CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表>报告>链和复合材料
ID

链和复合材料

介绍
介绍

该报告列出了几个连锁店和复合材料,由CWE内部的各种关系。他们帮助说明如何创建软件漏洞,弱点和他们帮助暴露存在的问题分类和术语。

一个是一个序列的两个或两个以上的独立的缺点,可以在软件中紧密联系在一起。一个弱点,X,可以直接创建所必需的条件导致另一个弱点,Y,进入一个脆弱的状态。当这种情况发生时,CWE指X为“主”,从X和Y是“合成”例如,如果一个整数溢出(cwe - 190)时计算分配的内存数量,一位个头矮小的缓冲区将被创建,这可能导致缓冲区溢出(cwe - 120)。在这种情况下,整数溢出将主缓冲区溢出。链可以涉及两个以上的缺点,在某些情况下,他们可能有一个树状结构。

而CWE主要包含“隐式”链接关系,有几个连锁店,是如此普遍,他们被分配自己的CWE标识符。这些被称为命名的链。例如,cwe - 690涵盖了integer-overflow-to-buffer-overflow链在前面的段落。

CWE 1.0和以后的模式,CanPrecede关系是用来识别主要弱点时,和光束用于识别当别人的弱点是合成。这些关系都是在研究概念视图(cwe - 1000)。

一个复合结合两个或两个以上独立的弱点,可以创建一个弱点,但前提是他们都发生在同一时间。一个弱点,X,可以“分解”组件弱点Y和z .例如,符号链接(后cwe - 61)只能通过结合几个组件的弱点,包括可预测性(cwe - 340),权限不足(cwe - 275),竞态条件(cwe - 362)。通过消除任何单个组件,开发人员可以防止复合成为可利用的。可以有弱点在哪些情况下可能不是必要的复合,但复合材料的性质变化时,变成了一个漏洞;例如,交互错误(空字节cwe - 626)可以扩大范围的路径遍历的弱点(CWE-22),通常限制哪些文件可以访问由于文件名的一代的特点。

CWE 1.0和以后的模式,需要关系是组合来识别其组件使用的弱点,和RequiredBy使用组件的复合关系。在草案9中,被称为组件的关系IsRequiredBy

链和复合材料也许可以解释一些现有的安全代码的差异扫描仪。举个例子,一个扫描器可能报告主链的一部分,和不同的扫描仪可能报告结果的部分。扫描仪都将是正确的,但他们会报告不同CWE的标识符在不同的部分代码。是怀疑链有对应工件标签用于脆弱性理论的某些方面(主要是交叉和触发点),但这并未积极探索。

一般来说,连锁和复合材料对脆弱性分类和术语构成挑战。有时研究者只关注一个链中的弱点,或组合的一个组成部分。尝试创建一个层次组织的“漏洞”可以复杂,因为漏洞可以包含多个弱点。CWE团队正在积极研究这些概念。一些早期的讨论中CWE研究列表档案。

回到顶部
CWE-20不正确的输入验证
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > CWE-22不当限制限制目录的路径名(“路径遍历”)
- - > CWE-41不当的解决路径等效
- - > cwe - 74不当中和下游组件使用的特殊元素的输出(注射)
- - > cwe - 770资源配置没有限制或节流
CWE-46路径等效:“文件名”(落后于空间)
- - > cwe - 289认证绕过通过替代名称
CWE-52路径等效:“/多/ / / / /’结尾
- - > cwe - 289认证绕过通过替代名称
cwe - 73外部控制文件名或路径
- - > CWE-22不当限制限制目录的路径名(“路径遍历”)
- - > CWE-41不当的解决路径等效
- - > cwe - 434无限制上传文件与危险的类型
- - > CWE-59不当链接之前决议文件访问(“链接后”)
- - > cwe - 98不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
- - > cwe - 94不当控制生成的代码(代码注入)
cwe - 93中和不当CRLF序列(CRLF注入)
- - > cwe - 117不正确的输出中和日志
cwe - 113不当中和CRLF序列在HTTP头(HTTP请求/响应分裂)
- - > cwe - 79中和不当输入在Web页面生成(“跨站点脚本编制”)
- - > cwe - 494下载的代码没有完整性检查
cwe - 116不当的编码或逃避的输出
- - > cwe - 74不当中和下游组件使用的特殊元素的输出(注射)
cwe - 128环绕式处理错误
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 129不当的验证数组索引
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > cwe - 789内存分配过多的大小值
- - > cwe - 476空指针废弃
- - > cwe - 823超出范围的使用指针偏移量
- - > cwe - 125禁止入内的读
- - > cwe - 787禁止入内的写
cwe - 130处理不当的长度参数不一致
- - > cwe - 805缓冲区长度值不正确的访问
cwe - 134使用外部控制的格式字符串
- - > cwe - 123Write-what-where条件
cwe - 172编码错误
- - > CWE-22不当限制限制目录的路径名(“路径遍历”)
- - > CWE-41不当的解决路径等效
cwe - 173处理不当的替代编码
- - > cwe - 289认证绕过通过替代名称
cwe - 178处理不当的敏感性
- - > cwe - 289认证绕过通过替代名称
- - > cwe - 433未解析的原始Web内容交付
cwe - 183宽容的允许输入列表
- - > cwe - 434无限制上传文件与危险的类型
cwe - 184不允许输入的完整列表
- - > cwe - 434无限制上传文件与危险的类型
- - > cwe - 78不当使用中和特殊元素在一个操作系统命令(OS命令注入)
- - > cwe - 79中和不当输入在Web页面生成(“跨站点脚本编制”)
- - > cwe - 98不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
cwe - 185不正确的正则表达式
- - > cwe - 182数据崩溃到不安全的价值
- - > CWE-33路径遍历:“....”(多个点)
- - > CWE-34路径遍历:“.... / /”
- - > CWE-35路径遍历:“…/…/ /”
- - > cwe - 187部分字符串比较
cwe - 190整数溢出或概括的
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 193错误
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > cwe - 170不当零终止
- - > cwe - 120缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
- - > cwe - 123Write-what-where条件
- - > cwe - 126缓冲罩上
- - > cwe - 617可以断言
cwe - 205可观察到的行为差异
- - > cwe - 514秘密通道
cwe - 208可观测的时间差异
- - > cwe - 327使用损坏或危险的密码算法
- - > cwe - 385秘密时间通道
cwe - 212不当删除敏感信息在存储或传输
- - > cwe - 201敏感信息插入发送数据
cwe - 226敏感信息在资源不被重用
- - > cwe - 201敏感信息插入发送数据
cwe - 231处理不当的额外价值
- - > cwe - 120缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
cwe - 244在发布之前清理不当堆内存(堆检验)
- - > cwe - 669不正确的资源领域之间的转移
cwe - 252不返回值
- - > cwe - 476空指针废弃
cwe - 322没有实体认证密钥交换
- - > cwe - 923不当限制目的端点的通信通道
cwe - 330使用随机值不足
- - > cwe - 804可推测的验证码
cwe - 350依赖反向DNS解析强调安全的行动
- - > cwe - 923不当限制目的端点的通信通道
cwe - 363竞态条件使链接后
- - > CWE-59不当链接之前决议文件访问(“链接后”)
cwe - 364信号处理器竞态条件
- - > cwe - 123Write-what-where条件
- - > cwe - 415双自由
- - > cwe - 416使用后免费
- - > cwe - 120缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
- - > cwe - 123Write-what-where条件
cwe - 390没有行动检测错误条件
- - > cwe - 401失踪之后释放内存有效寿命
cwe - 404不当关机或释放资源
- - > cwe - 619悬空数据库游标(光标注入)
cwe - 410足够的资源池
- - > cwe - 400不受控制的资源消耗
cwe - 425直接请求(“强迫浏览”)
- - > cwe - 471修改Assumed-Immutable数据(服务员)
- - > cwe - 98不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
cwe - 430部署错误处理程序
- - > cwe - 433未解析的原始Web内容交付
cwe - 431丢失的处理程序
- - > cwe - 433未解析的原始Web内容交付
cwe - 441意想不到的代理或中介(困惑副)(又一个复合组件)
- - > cwe - 668曝光资源错误的球体
cwe - 456失踪的初始化一个变量
- - > cwe - 120缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
- - > cwe - 457使用未初始化的变量
- - > cwe - 89不当使用中和特殊元素在一个SQL命令(SQL注入)
- - > cwe - 98不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
cwe - 467使用sizeof()在一个指针类型
- - > cwe - 131不正确的缓冲区大小的计算
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 473PHP外部变量修改
- - > cwe - 98不当控制包括/需要声明在PHP程序的文件名(PHP远程文件包含)
cwe - 479信号处理器使用不可重入函数
- - > cwe - 123Write-what-where条件
cwe - 481分配,而不是比较
- - > cwe - 697不正确的比较
cwe - 489积极的调试代码
- - > cwe - 215敏感信息插入调试代码
cwe - 498可克隆类包含敏感信息
- - > cwe - 200暴露敏感信息的未经授权的演员
cwe - 499可序列化的类包含敏感数据
- - > cwe - 200暴露敏感信息的未经授权的演员
cwe - 562返回堆栈变量的地址
- - > cwe - 672过期或释放后操作资源
- - > cwe - 825过期的指针
- - > cwe - 125禁止入内的读
- - > cwe - 787禁止入内的写
cwe - 567同步多线程访问共享数据上下文
- - > cwe - 488暴露错误的会话的数据元素
cwe - 570表达式总是错误的
- - > cwe - 561死代码
cwe - 571表达式总是正确的
- - > cwe - 561死代码
cwe - 590空闲的内存不是在堆上
- - > cwe - 123Write-what-where条件
cwe - 600在Servlet异常
- - > cwe - 209代的包含敏感信息的错误消息
cwe - 602客户端执行服务器端安全
- - > cwe - 471修改Assumed-Immutable数据(服务员)
cwe - 606检查循环条件的输入
- - > cwe - 834过多的迭代
cwe - 609双重检查锁定
- - > cwe - 367Time-of-check分时(TOCTOU)竞态条件
cwe - 613会话过期不足(又一个复合组件)
- - > cwe - 287不适当的身份验证
cwe - 621变量提取错误
- - > cwe - 471修改Assumed-Immutable数据(服务员)
cwe - 656通过模糊的安全的依赖
- - > cwe - 259使用硬编码的密码
- - > cwe - 321使用硬编码的加密密钥
- - > cwe - 472外部控制Assumed-Immutable Web参数(又一个复合组件)
cwe - 662不同步
- - > cwe - 362使用共享资源与不当同步并发执行(“竞争条件”)(又一个复合组件)
cwe - 681不正确的数值类型之间的转换
- - > cwe - 682错误的计算
- - > cwe - 170不当零终止
cwe - 756失踪的自定义错误页面
- - > cwe - 209代的包含敏感信息的错误消息
cwe - 782暴露IOCTL访问控制不足
- - > cwe - 781不当的地址验证的IOCTL METHOD_NEITHER I / O控制代码
- - > cwe - 822不可信的指针
- - > cwe - 125禁止入内的读
- - > cwe - 787禁止入内的写
cwe - 824访问未初始化的指针
- - > cwe - 125禁止入内的读
- - > cwe - 787禁止入内的写
cwe - 826预期寿命期间过早释放资源
- - > cwe - 672过期或释放后操作资源
cwe - 827文档类型定义的控制不当
- - > cwe - 776不当限制递归实体引用dtd (XML实体扩张)
cwe - 839没有最低检查数字范围比较
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > cwe - 124缓冲区承销(缓冲区下溢)
- - > cwe - 195签署无符号转换错误
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > cwe - 682错误的计算
cwe - 843访问资源的使用不兼容的类型(类型混淆)
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 909失踪的初始化资源
- - > cwe - 908使用未初始化资源
cwe - 911不更新的引用计数
- - > cwe - 672过期或释放后操作资源
- - > cwe - 772失踪后释放资源的有效寿命
cwe - 941在通信信道错误指定目的地
- - > cwe - 406控制的网络消息量不足(网络放大)
cwe - 942宽容与不可信域跨域策略
- - > cwe - 668曝光资源错误的球体
cwe - 1257不适当的访问控制应用到镜像或别名内存区域
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 1260处理不当的重叠范围受保护的内存
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
cwe - 1265意想不到的可重入调用不可重入的代码通过嵌套调用
- - > cwe - 416使用后免费
cwe - 1272敏感信息未清偿前调试/功率状态转换
- - > cwe - 200暴露敏感信息的未经授权的演员
cwe - 1275敏感的饼干和不当SameSite属性
- - > cwe - 352跨站请求伪造(CSRF)(复合)
cwe - 1282Assumed-Immutable数据存储在可写内存
- - > cwe - 471修改Assumed-Immutable数据(服务员)
cwe - 1321控制不当修改对象原型属性(原型污染)
- - > cwe - 471修改Assumed-Immutable数据(服务员)
cwe - 1322在单线程中使用阻塞的代码,非阻塞上下文
- - > cwe - 835循环和遥不可及的退出条件(无限循环)
cwe - 1325顺序控制内存分配不当
- - > cwe - 476空指针废弃
cwe - 1339精度不足或精度实数
- - > cwe - 119不当的操作限制的范围内一个内存缓冲区
- - > cwe - 834过多的迭代
cwe - 1341多个版本的相同的资源或处理
- - > cwe - 672过期或释放后操作资源
回到顶部
命名的链
命名的链
cwe - 680 整数溢出缓冲区溢出
cwe - 690 检查返回值为NULL指针
cwe - 692 不完整的Denylist跨站点脚本
回到顶部
复合材料
复合材料
cwe - 61UNIX符号链接(符号链接)
  • cwe - 340一代的可预测的数字或标识符
  • cwe - 362使用共享资源与不当同步并发执行(“竞争条件”)(也是一个链链接)
  • cwe - 386符号名称映射到正确的对象
  • cwe - 732不正确的权限分配的关键资源
cwe - 352跨站请求伪造(CSRF)(也是一个链链接)
  • cwe - 346起源验证错误
  • cwe - 441意想不到的代理或中介(困惑副)(也是一个链链接)
  • cwe - 613会话过期不足(也是一个链链接)
  • cwe - 642外部控制临界状态的数据
cwe - 384会话固定
  • cwe - 346起源验证错误
  • cwe - 441意想不到的代理或中介(困惑副)(也是一个链链接)
  • cwe - 472外部控制Assumed-Immutable Web参数(也是一个链链接)
cwe - 689在资源复制许可竞态条件
  • cwe - 362使用共享资源与不当同步并发执行(“竞争条件”)(也是一个链链接)
  • cwe - 732不正确的权限分配的关键资源
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2023年1月31日

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页