| 20. |
不正确的输入验证 |
|
主要 |
Demonstrative_Examples、描述 |
|
小 |
没有一个 |
| 22 |
不当限制限制目录的路径名(“路径遍历”) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 34 |
路径遍历:“.... / /” |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 35 |
路径遍历:“…/…/ /” |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 49 |
路径等效:“文件名/”(末尾斜杠) |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 69年 |
处理不当的Windows:数据替代数据流 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 74年 |
不当中和下游组件使用的特殊元素的输出(注射) |
|
主要 |
Common_Consequences, Relationship_Notes |
|
小 |
没有一个 |
| 75年 |
未能清洁特殊元素转换为不同的平面(特殊元素注入) |
|
主要 |
描述 |
|
小 |
没有一个 |
| 76年 |
不当中和等效特殊元素 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 78年 |
不当使用中和特殊元素在一个操作系统命令(OS命令注入) |
|
主要 |
描述,Potential_Mitigations |
|
小 |
没有一个 |
| 85年 |
翻了一番个性XSS操作 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 87年 |
中和不当交替XSS语法 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 94年 |
未能控制生成的代码(代码注入) |
|
主要 |
没有一个 |
|
小 |
Common_Consequences |
| 98年 |
不当控制包括/需要声明在PHP程序的文件名(PHP文件包含) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 103年 |
Struts:不完整的validate()方法的定义 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 116年 |
不当的编码或逃避的输出 |
|
主要 |
没有一个 |
|
小 |
Common_Consequences |
| 117年 |
不正确的输出中和日志 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 119年 |
不当的操作限制的范围内一个内存缓冲区 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 120年 |
缓冲区复制没有检查输入的大小(经典的缓冲区溢出) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 123年 |
Write-what-where条件 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 128年 |
环绕式处理错误 |
|
主要 |
Background_Details |
|
小 |
没有一个 |
| 129年 |
不当的验证数组索引 |
|
主要 |
Demonstrative_Examples、Observed_Examples Potential_Mitigations |
|
小 |
没有一个 |
| 130年 |
处理不当的长度参数不一致 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 131年 |
不正确的缓冲区大小的计算 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 138年 |
不当中和特殊元素 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 168年 |
不一致的特殊元素的处理不当 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 170年 |
不当零终止 |
|
主要 |
没有一个 |
|
小 |
Common_Consequences |
| 172年 |
编码错误 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 173年 |
处理不当的替代编码 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 175年 |
处理不当的混合编码 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 176年 |
Unicode编码的处理不当 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 177年 |
处理不当的URL编码(十六进制编码) |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 178年 |
处理不当的敏感性 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 182年 |
数据崩溃到不安全的价值 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 193年 |
错误 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 194年 |
意想不到的符号扩展 |
|
主要 |
Applicable_Platforms |
|
小 |
没有一个 |
| 196年 |
未签名的签名转换错误 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 197年 |
数字截断误差 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 201年 |
信息暴露通过发送数据 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 211年 |
Product-External错误消息的信息泄漏 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 226年 |
敏感信息发布前未清偿 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 227年 |
未能满足API合同(“API滥用”) |
|
主要 |
描述 |
|
小 |
没有一个 |
| 243年 |
创建chroot监狱不改变工作目录 |
|
主要 |
Demonstrative_Examples、名称 |
|
小 |
没有一个 |
| 244年 |
在发布之前清理不当堆内存(堆检验) |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 252年 |
不返回值 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 258年 |
空密码配置文件 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 259年 |
使用硬编码的密码 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 272年 |
最小特权违反 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 296年 |
不当的信任证书链验证 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 297年 |
不当的寄主专一性的证书验证数据 |
|
主要 |
描述,Other_Notes |
|
小 |
没有一个 |
| 299年 |
检查证书撤销不当 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 300年 |
通道由Non-Endpoint访问(“中间人”) |
|
主要 |
描述 |
|
小 |
没有一个 |
| 309年 |
使用基本身份验证密码系统 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 311年 |
失踪的敏感数据的加密 |
|
主要 |
Demonstrative_Examples、Observed_Examples Related_Attack_Patterns |
|
小 |
没有一个 |
| 313年 |
明文存储在文件或磁盘 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 319年 |
明文传输的敏感信息 |
|
主要 |
Observed_Examples, Related_Attack_Patterns |
|
小 |
没有一个 |
| 321年 |
使用硬编码的加密密钥 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 344年 |
在动态变化的环境中使用不变的价值 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 345年 |
验证数据的真实性不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 346年 |
起源验证错误 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 353年 |
缺少支持完整性检查 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 354年 |
不当的验证完整性检查的价值 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 362年 |
使用共享资源与不当同步并发执行(“竞争条件”) |
|
主要 |
Applicable_Platforms, Demonstrative_Examples、描述、名称、Potential_Mitigations关系 |
|
小 |
没有一个 |
| 363年 |
竞态条件使链接后 |
|
主要 |
Other_Notes, Relationship_Notes |
|
小 |
没有一个 |
| 364年 |
信号处理器竞态条件 |
|
主要 |
Common_Consequences Demonstrative_Examples,描述、Observed_Examples Other_Notes Potential_Mitigations、人际关系 |
|
小 |
没有一个 |
| 367年 |
Time-of-check分时(TOCTOU)竞态条件 |
|
主要 |
Alternate_Terms、人际关系 |
|
小 |
没有一个 |
| 368年 |
上下文切换竞态条件 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 371年 |
状态问题 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 372年 |
不完整的内部状态的区别 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 373年 |
弃用:状态同步误差 |
|
主要 |
Applicable_Platforms、Common_Consequences Demonstrative_Examples、描述Likelihood_of_Exploit,名字,Other_Notes, Potential_Mitigations,关系,Taxonomy_Mappings Time_of_Introduction、类型 |
|
小 |
没有一个 |
| 374年 |
将可变对象传递给一个不可信的方法 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 381年 |
J2EE的时间和状态的问题 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 383年 |
J2EE坏做法:直接使用线程 |
|
主要 |
描述、Other_Notes关系 |
|
小 |
没有一个 |
| 392年 |
失踪的报告错误条件 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 398年 |
可怜的代码质量的指标 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 401年 |
不当释放的内存之前删除最后引用(内存泄漏) |
|
主要 |
Demonstrative_Examples、名称 |
|
小 |
没有一个 |
| 404年 |
不当关机或释放资源 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 405年 |
不对称的资源消耗(放大) |
|
主要 |
描述 |
|
小 |
没有一个 |
| 413年 |
不恰当的资源锁定 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 415年 |
双自由 |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 416年 |
使用后免费 |
|
主要 |
Alternate_Terms Common_Consequences,描述、Observed_Examples Other_Notes Potential_Mitigations、人际关系 |
|
小 |
Demonstrative_Examples |
| 419年 |
不受保护的主要通道 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 424年 |
保护不当备用路径 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 431年 |
丢失的处理程序 |
|
主要 |
描述,Other_Notes |
|
小 |
没有一个 |
| 432年 |
危险信号处理器不敏感操作期间禁用 |
|
主要 |
Applicable_Platforms、描述、名称、Potential_Mitigations关系,Taxonomy_Mappings |
|
小 |
没有一个 |
| 434年 |
无限制上传文件与危险的类型 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 437年 |
不完整的端点特性模型 |
|
主要 |
Other_Notes, Relationship_Notes |
|
小 |
没有一个 |
| 471年 |
修改Assumed-Immutable数据(服务员) |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 472年 |
外部控制Assumed-Immutable Web参数 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 476年 |
空指针废弃 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 479年 |
信号处理器使用不可重入函数 |
|
主要 |
Demonstrative_Examples、描述、名称、Observed_Examples Other_Notes Potential_Mitigations、人际关系 |
|
小 |
没有一个 |
| 488年 |
会话之间的数据泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 494年 |
下载的代码没有完整性检查 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 543年 |
使用单例模式没有同步在多线程环境中 |
|
主要 |
Applicable_Platforms, Demonstrative_Examples、描述Potential_Mitigations、引用关系,Taxonomy_Mappings |
|
小 |
没有一个 |
| 544年 |
缺少标准化的错误处理机制 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 567年 |
同步多线程访问共享数据上下文 |
|
主要 |
Applicable_Platforms、Common_Consequences Demonstrative_Examples、描述、名称、Other_Notes Potential_Mitigations、人际关系 |
|
小 |
没有一个 |
| 574年 |
EJB坏实践:使用同步原语 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 580年 |
没有super.clone clone()方法() |
|
主要 |
描述 |
|
小 |
没有一个 |
| 581年 |
违反对象模型:定义Equals和Hashcode之一 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 595年 |
比较对象引用,而不是对象的内容 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 599年 |
OpenSSL的信任证书没有验证 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 600年 |
在Servlet异常 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 602年 |
客户端执行服务器端安全 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 609年 |
双重检查锁定 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 636年 |
不是不安全(不开放) |
|
主要 |
Research_Gaps |
|
小 |
没有一个 |
| 637年 |
不必要的复杂性在保护机制(不使用“经济机制”) |
|
主要 |
名字,Research_Gaps |
|
小 |
没有一个 |
| 638年 |
不使用完整的中介 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 639年 |
访问控制旁路通过用户控制的关键 |
|
主要 |
没有一个 |
|
小 |
Common_Consequences |
| 640年 |
弱密码恢复机制忘记密码 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 641年 |
不当限制文件和其他资源的名称 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 643年 |
不当中和数据在XPath表达式(XPath注入) |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 644年 |
不当的HTTP头中和脚本语法 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 646年 |
依赖外来文件的文件名或扩展 |
|
主要 |
Applicable_Platforms, Common_Consequences |
|
小 |
没有一个 |
| 647年 |
使用非规范的URL路径进行授权决策 |
|
主要 |
Common_Consequences |
|
小 |
Observed_Examples |
| 648年 |
不正确的使用特权的api |
|
主要 |
Common_Consequences、描述 |
|
小 |
没有一个 |
| 649年 |
依赖混淆或加密的安全相关的输入没有完整性检查 |
|
主要 |
Common_Consequences、描述Enabling_Factors_for_Exploitation Observed_Examples |
|
小 |
没有一个 |
| 651年 |
通过WSDL文件公开的信息 |
|
主要 |
Common_Consequences |
|
小 |
描述 |
| 652年 |
不当中和在XQuery表达式的数据(“XQuery注入”) |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 653年 |
划分不足 |
|
主要 |
Other_Notes、Relationship_Notes Terminology_Notes |
|
小 |
没有一个 |
| 662年 |
不同步 |
|
主要 |
描述关系,Taxonomy_Mappings |
|
小 |
没有一个 |
| 663年 |
在并发环境中使用不可重入函数 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 664年 |
资源的不当控制通过它的生命周期 |
|
主要 |
描述,关系 |
|
小 |
没有一个 |
| 667年 |
不适当的锁定 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 669年 |
不正确的资源领域之间的转移 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 684年 |
未能提供指定的功能 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 691年 |
控制流管理不足 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 703年 |
检查或不当处理异常情况 |
|
主要 |
名字,Relationship_Notes |
|
小 |
没有一个 |
| 706年 |
使用Incorrectly-Resolved名称或引用 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 732年 |
不正确的权限分配的关键资源 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 754年 |
不适当的检查异常或异常情况 |
|
主要 |
Relationship_Notes |
|
小 |
没有一个 |
| 755年 |
异常情况的处理不当 |
|
主要 |
描述,Observed_Examples |
|
小 |
没有一个 |
| 756年 |
失踪的自定义错误页面 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 766年 |
关键变量声明的公共 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 769年 |
文件描述符疲惫 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 776年 |
无限制的递归实体引用dtd (“XML炸弹”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 798年 |
使用硬编码的凭证 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 805年 |
缓冲区长度值不正确的访问 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 820年 |
失踪的同步 |
|
主要 |
Demonstrative_Examples、人际关系 |
|
小 |
没有一个 |
| 821年 |
不正确的同步 |
|
主要 |
的关系 |
|
小 |
没有一个 |
