1.2版本和1.3版本之间的差异
1.2版本和1.3版本之间的差异
| 总(版本1.3) |
762年 |
| 总(版本1.2) |
755年 |
| 新总 |
7 |
| 总不赞成 |
0 |
| 总共享 |
755年 |
| 总重要的变化 |
117年 |
| 总重大变化 |
183年 |
| 总微小的变化 |
8 |
| 微小的改动(不重要) |
6 |
| 总保持不变 |
566年 |
任何变化对空格将被忽略。“小”更改文本的变化只影响大小写和标点符号。其他更改标记为“大”。Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.
| 场 |
主要 |
小 |
| Affected_Resources |
0 |
0 |
| Alternate_Terms |
1 |
0 |
| Applicable_Platforms |
1 |
0 |
| Background_Details |
0 |
0 |
| Black_Box_Definitions |
0 |
0 |
| Causal_Nature |
0 |
0 |
| Common_Consequences |
1 |
1 |
| Common_Methods_of_Exploitation |
0 |
0 |
| Context_Notes |
0 |
0 |
| Demonstrative_Examples |
15 |
5 |
| 描述 |
37 |
0 |
| Detection_Factors |
0 |
0 |
| Enabling_Factors_for_Exploitation |
0 |
0 |
| Functional_Areas |
0 |
0 |
| Likelihood_of_Exploit |
0 |
0 |
| Maintenance_Notes |
3 |
0 |
| Modes_of_Introduction |
0 |
0 |
| 的名字 |
33 |
1 |
| Observed_Examples |
1 |
0 |
| Other_Notes |
6 |
1 |
| Potential_Mitigations |
35 |
0 |
| 引用 |
1 |
0 |
| Related_Attack_Patterns |
19 |
0 |
| Relationship_Notes |
0 |
0 |
| 的关系 |
89年 |
0 |
| Relevant_Properties |
0 |
0 |
| Research_Gaps |
0 |
0 |
| Source_Taxonomy |
0 |
0 |
| Taxonomy_Mappings |
0 |
0 |
| Terminology_Notes |
0 |
0 |
| Theoretical_Notes |
2 |
0 |
| Time_of_Introduction |
0 |
0 |
| 类型 |
0 |
0 |
| View_Audience |
0 |
0 |
| View_Filter |
2 |
0 |
| View_Structure |
0 |
0 |
| View_Type |
0 |
0 |
| Weakness_Ordinalities |
0 |
0 |
| White_Box_Definitions |
0 |
0 |
形式和抽象的变化
关系的变化“1.3版总”名单的总数的关系在版本1.3。“共享”价值关系的条目的总数1.3版和1.2版。“新”值的关系涉及的条目总数1.2版本中不存在。因此,关系的总数在1.3版本将结合统计数据从共享条目和新条目。
| 的关系 |
1.3版本总 |
1.2版本总 |
1.3版本共享 |
不变 |
添加到版本1.3 |
从1.3版本 |
1.3版本新 |
| 所有 |
4529年 |
4371年 |
4461年 |
4343年 |
118年 |
28 |
68年 |
| CanAlsoBe |
38 |
38 |
38 |
38 |
|
|
|
| 光束 |
78年 |
78年 |
77年 |
77年 |
|
1 |
1 |
| CanPrecede |
78年 |
78年 |
77年 |
77年 |
|
1 |
1 |
| ChildOf |
1931年 |
1852年 |
1898年 |
1839年 |
59 |
13 |
33 |
| HasMember |
114年 |
114年 |
114年 |
114年 |
|
|
|
| MemberOf |
114年 |
114年 |
114年 |
114年 |
|
|
|
| ParentOf |
1931年 |
1852年 |
1898年 |
1839年 |
59 |
13 |
33 |
| PeerOf |
188年 |
188年 |
188年 |
188年 |
|
|
|
| RequiredBy |
27 |
27 |
27 |
27 |
|
|
|
| 需要 |
27 |
27 |
27 |
27 |
|
|
|
| StartsWith |
3 |
3 |
3 |
3 |
|
|
|
节点从1.2版本删除
节点添加到版本1.3
| CWE-ID |
CWE的名字 |
| 754年 |
不适当的检查异常情况 |
| 755年 |
异常情况的处理不当 |
| 756年 |
失踪的自定义错误页面 |
| 757年 |
谈判期间选择低收入低保险算法(算法降级) |
| 758年 |
依赖未定义不明,或实现定义的行为 |
| 759年 |
使用单向散列没有盐 |
| 760年 |
使用单向散列和一个可预测的盐 |
在1.3版本节点弃用
变化是一个节点标记为“重要”,如果它是一个主要字段变化和字段的意义是至关重要的节点。关键字段描述、名称和关系。
|
N |
R |
7 |
J2EE错误配置:失踪的自定义错误页面 |
|
|
R |
9 |
J2EE错误配置:弱EJB方法的访问权限 |
|
N |
R |
12 |
ASP。NET Misconfiguration: Missing Custom Error Page |
| D |
|
|
20. |
不正确的输入验证 |
|
|
R |
41 |
未能解决路径等效 |
| D |
N |
|
66年 |
处理不当的文件名识别虚拟资源 |
| D |
N |
|
67年 |
处理不当的Windows设备名称 |
|
|
R |
73年 |
外部控制文件名或路径 |
|
|
R |
98年 |
控制的文件名包含/不足需要在PHP程序语句(又名“PHP文件包含”) |
|
|
R |
102年 |
Struts:重复验证形式 |
|
|
R |
103年 |
Struts:不完整的validate()方法的定义 |
|
|
R |
104年 |
Struts:表单Bean不扩展验证类 |
|
|
R |
106年 |
Struts:不使用的插件框架 |
|
|
R |
109年 |
Struts:验证器关闭 |
| D |
|
|
116年 |
不当的编码或逃避的输出 |
|
|
R |
117年 |
不正确的输出卫生处理日志 |
| D |
|
|
118年 |
不当访问可转位的资源(又名“距离误差”) |
| D |
N |
|
130年 |
处理不当的长度参数不一致 |
|
|
R |
134年 |
不受控制的格式字符串 |
| D |
N |
|
138年 |
卫生处理不当的特殊元素 |
| D |
N |
|
147年 |
卫生处理不当输入结束符 |
| D |
N |
|
151年 |
卫生处理不当评论分隔符 |
| D |
N |
|
152年 |
卫生处理不当宏观符号 |
| D |
N |
|
153年 |
替换字符的卫生处理不当 |
| D |
N |
|
154年 |
卫生处理不当的变量名称分隔符 |
| D |
N |
|
155年 |
卫生处理不当的通配符或匹配的符号 |
| D |
N |
|
156年 |
卫生处理不当的空白 |
|
|
R |
166年 |
故障处理丢失的特殊元素 |
|
|
R |
167年 |
未能处理额外的特殊元素 |
|
|
R |
168年 |
未能解决不一致的特殊元素 |
| D |
|
|
178年 |
未能解决区分大小写 |
|
|
R |
179年 |
不正确的行为秩序:早期验证 |
|
|
R |
182年 |
数据崩溃到不安全的价值 |
|
|
R |
183年 |
宽松的白名单 |
|
|
R |
188年 |
依赖数据/内存布局 |
|
|
R |
209年 |
错误消息的信息泄漏 |
|
|
R |
226年 |
敏感信息发布前未清偿 |
| D |
N |
|
228年 |
处理不当的语法无效的结构 |
| D |
|
|
229年 |
处理不当的价值观 |
| D |
N |
|
230年 |
缺失值的处理不当 |
| D |
N |
|
231年 |
处理不当的额外价值 |
| D |
N |
|
232年 |
未定义的值的处理不当 |
| D |
N |
|
235年 |
处理不当的额外参数 |
| D |
N |
|
236年 |
处理不当的未定义的参数 |
| D |
N |
|
237年 |
结构元素的处理不当 |
| D |
N |
|
238年 |
不当的处理不完整的结构元素 |
| D |
N |
|
240年 |
不当的处理不一致的结构元素 |
| D |
N |
|
241年 |
处理不当的意想不到的数据类型 |
|
|
R |
248年 |
未捕获异常 |
|
|
R |
252年 |
不返回值 |
| D |
N |
R |
253年 |
函数返回值的错误检查 |
|
|
R |
266年 |
不正确的权限分配 |
|
|
R |
268年 |
特权链接 |
| D |
N |
R |
273年 |
检查成功了不当的特权 |
| D |
N |
|
280年 |
处理不当的权限或权限不足 |
|
|
R |
283年 |
未经证实的所有权 |
|
|
R |
284年 |
访问控制(授权)的问题 |
| D |
N |
R |
296年 |
不当的信任证书链验证 |
| D |
N |
R |
297年 |
不当的寄主专一性的证书验证数据 |
| D |
N |
R |
298年 |
不当的验证证书过期 |
| D |
N |
R |
299年 |
检查证书撤销不当 |
|
|
R |
302年 |
认证绕过Assumed-Immutable数据 |
|
|
R |
304年 |
失踪的关键一步验证 |
|
|
R |
307年 |
限制过度认证尝试失败 |
|
|
R |
326年 |
弱加密 |
| D |
N |
R |
354年 |
不当的验证完整性检查的价值 |
|
|
R |
388年 |
错误处理 |
|
|
R |
390年 |
没有行动检测错误条件 |
|
|
R |
392年 |
故障报告错误状态码 |
|
|
R |
393年 |
返回错误状态码 |
|
|
R |
394年 |
意想不到的状态代码或返回值 |
|
|
R |
395年 |
使用的NullPointerException捕获检测空指针 |
|
|
R |
396年 |
捕捉通用异常宣言 |
|
|
R |
397年 |
声明抛出的一般例外 |
|
|
R |
460年 |
清理不当抛出异常 |
|
|
R |
526年 |
通过环境变量信息泄漏 |
|
|
R |
527年 |
通过CVS存储库信息泄漏 |
|
|
R |
528年 |
通过核心转储文件信息泄漏 |
|
|
R |
529年 |
通过访问控制列表文件信息泄漏 |
|
|
R |
530年 |
通过备份信息泄漏(~ bk)文件 |
|
|
R |
531年 |
通过测试代码信息泄漏 |
|
|
R |
532年 |
通过日志文件信息泄漏 |
|
|
R |
533年 |
通过服务器的日志文件信息泄漏 |
|
|
R |
534年 |
通过调试日志文件信息泄漏 |
|
|
R |
539年 |
通过持久化cookie信息泄漏 |
|
|
R |
540年 |
通过源代码信息泄漏 |
|
|
R |
541年 |
通过包括源代码信息泄漏 |
|
|
R |
542年 |
通过清理日志文件信息泄漏 |
| D |
N |
R |
544年 |
没有使用一个标准化的错误处理机制 |
|
|
R |
551年 |
不正确的行为秩序:授权之前解析和规范化 |
|
|
R |
556年 |
ASP。NET Misconfiguration: Use of Identity Impersonation |
|
|
R |
587年 |
分配一个固定地址的指针 |
|
|
R |
588年 |
植物体内非结构性指针访问的孩子 |
|
|
R |
598年 |
信息泄漏通过GET请求的查询字符串 |
|
|
R |
599年 |
OpenSSL的信任证书没有验证 |
| D |
N |
R |
600年 |
失败在Servlet捕获所有的异常 |
|
|
R |
601年 |
URL重定向不可信的网站(又名“开放重定向”) |
|
|
R |
613年 |
会话过期不足 |
| D |
|
|
625年 |
宽容的正则表达式 |
|
|
R |
636年 |
不是不安全(又名“不开放”) |
|
|
R |
639年 |
访问控制旁路通过用户控制的关键 |
|
|
R |
640年 |
弱密码恢复机制忘记密码 |
|
|
R |
644年 |
不足的卫生处理HTTP头的脚本语法 |
|
|
R |
693年 |
保护机制失败 |
|
|
R |
703年 |
故障处理异常情况 |
|
|
R |
708年 |
不正确的所有权转让 |
|
|
R |
710年 |
编码标准违反 |
|
|
R |
722年 |
OWASP十大2004类别A1 -用户输入 |
|
|
R |
723年 |
OWASP十大2004类别A2 -破碎的访问控制 |
|
|
R |
724年 |
OWASP十大2004类别A3 -破碎的认证和会话管理 |
|
|
R |
725年 |
OWASP十大2004类别A4 -跨站点脚本(XSS)缺陷 |
|
|
R |
726年 |
OWASP十大2004类别A5 -缓冲区溢出 |
|
|
R |
727年 |
OWASP十大2004类别A6 -注塑缺陷 |
|
|
R |
728年 |
OWASP十大2004类别A7 -错误处理不当 |
|
|
R |
729年 |
OWASP 2004年十大类别A8——不安全存储 |
|
|
R |
731年 |
OWASP 2004年十大类别A10——不安全的配置管理 |
|
|
R |
733年 |
强调安全代码的编译器优化删除或修改 |
| 7 |
J2EE错误配置:失踪的自定义错误页面 |
|
主要 |
姓名、关系 |
|
小 |
没有一个 |
| 9 |
J2EE错误配置:弱EJB方法的访问权限 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 12 |
ASP。NET Misconfiguration: Missing Custom Error Page |
|
主要 |
姓名、关系 |
|
小 |
没有一个 |
| 20. |
不正确的输入验证 |
|
主要 |
描述,Potential_Mitigations |
|
小 |
没有一个 |
| 41 |
未能解决路径等效 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 66年 |
处理不当的文件名识别虚拟资源 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 67年 |
处理不当的Windows设备名称 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 71年 |
苹果“.DS_Store” |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 73年 |
外部控制文件名或路径 |
|
主要 |
Potential_Mitigations、人际关系 |
|
小 |
没有一个 |
| 78年 |
未能保存操作系统命令结构(又名“OS命令注入”) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 79年 |
未能保存网页结构(又名“跨站点脚本编制”) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 89年 |
未能保存SQL查询结构(又名“SQL注入”) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 93年 |
未能Sanitize CRLF序列(又名“CRLF注入”) |
|
主要 |
引用 |
|
小 |
没有一个 |
| 94年 |
未能控制生成的代码(又名“代码注入”) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 98年 |
控制的文件名包含/不足需要在PHP程序语句(又名“PHP文件包含”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 102年 |
Struts:重复验证形式 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 103年 |
Struts:不完整的validate()方法的定义 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 104年 |
Struts:表单Bean不扩展验证类 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 106年 |
Struts:不使用的插件框架 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 109年 |
Struts:验证器关闭 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 113年 |
未能Sanitize CRLF序列在HTTP头(又名“HTTP响应分裂”) |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 116年 |
不当的编码或逃避的输出 |
|
主要 |
描述,Potential_Mitigations |
|
小 |
Demonstrative_Examples |
| 117年 |
不正确的输出卫生处理日志 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 118年 |
不当访问可转位的资源(又名“距离误差”) |
|
主要 |
描述 |
|
小 |
没有一个 |
| 119年 |
未能限制操作的范围内一个内存缓冲区 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 130年 |
处理不当的长度参数不一致 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 134年 |
不受控制的格式字符串 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 138年 |
卫生处理不当的特殊元素 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 147年 |
卫生处理不当输入结束符 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 151年 |
卫生处理不当评论分隔符 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 152年 |
卫生处理不当宏观符号 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 153年 |
替换字符的卫生处理不当 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 154年 |
卫生处理不当的变量名称分隔符 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 155年 |
卫生处理不当的通配符或匹配的符号 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 156年 |
卫生处理不当的空白 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 157年 |
未能净化成对分隔符 |
|
主要 |
没有一个 |
|
小 |
Demonstrative_Examples |
| 166年 |
故障处理丢失的特殊元素 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 167年 |
未能处理额外的特殊元素 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 168年 |
未能解决不一致的特殊元素 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 170年 |
不当零终止 |
|
主要 |
Common_Consequences |
|
小 |
没有一个 |
| 176年 |
故障处理Unicode编码 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 178年 |
未能解决区分大小写 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 179年 |
不正确的行为秩序:早期验证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 182年 |
数据崩溃到不安全的价值 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 183年 |
宽松的白名单 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 188年 |
依赖数据/内存布局 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 209年 |
错误消息的信息泄漏 |
|
主要 |
Demonstrative_Examples Potential_Mitigations,关系 |
|
小 |
没有一个 |
| 217年 |
未能保护存储的数据修改 |
|
主要 |
没有一个 |
|
小 |
Demonstrative_Examples |
| 226年 |
敏感信息发布前未清偿 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 228年 |
处理不当的语法无效的结构 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 229年 |
处理不当的价值观 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 230年 |
缺失值的处理不当 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 231年 |
处理不当的额外价值 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 232年 |
未定义的值的处理不当 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 234年 |
故障处理丢失的参数 |
|
主要 |
Maintenance_Notes、Other_Notes Potential_Mitigations |
|
小 |
没有一个 |
| 235年 |
处理不当的额外参数 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 236年 |
处理不当的未定义的参数 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 237年 |
结构元素的处理不当 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 238年 |
不当的处理不完整的结构元素 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 240年 |
不当的处理不一致的结构元素 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 241年 |
处理不当的意想不到的数据类型 |
|
主要 |
描述,名称 |
|
小 |
没有一个 |
| 243年 |
未能在chroot监狱改变工作目录 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 248年 |
未捕获异常 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 250年 |
执行与不必要的特权 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 252年 |
不返回值 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 253年 |
函数返回值的错误检查 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 259年 |
硬编码的密码 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 266年 |
不正确的权限分配 |
|
主要 |
的关系 |
|
小 |
Demonstrative_Examples |
| 268年 |
特权链接 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 272年 |
最小特权违反 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 273年 |
检查成功了不当的特权 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 274年 |
故障处理权限不足 |
|
主要 |
Maintenance_Notes, Theoretical_Notes |
|
小 |
没有一个 |
| 280年 |
处理不当的权限或权限不足 |
|
主要 |
描述,名称,Theoretical_Notes |
|
小 |
没有一个 |
| 283年 |
未经证实的所有权 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 284年 |
访问控制(授权)的问题 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 285年 |
不当访问控制(授权) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 296年 |
不当的信任证书链验证 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 297年 |
不当的寄主专一性的证书验证数据 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 298年 |
不当的验证证书过期 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 299年 |
检查证书撤销不当 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 302年 |
认证绕过Assumed-Immutable数据 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 304年 |
失踪的关键一步验证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 307年 |
限制过度认证尝试失败 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 319年 |
明文传输的敏感信息 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 326年 |
弱加密 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 327年 |
使用损坏或危险的密码算法 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 330年 |
使用随机值不足 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 332年 |
熵在PRNG不足 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 334年 |
小空间的随机值 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 336年 |
同样的种子PRNG |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 337年 |
可预测的种子在PRNG |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 339年 |
小种子在PRNG空间 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 341年 |
预测从可观察到的状态 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 342年 |
从先前的值可以预测的精确值 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 343年 |
可预测的值从之前的值 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 344年 |
在动态变化的环境中使用不变的价值 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 352年 |
跨站请求伪造(CSRF) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 354年 |
不当的验证完整性检查的价值 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 359年 |
隐私的侵犯 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 362年 |
竞态条件 |
|
主要 |
Demonstrative_Examples, Potential_Mitigations |
|
小 |
没有一个 |
| 377年 |
不安全的临时文件 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 388年 |
错误处理 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 390年 |
没有行动检测错误条件 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 392年 |
故障报告错误状态码 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 393年 |
返回错误状态码 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 394年 |
意想不到的状态代码或返回值 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 395年 |
使用的NullPointerException捕获检测空指针 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 396年 |
捕捉通用异常宣言 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 397年 |
声明抛出的一般例外 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 401年 |
未能释放内存之前删除最后引用(又名“内存泄漏”) |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 404年 |
不当关机或释放资源 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 410年 |
足够的资源池 |
|
主要 |
没有一个 |
|
小 |
Other_Notes |
| 415年 |
双自由 |
|
主要 |
没有一个 |
|
小 |
Demonstrative_Examples |
| 416年 |
使用后免费 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 426年 |
不可信的搜索路径 |
|
主要 |
Demonstrative_Examples, Potential_Mitigations |
|
小 |
没有一个 |
| 457年 |
使用未初始化的变量 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 460年 |
清理不当抛出异常 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 467年 |
使用sizeof()在一个指针类型 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 477年 |
使用过时的函数 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 486年 |
比较的类的名字 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 492年 |
使用内部类包含敏感数据 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 494年 |
下载的代码没有完整性检查 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 497年 |
信息系统数据的泄漏 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 526年 |
通过环境变量信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 527年 |
通过CVS存储库信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 528年 |
通过核心转储文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 529年 |
通过访问控制列表文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 530年 |
通过备份信息泄漏(~ bk)文件 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 531年 |
通过测试代码信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 532年 |
通过日志文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 533年 |
通过服务器的日志文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 534年 |
通过调试日志文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 539年 |
通过持久化cookie信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 540年 |
通过源代码信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 541年 |
通过包括源代码信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 542年 |
通过清理日志文件信息泄漏 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 544年 |
没有使用一个标准化的错误处理机制 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 551年 |
不正确的行为秩序:授权之前解析和规范化 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 556年 |
ASP。NET Misconfiguration: Use of Identity Impersonation |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 587年 |
分配一个固定地址的指针 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 588年 |
植物体内非结构性指针访问的孩子 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 593年 |
认证绕过:OpenSSL CTX对象修改后SSL创建对象 |
|
主要 |
没有一个 |
|
小 |
Common_Consequences |
| 598年 |
信息泄漏通过GET请求的查询字符串 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 599年 |
OpenSSL的信任证书没有验证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 600年 |
失败在Servlet捕获所有的异常 |
|
主要 |
Maintenance_Notes Alternate_Terms、描述,名称、Other_Notes关系 |
|
小 |
没有一个 |
| 601年 |
URL重定向不可信的网站(又名“开放重定向”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 602年 |
客户端执行服务器端安全 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 613年 |
会话过期不足 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 614年 |
敏感的饼干在HTTPS会话没有“安全”属性 |
|
主要 |
没有一个 |
|
小 |
的名字 |
| 615年 |
信息泄漏的评论 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 625年 |
宽容的正则表达式 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 636年 |
不是不安全(又名“不开放”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 639年 |
访问控制旁路通过用户控制的关键 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 640年 |
弱密码恢复机制忘记密码 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 642年 |
外部控制临界状态的数据 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 643年 |
未能在XPath表达式中净化数据(又名“XPath注入”) |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 644年 |
不足的卫生处理HTTP头的脚本语法 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 662年 |
足够的同步 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 663年 |
在非同步上下文中使用不可重入的函数 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 664年 |
通过它的生命周期控制的资源不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 665年 |
不适当的初始化 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 667年 |
锁定不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 674年 |
不受控制的递归 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 680年 |
整数溢出缓冲区溢出 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 682年 |
错误的计算 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 689年 |
在资源复制许可竞态条件 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 691年 |
控制流管理不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 692年 |
跨站点脚本编制不完整的黑名单 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 693年 |
保护机制失败 |
|
主要 |
Related_Attack_Patterns、人际关系 |
|
小 |
没有一个 |
| 695年 |
使用低级的功能 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 697年 |
比较不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 701年 |
介绍了在设计弱点 |
|
主要 |
View_Filter |
|
小 |
没有一个 |
| 702年 |
实现过程中引入的缺陷 |
|
主要 |
View_Filter |
|
小 |
没有一个 |
| 703年 |
故障处理异常情况 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 706年 |
使用Incorrectly-Resolved名称或引用 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 707年 |
未能执行消息或数据是格式良好的 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 708年 |
不正确的所有权转让 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 710年 |
编码标准违反 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 722年 |
OWASP十大2004类别A1 -用户输入 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 723年 |
OWASP十大2004类别A2 -破碎的访问控制 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 724年 |
OWASP十大2004类别A3 -破碎的认证和会话管理 |
|
主要 |
Related_Attack_Patterns、人际关系 |
|
小 |
没有一个 |
| 725年 |
OWASP十大2004类别A4 -跨站点脚本(XSS)缺陷 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 726年 |
OWASP十大2004类别A5 -缓冲区溢出 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 727年 |
OWASP十大2004类别A6 -注塑缺陷 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 728年 |
OWASP十大2004类别A7 -错误处理不当 |
|
主要 |
Related_Attack_Patterns、人际关系 |
|
小 |
没有一个 |
| 729年 |
OWASP 2004年十大类别A8——不安全存储 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 731年 |
OWASP 2004年十大类别A10——不安全的配置管理 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 732年 |
不安全的关键资源的权限分配 |
|
主要 |
Potential_Mitigations, Related_Attack_Patterns |
|
小 |
没有一个 |
| 733年 |
强调安全代码的编译器优化删除或修改 |
|
主要 |
Applicable_Platforms、Observed_Examples Related_Attack_Patterns、人际关系 |
|
小 |
没有一个 |
|
