目。 |
| OWASP TOUP 10(2013)在CWE中 |
|
A1-注射 |
|
|
A2-破裂的身份验证和会话管理 |
|
|
A3-跨站点脚本(XSS) |
|
|
A4-不安全的直接对象参考 |
|
|
A5-安全性错误 |
|
|
A6-敏感数据暴露 |
|
|
A7-缺少功能级别访问控制 |
|
|
A8-跨站点伪造(CSRF) |
|
|
A9-使用具有已知漏洞的组件 |
|
|
A10-未验证的重定向和前进 |
|
|
| 七个有害王国的视图,带有彩色条目,如下所示。 |
|
|
|
环境 |
|
|
输入验证 |
|
|
API滥用 |
|
|
安全功能 |
|
|
时间和状态 |
|
|
错误处理 |
|
|
代码质量 |
|
|
封装 |
|
|
红色亮点,从远处可见 |
|
| 证书C安全编码标准(2008)视图。 |
|
|
|
预处理器(PRE),信号(SIG) |
|
|
声明和初始化(DCL),错误处理(ERR) |
|
|
表达式(EXP),其他(MSC) |
|
|
整数(int) |
|
|
浮点(FLP) |
|
|
数组(ARR) |
|
|
角色和字符串(str) |
|
|
内存管理(MEM) |
|
|
输入输出(FIO) |
|
|
环境(Env),POSIX(POS) |
|
|
红色亮点,从远处可见 |
|
|
| CWE横截面条目的研究视图以红色突出显示,可见距离。 |
| 红色CWE横截面的研究观点 |
|
CWE横截面条目 |
|
| CWE横截面条目的开发视图以红色突出显示,可在距离处可见性。 |
| 红色CWE横截面的开发视图 |
|
CWE横截面条目 |
|
| CWE中的软件故障模式(SFP)簇,如下所示。 |
| 软件故障模式(SFP)群集在CWE中查看 |
|
主要的SFP群集 |
|
|
次级SFP群集 |
|
|
弱点 |
|
| 开发视图的弱点定义了软件故障模式(SFP)条目,以红色突出显示,以在距离处可见性。 |
| 开发视图使用软件故障模式(SFP)的弱点 |
|
软件故障模式(SFP) |
|
| 研究视图的弱点定义了软件故障模式(SFP)条目,该条目以红色突出显示,可见距离。 |
| 使用软件故障模式(SFP)红色的研究视图弱点 |
|
软件故障模式(SFP) |
|
| 如下所示,2011 CWE/SANS前25个条目颜色为彩色。 |
| 2011 CWE/SANS前25名 |
|
组件之间的不安全相互作用 |
|
|
冒险的资源管理 |
|
|
多孔防御 |
|
|
风口浪尖上的弱点 |
|
| 如下所示,2010年CWE/SANS前25个条目着色。 |
| 2010 CWE/SANS前25名 |
|
组件之间的不安全相互作用 |
|
|
冒险的资源管理 |
|
|
多孔防御 |
|
|
风口浪尖上的弱点 |
|
| 具有2010年CWE/SANS前25个条目的开发视图以红色突出显示,可见距离。 |
| 与2010年CWE/SANS的开发视图在红色中前25名 |
|
2010 CWE/SANS前25名参赛 |
|
| 2010年CWE/SANS前25个参赛作品的研究视图以红色突出显示,可见距离。 |
| 2010年CWE/SANS的研究观点,红色前25名 |
|
2010 CWE/SANS前25名参赛 |
|
|
| 2009年CWE/SANS前25个参赛作品,如下所示。 |
| 2009 CWE/SANS前25名 |
|
组件之间的不安全相互作用 |
|
|
冒险的资源管理 |
|
|
多孔防御 |
|
看到可视化档案页。
请联系cwe@mitre.org提出其他观点的建议。
