CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表>报告> 1.13版本和2.0版本之间的差异
ID

1.13版本和2.0版本之间的差异

总结
总结
总(版本2.0) 870年
总(版本1.13) 865年
新总 5
总不赞成 0
总共享 865年
总重要的变化 42
总重大变化 221年
总微小的变化 1
微小的改动(不重要) 1
总保持不变 643年

摘要条目类型

类型 版本1.13 版本2.0
类别 137年 141年
3 3
复合 6 6
弃用 12 12
视图 25 26
弱点 682年 682年

回到顶部
字段更改摘要
字段更改摘要

任何变化对空格将被忽略。“小”更改文本的变化只影响大小写和标点符号。其他更改标记为“大”。Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.

主要
的名字 0 0
描述 0 0
Applicable_Platforms 0 0
Time_of_Introduction 0 0
Demonstrative_Examples 11 0
Detection_Factors 0 0
Likelihood_of_Exploit 0 0
Common_Consequences 186年 0
的关系 42 0
引用 1 0
Potential_Mitigations 4 0
Observed_Examples 7 1
Terminology_Notes 0 0
Alternate_Terms 0 0
Related_Attack_Patterns 11 0
Relationship_Notes 0 0
Taxonomy_Mappings 0 0
Maintenance_Notes 0 0
Modes_of_Introduction 1 0
Affected_Resources 0 0
Functional_Areas 0 0
Research_Gaps 0 0
Background_Details 0 0
Theoretical_Notes 0 0
Weakness_Ordinalities 0 0
White_Box_Definitions 0 0
Enabling_Factors_for_Exploitation 0 0
Other_Notes 0 0
Relevant_Properties 0 0
View_Type 0 0
View_Structure 0 0
View_Filter 0 0
View_Audience 0 0
Common_Methods_of_Exploitation 0 0
类型 0 0
Causal_Nature 0 0
Source_Taxonomy 0 0
Context_Notes 0 0
Black_Box_Definitions 0 0

形式和抽象的变化

不变 865年

状态更改

不变 865年

关系的变化

“2.0版总”名单的总数的关系在版本2.0。“共享”价值关系的条目的总数2.0版和1.13版。“新”值的关系涉及的条目总数1.13版本中不存在。因此,关系的总数在2.0版本将结合统计数据从共享条目和新条目。

的关系 2.0版本总 1.13版本总 2.0版本共享 不变 添加到版本2.0 从1.13版本 2.0版本新
所有 5487年 5395年 5397年 5395年 2 90年
ChildOf 2367年 2325年 2326年 2325年 1 41
ParentOf 2367年 2325年 2326年 2325年 1 41
MemberOf 140年 136年 136年 136年 4
HasMember 140年 136年 136年 136年 4
CanPrecede 113年 113年 113年 113年
光束 113年 113年 113年 113年
StartsWith 3 3 3 3
需要 19 19 19 19
RequiredBy 19 19 19 19
CanAlsoBe 34 34 34 34
PeerOf 172年 172年 172年 172年

节点从1.13版本删除

CWE-ID CWE的名字
一个也没有。

节点添加到版本2.0

CWE-ID CWE的名字
864年 2011年前25 -安全组件之间的交互
865年 2011年前25 -资源管理风险
866年 2011年前25 -多孔防御
867年 2011年处于25 -弱点
900年 弱点在2011 CWE / SANS最危险的软件错误

在2.0版本节点弃用

CWE-ID CWE的名字
一个也没有。
回到顶部
重要的变化
重要的变化

变化是一个节点标记为“重要”,如果它是一个主要字段变化和字段的意义是至关重要的节点。关键字段描述、名称和关系。

关键
D 描述
N 的名字
R 的关系

R 22 不当限制限制目录的路径名(“路径遍历”)
R 78年 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
R 79年 中和不当输入在Web页面生成(“跨站点脚本编制”)
R 89年 不当使用中和特殊元素在一个SQL命令(SQL注入)
R 98年 不当控制包括/需要声明在PHP程序的文件名(PHP文件包含)
R 120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
R 129年 不当的验证数组索引
R 131年 不正确的缓冲区大小的计算
R 134年 不受控制的格式字符串
R 190年 整数溢出或概括的
R 209年 通过一个错误消息公开的信息
R 212年 不当跨境删除敏感数据
R 250年 执行与不必要的特权
R 306年 失踪的身份验证的重要功能
R 307年 不当限制过度的身份验证
R 311年 失踪的敏感数据的加密
R 327年 使用损坏或危险的密码算法
R 330年 使用随机值不足
R 352年 跨站请求伪造(CSRF)
R 362年 使用共享资源与不当同步并发执行(“竞争条件”)
R 434年 无限制上传文件与危险的类型
R 456年 失踪的初始化
R 476年 空指针废弃
R 494年 下载的代码没有完整性检查
R 601年 URL重定向不可信的网站(“开放重定向”)
R 676年 潜在的危险函数的使用
R 681年 不正确的数值类型之间的转换
R 732年 不正确的权限分配的关键资源
R 754年 不适当的检查异常或异常情况
R 759年 使用单向散列没有盐
R 770年 资源配置没有限制或节流
R 772年 失踪后释放资源的有效寿命
R 798年 使用硬编码的凭证
R 805年 缓冲区长度值不正确的访问
R 807年 依赖不可信的输入在一个安全的决定
R 822年 不可信的指针
R 825年 过期的指针
R 829年 包含的功能不受信任的控制范围
R 838年 不恰当的编码输出环境
R 841年 不当行为的执行工作流
R 862年 失踪的授权
R 863年 错误的授权
回到顶部
详细的差异报告
详细的差异报告
11 ASP。NET Misconfiguration: Creating Debug Binary
主要 Common_Consequences
没有一个
12 ASP。NET Misconfiguration: Missing Custom Error Page
主要 Common_Consequences
没有一个
15 外部控制系统或配置设置
主要 Common_Consequences
没有一个
22 不当限制限制目录的路径名(“路径遍历”)
主要 的关系
没有一个
78年 不当使用中和特殊元素在一个操作系统命令(OS命令注入)
主要 的关系
没有一个
79年 中和不当输入在Web页面生成(“跨站点脚本编制”)
主要 的关系
没有一个
84年 中和不当URI编码方案在一个Web页面
主要 Common_Consequences
没有一个
89年 不当使用中和特殊元素在一个SQL命令(SQL注入)
主要 的关系
没有一个
98年 不当控制包括/需要声明在PHP程序的文件名(PHP文件包含)
主要 的关系
没有一个
102年 Struts:重复验证形式
主要 Common_Consequences
没有一个
105年 Struts:表单字段验证器
主要 Common_Consequences
没有一个
106年 Struts:不使用的插件框架
主要 Common_Consequences
没有一个
107年 Struts:未使用的验证形式
主要 Common_Consequences
没有一个
112年 失踪的XML验证
主要 Common_Consequences
没有一个
115年 误解的输入
主要 Common_Consequences
没有一个
118年 不当访问索引资源(距离误差)
主要 Common_Consequences
没有一个
120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
主要 的关系
没有一个
129年 不当的验证数组索引
主要 的关系
没有一个
130年 处理不当的长度参数不一致
主要 Common_Consequences
没有一个
131年 不正确的缓冲区大小的计算
主要 的关系
没有一个
134年 不受控制的格式字符串
主要 Modes_of_Introduction、人际关系
没有一个
135年 多字节字符串长度不正确的计算
主要 Common_Consequences
没有一个
140年 中和不当分隔符
主要 Common_Consequences
没有一个
141年 参数的不当中和/参数分隔符
主要 Common_Consequences
没有一个
142年 不当的中和值分隔符
主要 Common_Consequences
没有一个
143年 不当中和记录分隔符
主要 Common_Consequences
没有一个
144年 中和不当行分隔符
主要 Common_Consequences
没有一个
145年 不当截面中和分隔符
主要 Common_Consequences
没有一个
147年 中和不当输入结束符
主要 Common_Consequences
没有一个
148年 不当中和输入的领导人
主要 Common_Consequences
没有一个
149年 中和不当引用语法
主要 Common_Consequences
没有一个
150年 中和不当逃脱、元或控制序列
主要 Common_Consequences
没有一个
151年 中和不当评论分隔符
主要 Common_Consequences
没有一个
152年 不当中和宏观符号
主要 Common_Consequences
没有一个
153年 不当中和替换字符
主要 Common_Consequences
没有一个
154年 中和不当变量名称分隔符
主要 Common_Consequences
没有一个
155年 不当中和通配符或匹配的符号
主要 Common_Consequences
没有一个
156年 不当中和的空白
主要 Common_Consequences
没有一个
157年 未能净化成对分隔符
主要 Common_Consequences
没有一个
158年 中和不当零字节或NUL字符
主要 Common_Consequences
没有一个
159年 未能清洁特殊元素
主要 Common_Consequences
没有一个
160年 不当中和领导特殊元素
主要 Common_Consequences
没有一个
161年 不当中和多个领先的特殊元素
主要 Common_Consequences
没有一个
162年 不当中和落后于特殊的元素
主要 Common_Consequences
没有一个
163年 不当中和多种特殊元素
主要 Common_Consequences
没有一个
164年 不当中和内部特殊的元素
主要 Common_Consequences
没有一个
165年 不当中和多个内部特殊的元素
主要 Common_Consequences
没有一个
167年 额外的特殊元素的处理不当
主要 Common_Consequences
没有一个
172年 编码错误
主要 Common_Consequences
没有一个
175年 处理不当的混合编码
主要 Common_Consequences
没有一个
176年 Unicode编码的处理不当
主要 Common_Consequences
没有一个
177年 处理不当的URL编码(十六进制编码)
主要 Common_Consequences
没有一个
187年 部分比较
主要 Common_Consequences
没有一个
190年 整数溢出或概括的
主要 的关系
没有一个
191年 整数下溢(包装或概括)
主要 Common_Consequences
没有一个
193年 错误
主要 Common_Consequences
没有一个
195年 签署无符号转换错误
主要 Common_Consequences
没有一个
198年 使用不正确的字节顺序
主要 Common_Consequences
没有一个
209年 通过一个错误消息公开的信息
主要 的关系
没有一个
212年 不当跨境删除敏感数据
主要 Demonstrative_Examples、人际关系
没有一个
227年 不当的实现API合同(“API滥用”)
主要 Common_Consequences
没有一个
228年 处理不当的语法无效的结构
主要 Common_Consequences
没有一个
229年 处理不当的价值观
主要 Common_Consequences
没有一个
230年 缺失值的处理不当
主要 Common_Consequences
没有一个
231年 处理不当的额外价值
主要 Common_Consequences
没有一个
232年 未定义的值的处理不当
主要 Common_Consequences
没有一个
233年 参数问题
主要 Common_Consequences
没有一个
235年 处理不当的额外参数
主要 Common_Consequences
没有一个
236年 处理不当的未定义的参数
主要 Common_Consequences
没有一个
237年 结构元素的处理不当
主要 Common_Consequences
没有一个
238年 不当的处理不完整的结构元素
主要 Common_Consequences
没有一个
239年 故障处理不完整的元素
主要 Common_Consequences
没有一个
240年 不当的处理不一致的结构元素
主要 Common_Consequences
没有一个
241年 处理不当的意想不到的数据类型
主要 Common_Consequences
没有一个
242年 固有的危险函数的使用
主要 Common_Consequences
没有一个
245年 J2EE坏做法:直接管理的连接
主要 Common_Consequences
没有一个
246年 J2EE坏做法:直接使用套接字
主要 Common_Consequences
没有一个
250年 执行与不必要的特权
主要 Demonstrative_Examples、人际关系
没有一个
252年 不返回值
主要 Common_Consequences
没有一个
262年 不使用密码老化
主要 Common_Consequences
没有一个
263年 与长过期密码老化
主要 Common_Consequences
没有一个
283年 未经证实的所有权
主要 Common_Consequences
没有一个
284年 访问控制不当
主要 Common_Consequences
没有一个
286年 不正确的用户管理
主要 Common_Consequences
没有一个
306年 失踪的身份验证的重要功能
主要 的关系
没有一个
307年 不当限制过度的身份验证
主要 Common_Consequences Related_Attack_Patterns,关系
没有一个
311年 失踪的敏感数据的加密
主要 的关系
没有一个
322年 没有实体认证密钥交换
主要 Common_Consequences
没有一个
327年 使用损坏或危险的密码算法
主要 的关系
没有一个
330年 使用随机值不足
主要 的关系
没有一个
337年 可预测的种子在PRNG
主要 Common_Consequences
没有一个
339年 小种子在PRNG空间
主要 Common_Consequences
没有一个
340年 可预见性的问题
主要 Common_Consequences
没有一个
341年 预测从可观察到的状态
主要 Common_Consequences
没有一个
342年 从先前的值可以预测的精确值
主要 Common_Consequences
没有一个
343年 可预测的值从之前的值
主要 Common_Consequences
没有一个
344年 在动态变化的环境中使用不变的价值
主要 Common_Consequences
没有一个
345年 验证数据的真实性不足
主要 Common_Consequences
没有一个
346年 起源验证错误
主要 Common_Consequences
没有一个
352年 跨站请求伪造(CSRF)
主要 的关系
没有一个
362年 使用共享资源与不当同步并发执行(“竞争条件”)
主要 的关系
没有一个
365年 竞态条件的开关
主要 Common_Consequences
没有一个
366年 在一个线程竞争条件
主要 Common_Consequences
没有一个
367年 Time-of-check分时(TOCTOU)竞态条件
主要 Common_Consequences
没有一个
372年 不完整的内部状态的区别
主要 Common_Consequences
没有一个
383年 J2EE坏做法:直接使用线程
主要 Common_Consequences
没有一个
390年 没有行动检测错误条件
主要 Common_Consequences
没有一个
391年 未经检查的错误条件
主要 Common_Consequences
没有一个
392年 失踪的报告错误条件
主要 Common_Consequences
没有一个
393年 返回错误状态码
主要 Common_Consequences
没有一个
394年 意想不到的状态代码或返回值
主要 Common_Consequences
没有一个
398年 可怜的代码质量的指标
主要 Common_Consequences
没有一个
403年 曝光的文件描述符意想不到的控制范围
主要 Common_Consequences
没有一个
404年 不当关机或释放资源
主要 Common_Consequences
没有一个
405年 不对称的资源消耗(放大)
主要 Common_Consequences
没有一个
416年 使用后免费
主要 Demonstrative_Examples
没有一个
424年 保护不当备用路径
主要 Common_Consequences
没有一个
430年 部署错误处理程序
主要 Common_Consequences
没有一个
431年 丢失的处理程序
主要 Common_Consequences
没有一个
434年 无限制上传文件与危险的类型
主要 的关系
没有一个
435年 交互错误
主要 Common_Consequences
没有一个
436年 解释的冲突
主要 Common_Consequences
没有一个
437年 不完整的端点特性模型
主要 Common_Consequences
没有一个
439年 在新版本或环境中行为变化
主要 Common_Consequences
没有一个
440年 预期行为违反
主要 Common_Consequences
没有一个
441年 意想不到的代理/中介
主要 Common_Consequences
没有一个
446年 UI安全特性的差异
主要 Common_Consequences
没有一个
447年 未实现的或不支持的UI功能
主要 Common_Consequences
没有一个
448年 过时的功能界面
主要 Common_Consequences
没有一个
449年 UI执行错误的行动
主要 Common_Consequences
没有一个
450年 用户界面输入的多种解释
主要 Common_Consequences
没有一个
456年 失踪的初始化
主要 Common_Consequences、人际关系
没有一个
460年 清理不当抛出异常
主要 Common_Consequences
没有一个
462年 重复键关联列表中(倾斜的)
主要 Common_Consequences
没有一个
464年 哨兵的数据结构
主要 Common_Consequences
没有一个
467年 使用sizeof()在一个指针类型
主要 Common_Consequences
没有一个
468年 不正确的指针扩展
主要 Common_Consequences
没有一个
472年 外部控制Assumed-Immutable Web参数
主要 Common_Consequences
没有一个
474年 使用的功能不一致的实现
主要 Common_Consequences
没有一个
475年 未定义的行为的输入API
主要 Common_Consequences
没有一个
476年 空指针废弃
主要 Related_Attack_Patterns、人际关系
没有一个
477年 使用过时的函数
主要 Common_Consequences
没有一个
478年 失踪的默认情况下在Switch语句
主要 Common_Consequences
没有一个
479年 信号处理器使用不可重入函数
主要 Common_Consequences
没有一个
482年 比较,而不是分配
主要 Common_Consequences
没有一个
483年 不正确的块划定
主要 Common_Consequences
没有一个
485年 不足的封装
主要 Common_Consequences
没有一个
489年 剩下的调试代码
主要 Common_Consequences
没有一个
491年 没有最后的公众可克隆()方法(“对象劫持”)
主要 Common_Consequences
没有一个
494年 下载的代码没有完整性检查
主要 的关系
没有一个
511年 逻辑/定时炸弹
主要 Common_Consequences
没有一个
525年 通过浏览器缓存信息曝光
主要 Common_Consequences
没有一个
531年 通过测试代码信息曝光
主要 Common_Consequences
没有一个
544年 缺少标准化的错误处理机制
主要 Common_Consequences
没有一个
546年 可疑的评论
主要 Common_Consequences
没有一个
547年 使用硬编码、安全相关的常数
主要 Common_Consequences
没有一个
554年 ASP。NET Misconfiguration: Not Using Input Validation Framework
主要 Common_Consequences
没有一个
563年 未使用的变量
主要 Common_Consequences
没有一个
568年 没有super.finalize finalize()方法()
主要 Common_Consequences
没有一个
570年 表达式总是错误的
主要 Common_Consequences
没有一个
571年 表达式总是正确的
主要 Common_Consequences
没有一个
572年 调用线程运行()而不是开始()
主要 Common_Consequences
没有一个
573年 不当的规范由调用者
主要 Common_Consequences
没有一个
574年 EJB坏实践:使用同步原语
主要 Common_Consequences
没有一个
575年 EJB坏实践:使用AWT摇摆
主要 Common_Consequences
没有一个
576年 EJB坏实践:使用Java I / O
主要 Common_Consequences
没有一个
577年 EJB坏实践:使用套接字
主要 Common_Consequences
没有一个
578年 EJB坏实践:使用类加载器
主要 Common_Consequences
没有一个
579年 J2EE坏实践:Non-serializable对象存储在会话中
主要 Common_Consequences
没有一个
580年 没有super.clone clone()方法()
主要 Common_Consequences
没有一个
583年 宣布公共finalize()方法
主要 Common_Consequences
没有一个
586年 显式的调用Finalize ()
主要 Common_Consequences
没有一个
589年 调用Non-ubiquitous API
主要 Common_Consequences
没有一个
593年 认证绕过:OpenSSL CTX对象修改后SSL创建对象
主要 Common_Consequences
没有一个
601年 URL重定向不可信的网站(“开放重定向”)
主要 的关系
没有一个
605年 多个绑定到相同的端口
主要 Common_Consequences
没有一个
622年 用户搜索函数钩参数
主要 Common_Consequences
没有一个
626年 零字节交互错误(毒Null字节)
主要 Common_Consequences
没有一个
628年 函数调用与指定参数不正确
主要 Common_Consequences
没有一个
649年 依赖混淆或加密的安全相关的输入没有完整性检查
主要 Common_Consequences
没有一个
669年 不正确的资源领域之间的转移
主要 Common_Consequences
没有一个
671年 缺乏安全管理员控制
主要 Common_Consequences
没有一个
676年 潜在的危险函数的使用
主要 Common_Consequences、Observed_Examples Potential_Mitigations、引用关系
没有一个
681年 不正确的数值类型之间的转换
主要 Common_Consequences Observed_Examples,关系
没有一个
683年 函数调用与不正确的参数
主要 Common_Consequences
没有一个
684年 不正确的提供指定的功能
主要 Common_Consequences
没有一个
685年 函数调用的参数的数量不正确
主要 Common_Consequences
没有一个
686年 函数调用与不正确的参数类型
主要 Common_Consequences
没有一个
687年 函数调用与指定参数值不正确
主要 Common_Consequences
没有一个
688年 与不正确的变量或函数调用引用作为参数
主要 Common_Consequences
没有一个
694年 与重复使用多个资源标识符
主要 Common_Consequences
没有一个
696年 不正确的行为秩序
主要 Common_Consequences
没有一个
703年 检查或不当处理异常情况
主要 Common_Consequences
没有一个
732年 不正确的权限分配的关键资源
主要 的关系
没有一个
754年 不适当的检查异常或异常情况
主要 Common_Consequences Related_Attack_Patterns,关系
没有一个
759年 使用单向散列没有盐
主要 Common_Consequences、Demonstrative_Examples Potential_Mitigations Related_Attack_Patterns,关系
没有一个
764年 一个关键资源的多个锁
主要 Common_Consequences
没有一个
765年 多个打开的关键资源
主要 Common_Consequences
没有一个
770年 资源配置没有限制或节流
主要 的关系
没有一个
772年 失踪后释放资源的有效寿命
主要 Observed_Examples Related_Attack_Patterns,关系
没有一个
783年 运算符优先级逻辑错误
主要 Common_Consequences
没有一个
790年 过滤不当的特殊元素
主要 Common_Consequences
没有一个
791年 不完全过滤的特殊元素
主要 Common_Consequences
没有一个
792年 不完整的过滤特殊元素的一个或多个实例
主要 Common_Consequences
没有一个
793年 只有过滤特殊元素的一个实例
主要 Common_Consequences
没有一个
794年 不完整的过滤特殊元素的多个实例
主要 Common_Consequences
没有一个
795年 只有过滤特殊元素在指定的位置
主要 Common_Consequences
没有一个
796年 只有过滤特殊元素相对于一个标记
主要 Common_Consequences
没有一个
797年 只有过滤特殊元素在一个绝对位置
主要 Common_Consequences
没有一个
798年 使用硬编码的凭证
主要 Observed_Examples、人际关系
没有一个
805年 缓冲区长度值不正确的访问
主要 Demonstrative_Examples Observed_Examples,关系
没有一个
807年 依赖不可信的输入在一个安全的决定
主要 Common_Consequences、人际关系
没有一个
822年 不可信的指针
主要 Related_Attack_Patterns、人际关系
没有一个
825年 过期的指针
主要 Demonstrative_Examples Potential_Mitigations,关系
没有一个
827年 文档类型定义的控制不当
主要 没有一个
Observed_Examples
829年 包含的功能不受信任的控制范围
主要 Common_Consequences、Demonstrative_Examples Observed_Examples、Potential_Mitigations Related_Attack_Patterns、人际关系
没有一个
830年 从一个不可信的源包含Web功能
主要 Demonstrative_Examples
没有一个
831年 信号处理函数相关的多个信号
主要 Common_Consequences
没有一个
838年 不恰当的编码输出环境
主要 Demonstrative_Examples Related_Attack_Patterns,关系
没有一个
841年 不当行为的执行工作流
主要 Common_Consequences、Observed_Examples Related_Attack_Patterns、人际关系
没有一个
862年 失踪的授权
主要 Demonstrative_Examples Related_Attack_Patterns,关系
没有一个
863年 错误的授权
主要 Demonstrative_Examples Related_Attack_Patterns,关系
没有一个
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2017年1月5日

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页