CWE

常见的弱点枚举

一个由社区开发的软件&硬件缺陷类型的列表
2021 CWE最重要的硬件的弱点
CWE最危险的弱点
>CWE列表>报告> 1.5版本和1.6版本之间的差异
ID

1.5版本和1.6版本之间的差异
1.5版本和1.6版本之间的差异

总结
总结
总(版本1.6) 791年
总(版本1.5) 787年
新总 4
总不赞成 0
总共享 787年
总重要的变化 93年
总重大变化 175年
总微小的变化 3
微小的改动(不重要) 2
总保持不变 610年

摘要条目类型

类型 版本1.5 版本1.6
类别 104年 105年
3 3
复合 9 9
弃用 11 11
视图 22 22
弱点 638年 641年

回到顶部
字段更改摘要
字段更改摘要

任何变化对空格将被忽略。“小”更改文本的变化只影响大小写和标点符号。其他更改标记为“大”。Simple schema changes are treated as Minor, such as the change from AffectedResource to Affected_Resource in Draft 8, or the relationship name change from "IsRequiredBy" to "RequiredBy" in Version 1.0. For each mutual relationship between nodes A and B (such as ParentOf and ChildOf), a relationship change is noted for both A and B.

主要
Affected_Resources 0 0
Alternate_Terms 1 0
Applicable_Platforms 2 0
Background_Details 4 0
Black_Box_Definitions 0 0
Causal_Nature 0 0
Common_Consequences 44 0
Common_Methods_of_Exploitation 0 0
Context_Notes 0 0
Demonstrative_Examples 7 1
描述 49 1
Detection_Factors 1 0
Enabling_Factors_for_Exploitation 1 0
Functional_Areas 0 0
Likelihood_of_Exploit 0 0
Maintenance_Notes 3 0
Modes_of_Introduction 8 0
的名字 2 0
Observed_Examples 9 0
Other_Notes 84年 0
Potential_Mitigations 12 0
引用 2 1
Related_Attack_Patterns 0 0
Relationship_Notes 11 0
的关系 50 0
Relevant_Properties 1 0
Research_Gaps 3 0
Source_Taxonomy 0 0
Taxonomy_Mappings 2 0
Terminology_Notes 2 0
Theoretical_Notes 7 0
Time_of_Introduction 2 0
类型 2 0
View_Audience 0 0
View_Filter 1 0
View_Structure 1 0
View_Type 0 0
Weakness_Ordinalities 4 0
White_Box_Definitions 0 0

形式和抽象的变化

不变 785年
缺点/基地 缺点/类 1
缺点/类 类别 1

状态更改

不变 784年
草案 可用的 3

关系的变化

“1.6版总”名单的总数的关系在版本1.6。“共享”价值关系的条目的总数1.6版和1.5版。“新”值的关系涉及的条目总数1.5版本中不存在。因此,关系的总数在1.6版本将结合统计数据从共享条目和新条目。

的关系 1.6版本总 1.5版本总 1.6版本共享 不变 添加到版本1.6 从1.6版本 1.6版本新
所有 4658年 4629年 4604年 4556年 48 73年 54
ChildOf 2000年 1977年 1975年 1955年 20. 22 25
ParentOf 2000年 1977年 1975年 1955年 20. 22 25
MemberOf 106年 117年 106年 106年 11
HasMember 106年 117年 106年 106年 11
CanPrecede 83年 80年 81年 77年 4 3 2
光束 83年 80年 81年 77年 4 3 2
StartsWith 3 3 3 3
需要 27 27 27 27
RequiredBy 27 27 27 27
CanAlsoBe 37 38 37 37 1
PeerOf 186年 186年 186年 186年

节点从1.5版本删除

CWE-ID CWE的名字
一个也没有。

节点添加到版本1.6

CWE-ID CWE的名字
786年 之前访问的内存位置缓冲区的开始
787年 禁止入内的写
788年 访问结束后的内存位置缓冲区
789年 不受控制的内存分配

在1.6版本节点弃用

CWE-ID CWE的名字
一个也没有。
回到顶部
重要的变化
重要的变化

变化是一个节点标记为“重要”,如果它是一个主要字段变化和字段的意义是至关重要的节点。关键字段描述、名称和关系。

关键
D 描述
N 的名字
R 的关系

R 20. 不正确的输入验证
D 73年 外部控制文件名或路径
D 74年 未能清理数据到另一个平面(“注入”)
D 76年 未能解决等效特殊元素到一个不同的飞机
D 77年 卫生处理不当的特殊元素中使用一个命令(“命令注入”)
R 79年 未能保存网页结构(“跨站点脚本编制”)
R 82年 卫生处理不当的脚本在IMG标记在一个Web页面的属性
R 83年 未能清理脚本在一个Web页面的属性
D 86年 未能清理无效字符在Web页面的标识符
R 92年 弃用:卫生处理不当的自定义特殊字符
R One hundred. 特定于技术的输入验证问题
D 111年 直接使用不安全的JNI
D 112年 失踪的XML验证
D 113年 未能Sanitize CRLF序列在HTTP头(HTTP响应分裂)
R 115年 误解的输入
R 116年 不当的编码或逃避的输出
R 117年 不当输出卫生处理日志
R 118年 不当访问索引资源(距离误差)
D R 119年 未能限制操作的范围内一个内存缓冲区
R 120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
R 121年 基于堆栈缓冲区溢出
R 122年 基于堆的缓冲区溢出
D N R 124年 缓冲区承销(缓冲区下溢)
D 125年 禁止入内的读
D R 126年 缓冲罩上
D R 127年 缓冲Under-read
R 128年 环绕式处理错误
D N R 129年 不当的验证数组索引
R 132年 弃用(复制):零终止错误
R 139年 弃用:一般特殊元素的问题
D 170年 不当零终止
R 189年 数字错误
R 190年 整数溢出或概括的
D R 195年 签署无符号转换错误
D 212年 跨境清洗信息泄漏
R 217年 弃用:未能保护存储的数据修改
R 218年 弃用(复制):未能提供存储数据的机密性
R 225年 弃用(复制):一般信息管理问题
D 226年 敏感信息发布前未清偿
D 238年 不当的处理不完整的结构元素
D 239年 故障处理不完整的元素
D 241年 处理不当的意想不到的数据类型
D 242年 固有的危险函数的使用
D 244年 在释放之前未能明确堆内存(堆检验)
R 249年 弃用:经常滥用:路径操作
D 298年 不当的验证证书过期
R 310年 密码问题
R 326年 加密的强度不够
R 327年 使用损坏或危险的密码算法
R 328年 可逆的单向散列
D 333年 处理不当的熵在TRNG不足
D 353年 未能添加完整性检查的价值
D 354年 不当的验证完整性检查的价值
D 396年 捕捉通用异常宣言
D 397年 声明抛出的一般例外
R 398年 可怜的代码质量的指标
R 400年 不受控制的资源消耗(“资源枯竭”)
R 423年 弃用(复制):代理可信通道
R 436年 解释的冲突
R 443年 弃用(复制):HTTP响应分裂
R 458年 弃用:不正确的初始化
D 462年 重复键关联列表中(倾斜的)
D 463年 删除数据结构前哨
R 470年 使用外部控制输入选择类或代码(“不安全的反思”)
D 472年 外部控制Assumed-Immutable Web参数
R 476年 空指针废弃
D 488年 会话之间的数据泄漏
D 497年 信息系统数据的泄漏
D 498年 信息泄露类克隆
D 502年 反序列化的数据不可信
D 506年 嵌入恶意代码
R 516年 弃用(复制):隐蔽时间信道
D 548年 通过目录清单信息泄漏
R 565年 依赖饼干没有验证和完整性检查
D 568年 没有super.finalize finalize()方法()
D 574年 EJB坏实践:使用同步原语
D 575年 EJB坏实践:使用AWT摇摆
D 576年 EJB坏实践:使用Java I / O
D 577年 EJB坏实践:使用套接字
D 578年 EJB坏实践:使用类加载器
D 581年 违反对象模型:定义Equals和Hashcode之一
D 583年 宣布公共finalize()方法
D 586年 显式的调用Finalize ()
D 602年 客户端执行服务器端安全
R 604年 弃用的条目
R 606年 检查循环条件的输入
D 618年 曝光不安全的ActiveX方法
R 682年 错误的计算
R 693年 保护机制失败
R 759年 使用单向散列没有盐
R 760年 使用单向散列和一个可预测的盐
R 770年 资源配置没有限制或节流
R 784年 依赖饼干没有验证和完整性检查在一个安全的决定
回到顶部
详细的差异报告
详细的差异报告
6 J2EE错误配置:会话id长度不足
主要 Background_Details、Common_Consequences Enabling_Factors_for_Exploitation、Other_Notes Potential_Mitigations
没有一个
15 外部控制系统或配置设置
主要 Modes_of_Introduction, Other_Notes
没有一个
20. 不正确的输入验证
主要 Common_Consequences、Demonstrative_Examples Maintenance_Notes、Modes_of_Introduction Observed_Examples,关系,Research_Gaps Terminology_Notes
没有一个
59 不当链接之前决议文件访问(“链接后”)
主要 Background_Details, Other_Notes
没有一个
67年 处理不当的Windows设备名称
主要 Background_Details, Other_Notes
没有一个
69年 故障处理窗口::数据替代数据流
主要 Other_Notes, Theoretical_Notes
没有一个
72年 处理不当的苹果HFS +备用数据流路径
主要 Other_Notes, Theoretical_Notes
没有一个
73年 外部控制文件名或路径
主要 Common_Consequences、描述
没有一个
74年 未能清理数据到另一个平面(“注入”)
主要 描述,Other_Notes
没有一个
76年 未能解决等效特殊元素到一个不同的飞机
主要 描述,Other_Notes
没有一个
77年 卫生处理不当的特殊元素中使用一个命令(“命令注入”)
主要 Common_Consequences、描述Other_Notes Potential_Mitigations
没有一个
78年 卫生处理不当使用特殊的元素在一个操作系统命令(OS命令注入)
主要 Observed_Examples、引用
没有一个
79年 未能保存网页结构(“跨站点脚本编制”)
主要 Observed_Examples、人际关系
没有一个
82年 卫生处理不当的脚本在IMG标记在一个Web页面的属性
主要 的关系
没有一个
83年 未能清理脚本在一个Web页面的属性
主要 的关系
没有一个
86年 未能清理无效字符在Web页面的标识符
主要 描述,Other_Notes
没有一个
88年 参数注入或修改
主要 Observed_Examples
没有一个
89年 卫生处理不当的特殊元素中使用一个SQL命令(SQL注入)
主要 没有一个
Demonstrative_Examples
90年 未能清理数据到LDAP查询(LDAP注入)
主要 Other_Notes, Relationship_Notes
没有一个
92年 弃用:卫生处理不当的自定义特殊字符
主要 的关系
没有一个
93年 未能Sanitize CRLF序列(CRLF注入)
主要 Other_Notes
没有一个
97年 未能清理服务器端包含(SSI)在一个Web页面
主要 Other_Notes, Relationship_Notes
没有一个
One hundred. 特定于技术的输入验证问题
主要 关系、Taxonomy_Mappings类型
没有一个
111年 直接使用不安全的JNI
主要 描述,Other_Notes
没有一个
112年 失踪的XML验证
主要 描述
没有一个
113年 未能Sanitize CRLF序列在HTTP头(HTTP响应分裂)
主要 Common_Consequences、描述Other_Notes Theoretical_Notes
没有一个
115年 误解的输入
主要 的关系
没有一个
116年 不当的编码或逃避的输出
主要 的关系
没有一个
117年 不当输出卫生处理日志
主要 Common_Consequences Other_Notes,关系
没有一个
118年 不当访问索引资源(距离误差)
主要 的关系
没有一个
119年 未能限制操作的范围内一个内存缓冲区
主要 Applicable_Platforms、Common_Consequences Demonstrative_Examples、描述关系,Time_of_Introduction
没有一个
120年 缓冲区复制没有检查输入的大小(经典的缓冲区溢出)
主要 Common_Consequences、人际关系
没有一个
121年 基于堆栈缓冲区溢出
主要 的关系
没有一个
122年 基于堆的缓冲区溢出
主要 的关系
没有一个
124年 缓冲区承销(缓冲区下溢)
主要 描述、名称、关系
没有一个
125年 禁止入内的读
主要 描述
没有一个
126年 缓冲罩上
主要 描述、Relationship_Notes关系
没有一个
127年 缓冲Under-read
主要 描述,关系
没有一个
128年 环绕式处理错误
主要 Common_Consequences、人际关系
没有一个
129年 不当的验证数组索引
主要 描述、名称、关系
没有一个
132年 弃用(复制):零终止错误
主要 的关系
没有一个
139年 弃用:一般特殊元素的问题
主要 的关系
没有一个
146年 未能Sanitize表达式/命令分隔符
主要 Other_Notes, Relationship_Notes
没有一个
159年 未能清洁特殊元素
主要 Maintenance_Notes、Other_Notes Terminology_Notes
没有一个
166年 失踪的特殊元素的处理不当
主要 Other_Notes
没有一个
170年 不当零终止
主要 描述
没有一个
188年 依赖数据/内存布局
主要 Common_Consequences
没有一个
189年 数字错误
主要 的关系
没有一个
190年 整数溢出或概括的
主要 的关系
没有一个
194年 意想不到的符号扩展
主要 Demonstrative_Examples
没有一个
195年 签署无符号转换错误
主要 Common_Consequences、描述Other_Notes、人际关系
没有一个
196年 未签名的签名转换错误
主要 Common_Consequences
没有一个
201年 通过发送数据信息泄漏
主要 Other_Notes, Potential_Mitigations
没有一个
212年 跨境清洗信息泄漏
主要 描述、Other_Notes Relationship_Notes
没有一个
214年 处理环境信息泄漏
主要 Other_Notes
没有一个
217年 弃用:未能保护存储的数据修改
主要 的关系
没有一个
218年 弃用(复制):未能提供存储数据的机密性
主要 的关系
没有一个
225年 弃用(复制):一般信息管理问题
主要 的关系
没有一个
226年 敏感信息发布前未清偿
主要 描述,Other_Notes
没有一个
230年 缺失值的处理不当
主要 Other_Notes, Research_Gaps
没有一个
237年 结构元素的处理不当
主要 没有一个
描述
238年 不当的处理不完整的结构元素
主要 描述
没有一个
239年 故障处理不完整的元素
主要 描述
没有一个
241年 处理不当的意想不到的数据类型
主要 描述
没有一个
242年 固有的危险函数的使用
主要 描述、Other_Notes引用
没有一个
244年 在释放之前未能明确堆内存(堆检验)
主要 Common_Consequences、描述Other_Notes
没有一个
249年 弃用:经常滥用:路径操作
主要 的关系
没有一个
258年 空密码配置文件
主要 Other_Notes, Potential_Mitigations
没有一个
285年 不当访问控制(授权)
主要 类型
没有一个
287年 不适当的身份验证
主要 Common_Consequences, Observed_Examples
没有一个
292年 相信自我报告的DNS名称
主要 Observed_Examples
没有一个
294年 认证绕过被捕获——重放
主要 Observed_Examples
没有一个
298年 不当的验证证书过期
主要 描述,Other_Notes
没有一个
310年 密码问题
主要 的关系
没有一个
311年 未能加密敏感数据
主要 Common_Consequences, Other_Notes
没有一个
326年 加密的强度不够
主要 的关系
没有一个
327年 使用损坏或危险的密码算法
主要 的关系
没有一个
328年 可逆的单向散列
主要 的关系
没有一个
333年 处理不当的熵在TRNG不足
主要 描述,Other_Notes
没有一个
353年 未能添加完整性检查的价值
主要 描述,Other_Notes
没有一个
354年 不当的验证完整性检查的价值
主要 描述,Other_Notes
没有一个
358年 不当实施安全检查标准
主要 Modes_of_Introduction、Observed_Examples Other_Notes Relationship_Notes
没有一个
369年 除以零
主要 Other_Notes
没有一个
378年 创建临时文件和不安全的权限
主要 Common_Consequences, Other_Notes
没有一个
388年 错误处理
主要 Common_Consequences
没有一个
392年 故障报告错误状态码
主要 Other_Notes, Weakness_Ordinalities
没有一个
396年 捕捉通用异常宣言
主要 描述,Other_Notes
没有一个
397年 声明抛出的一般例外
主要 描述,Other_Notes
没有一个
398年 可怜的代码质量的指标
主要 的关系
没有一个
400年 不受控制的资源消耗(“资源枯竭”)
主要 的关系
没有一个
401年 删除最后引用之前未能释放内存(内存泄漏)
主要 Modes_of_Introduction, Other_Notes
没有一个
404年 不当关机或释放资源
主要 Other_Notes
没有一个
407年 算法复杂度
主要 Common_Consequences
没有一个
410年 足够的资源池
主要 Common_Consequences
没有一个
415年 双自由
主要 Other_Notes
没有一个
416年 使用后免费
主要 Common_Consequences
没有一个
423年 弃用(复制):代理可信通道
主要 的关系
没有一个
424年 未能保护备用路径
主要 Other_Notes
没有一个
429年 处理程序错误
主要 Other_Notes
没有一个
430年 部署错误处理程序
主要 Other_Notes, Weakness_Ordinalities
没有一个
436年 解释的冲突
主要 的关系
没有一个
440年 预期行为违反
主要 Other_Notes、Relevant_Properties Theoretical_Notes
没有一个
443年 弃用(复制):HTTP响应分裂
主要 的关系
没有一个
454年 外部信任变量的初始化
主要 Other_Notes, Relationship_Notes
没有一个
458年 弃用:不正确的初始化
主要 的关系
没有一个
462年 重复键关联列表中(倾斜的)
主要 Demonstrative_Examples、描述Other_Notes
没有一个
463年 删除数据结构前哨
主要 描述,Other_Notes
没有一个
466年 返回指针值的预期范围之外
主要 Maintenance_Notes
没有一个
468年 不正确的指针扩展
主要 Common_Consequences
没有一个
470年 使用外部控制输入选择类或代码(“不安全的反思”)
主要 Alternate_Terms、人际关系
没有一个
472年 外部控制Assumed-Immutable Web参数
主要 Common_Consequences Demonstrative_Examples,描述、Other_Notes Relationship_Notes Theoretical_Notes
没有一个
476年 空指针废弃
主要 的关系
没有一个
482年 比较,而不是分配
主要 Other_Notes
没有一个
483年 不正确的块划定
主要 Common_Consequences
没有一个
488年 会话之间的数据泄漏
主要 描述,Other_Notes
没有一个
489年 剩下的调试代码
主要 Common_Consequences
没有一个
497年 信息系统数据的泄漏
主要 描述,Other_Notes
没有一个
498年 信息泄露类克隆
主要 Common_Consequences、描述Other_Notes Potential_Mitigations
没有一个
502年 反序列化的数据不可信
主要 描述、Other_Notes Potential_Mitigations
没有一个
506年 嵌入恶意代码
主要 描述,Other_Notes
没有一个
515年 隐蔽存储通道
主要 Other_Notes
没有一个
516年 弃用(复制):隐蔽时间信道
主要 的关系
没有一个
525年 通过浏览器缓存信息泄漏
主要 Common_Consequences、Other_Notes Potential_Mitigations
没有一个
530年 通过备份信息泄漏(~ bk)文件
主要 Common_Consequences
没有一个
536年 信息泄漏通过Servlet运行时错误消息
主要 Common_Consequences
没有一个
544年 没有使用一个标准化的错误处理机制
主要 Potential_Mitigations, Time_of_Introduction
没有一个
548年 通过目录清单信息泄漏
主要 描述,Other_Notes
没有一个
561年 死代码
主要 Common_Consequences, Other_Notes
没有一个
565年 依赖饼干没有验证和完整性检查
主要 的关系
没有一个
568年 没有super.finalize finalize()方法()
主要 描述,Other_Notes
没有一个
570年 表达式总是错误的
主要 Demonstrative_Examples
没有一个
574年 EJB坏实践:使用同步原语
主要 描述,Other_Notes
没有一个
575年 EJB坏实践:使用AWT摇摆
主要 描述,Other_Notes
没有一个
576年 EJB坏实践:使用Java I / O
主要 描述,Other_Notes
没有一个
577年 EJB坏实践:使用套接字
主要 描述,Other_Notes
没有一个
578年 EJB坏实践:使用类加载器
主要 描述,Other_Notes
没有一个
581年 违反对象模型:定义Equals和Hashcode之一
主要 Common_Consequences、描述Other_Notes
没有一个
583年 宣布公共finalize()方法
主要 描述,Other_Notes
没有一个
586年 显式的调用Finalize ()
主要 描述,Other_Notes
没有一个
602年 客户端执行服务器端安全
主要 Applicable_Platforms Common_Consequences,描述
没有一个
604年 弃用的条目
主要 关系、View_Filter View_Structure
没有一个
605年 多个绑定到相同的端口
主要 Common_Consequences
没有一个
606年 检查循环条件的输入
主要 的关系
没有一个
609年 双重检查锁定
主要 Taxonomy_Mappings
引用
610年 在另一个球体外部控制的参考资源
主要 Other_Notes, Relationship_Notes
没有一个
612年 通过索引的私人数据信息泄漏
主要 Other_Notes, Research_Gaps
没有一个
618年 曝光不安全的ActiveX方法
主要 描述,Other_Notes
没有一个
619年 悬空数据库游标(光标注入)
主要 Modes_of_Introduction、Other_Notes Weakness_Ordinalities
没有一个
628年 函数调用与指定参数不正确
主要 Detection_Factors、Other_Notes Weakness_Ordinalities
没有一个
639年 访问控制旁路通过用户控制的关键
主要 Common_Consequences
没有一个
641年 过滤文件和其他资源不足可执行内容的名称
主要 Common_Consequences
没有一个
643年 未能在XPath表达式中净化数据(XPath注入)
主要 Common_Consequences
没有一个
644年 卫生处理不当的HTTP头脚本语法
主要 Common_Consequences
没有一个
646年 依赖外来文件的文件名或扩展
主要 Common_Consequences
没有一个
647年 使用非规范的URL路径进行授权决策
主要 Common_Consequences
没有一个
648年 不正确的使用特权的api
主要 Common_Consequences
没有一个
649年 依赖混淆或加密的安全相关的输入没有完整性检查
主要 Common_Consequences
没有一个
650年 信任服务器端的HTTP方法许可
主要 Common_Consequences
没有一个
651年 通过WSDL文件信息泄漏
主要 Common_Consequences
没有一个
652年 未能清理数据在XQuery表达式(XQuery注入)
主要 Common_Consequences
没有一个
665年 不适当的初始化
主要 Common_Consequences
没有一个
668年 曝光资源错误的球体
主要 Other_Notes, Theoretical_Notes
没有一个
669年 不正确的资源领域之间的转移
主要 Background_Details, Other_Notes
没有一个
673年 范围定义的外部影响
主要 Other_Notes, Theoretical_Notes
没有一个
675年 重复操作的资源
主要 Other_Notes, Relationship_Notes
没有一个
682年 错误的计算
主要 Demonstrative_Examples、人际关系
没有一个
683年 函数调用与不正确的参数
主要 Modes_of_Introduction、Other_Notes Potential_Mitigations
没有一个
685年 函数调用的参数的数量不正确
主要 Modes_of_Introduction、Other_Notes Potential_Mitigations
没有一个
686年 函数调用与不正确的参数类型
主要 Other_Notes, Potential_Mitigations
没有一个
687年 函数调用与指定参数值不正确
主要 Other_Notes, Relationship_Notes
没有一个
688年 与不正确的变量或函数调用引用作为参数
主要 Modes_of_Introduction、Other_Notes Potential_Mitigations
没有一个
693年 保护机制失败
主要 的关系
没有一个
703年 故障处理异常情况
主要 Other_Notes
没有一个
759年 使用单向散列没有盐
主要 的关系
没有一个
760年 使用单向散列和一个可预测的盐
主要 Observed_Examples、人际关系
没有一个
770年 资源配置没有限制或节流
主要 的关系
没有一个
784年 依赖饼干没有验证和完整性检查在一个安全的决定
主要 的关系
没有一个
回到顶部
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新:2017年1月5日

使用常见的弱点枚举(CWE)和相关的引用从这个网站的使用条款。CWE赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2006 - 2023,斜方公司。manbetx客户端首页CWE、水煤浆、CWRAF, CWE标志是斜方公司的商标。manbetx客户端首页