| 20. |
不正确的输入验证 |
|
主要 |
Related_Attack_Patterns、人际关系 |
|
小 |
没有一个 |
| 22 |
不当限制限制目录的路径名(“路径遍历”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 41 |
不当的解决路径等效 |
|
主要 |
没有一个 |
|
小 |
Observed_Examples |
| 42 |
路径等效:“文件名。”(拖点) |
|
主要 |
没有一个 |
|
小 |
Observed_Examples |
| 77年 |
不当中和一个命令中使用的特殊元素(“命令注入”) |
|
主要 |
描述、Observed_Examples关系 |
|
小 |
没有一个 |
| 78年 |
不当使用中和特殊元素在一个操作系统命令(OS命令注入) |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 79年 |
中和不当输入在Web页面生成(“跨站点脚本编制”) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 89年 |
不当使用中和特殊元素在一个SQL命令(SQL注入) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 94年 |
不当控制生成的代码(代码注入) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 103年 |
Struts:不完整的validate()方法的定义 |
|
主要 |
Background_Details、描述 |
|
小 |
没有一个 |
| 104年 |
Struts:表单Bean不扩展验证类 |
|
主要 |
Background_Details |
|
小 |
没有一个 |
| 105年 |
Struts:表单字段验证器 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 106年 |
Struts:不使用的插件框架 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 119年 |
不当的操作限制的范围内一个内存缓冲区 |
|
主要 |
Demonstrative_Examples、Observed_Examples Potential_Mitigations、人际关系 |
|
小 |
没有一个 |
| 120年 |
缓冲区复制没有检查输入的大小(经典的缓冲区溢出) |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 121年 |
基于堆栈缓冲区溢出 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 122年 |
基于堆的缓冲区溢出 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 125年 |
禁止入内的读 |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 132年 |
弃用:零终止错误 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 171年 |
弃用:清洁、规范化和比较的错误 |
|
主要 |
引用 |
|
小 |
没有一个 |
| 189年 |
数字错误 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 190年 |
整数溢出或概括的 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 200年 |
暴露敏感信息的未经授权的演员 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 203年 |
可观察到的差异 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 209年 |
代的包含敏感信息的错误消息 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 218年 |
弃用:未能提供存储数据的机密性 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 225年 |
弃用:一般信息管理问题 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 247年 |
弃用:依赖DNS查找在一个安全的决定 |
|
主要 |
名称、引用 |
|
小 |
没有一个 |
| 252年 |
不返回值 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 256年 |
明文存储密码 |
|
主要 |
描述、名称、关系 |
|
小 |
没有一个 |
| 276年 |
不正确的默认权限 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 284年 |
访问控制不当 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 285年 |
不适当的授权 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 287年 |
不适当的身份验证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 288年 |
认证绕过使用另一种路径或通道 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 290年 |
认证绕过被欺骗 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 292年 |
弃用:信任自我报告的DNS名称 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 295年 |
不适当的证书验证 |
|
主要 |
Demonstrative_Examples, Observed_Examples |
|
小 |
没有一个 |
| 296年 |
不当的证书链的信任 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 300年 |
通道由Non-Endpoint访问 |
|
主要 |
Alternate_Terms, Observed_Examples |
|
小 |
没有一个 |
| 306年 |
失踪的身份验证的重要功能 |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 318年 |
明文存储敏感信息的可执行文件 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 329年 |
第四代可预测与CBC模式 |
|
主要 |
描述、Maintenance_Notes名称、引用 |
|
小 |
没有一个 |
| 330年 |
使用随机值不足 |
|
主要 |
Demonstrative_Examples、Maintenance_Notes Observed_Examples |
|
小 |
没有一个 |
| 331年 |
熵不足 |
|
主要 |
Maintenance_Notes, Observed_Examples |
|
小 |
没有一个 |
| 332年 |
熵在PRNG不足 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 333年 |
处理不当的熵在TRNG不足 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 334年 |
小空间的随机值 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 335年 |
不正确的使用伪随机数生成器的种子(PRNG) |
|
主要 |
描述、Maintenance_Notes Observed_Examples |
|
小 |
Common_Consequences |
| 336年 |
相同的伪随机数生成器的种子(PRNG) |
|
主要 |
Demonstrative_Examples,描述、Maintenance_Notes Modes_of_Introduction Potential_Mitigations,引用 |
|
小 |
没有一个 |
| 337年 |
可预测的伪随机数生成器的种子(PRNG) |
|
主要 |
Maintenance_Notes、Observed_Examples Potential_Mitigations,引用 |
|
小 |
没有一个 |
| 338年 |
使用密码地弱伪随机数生成器(PRNG) |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 339年 |
小种子在PRNG空间 |
|
主要 |
Demonstrative_Examples,描述、Maintenance_Notes Observed_Examples Potential_Mitigations,引用 |
|
小 |
没有一个 |
| 340年 |
一代的可预测的数字或标识符 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 341年 |
预测从可观察到的状态 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 342年 |
从先前的值可以预测的精确值 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 343年 |
可预测的值从之前的值 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 345年 |
验证数据的真实性不足 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 352年 |
跨站请求伪造(CSRF) |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 353年 |
缺少支持完整性检查 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 391年 |
未经检查的错误条件 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 393年 |
返回错误状态码 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 404年 |
不当关机或释放资源 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 407年 |
低效率的算法复杂度 |
|
主要 |
引用 |
|
小 |
没有一个 |
| 416年 |
使用后免费 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 423年 |
弃用:代理可信通道 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 425年 |
直接请求(“强迫浏览”) |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 434年 |
无限制上传文件与危险的类型 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 443年 |
弃用:HTTP响应分裂 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 457年 |
使用未初始化的变量 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 476年 |
空指针废弃 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 489年 |
积极的调试代码 |
|
主要 |
Alternate_Terms |
|
小 |
没有一个 |
| 494年 |
下载的代码没有完整性检查 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 502年 |
反序列化的数据不可信 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 516年 |
弃用:隐蔽时间信道 |
|
主要 |
的名字 |
|
小 |
没有一个 |
| 522年 |
保护不足的凭证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 560年 |
使用umask()与chmod-style论点 |
|
主要 |
Other_Notes |
|
小 |
没有一个 |
| 561年 |
死代码 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 598年 |
使用GET请求方法的敏感的查询字符串 |
|
主要 |
描述 |
|
小 |
没有一个 |
| 611年 |
XML外部实体引用的不当限制 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 682年 |
错误的计算 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 693年 |
保护机制失败 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 703年 |
检查或不当处理异常情况 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 705年 |
不正确的控制流范围 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 732年 |
不正确的权限分配的关键资源 |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 754年 |
不适当的检查异常或异常情况 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 757年 |
谈判期间选择低收入低保险算法(算法降级) |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 760年 |
使用单向散列和一个可预测的盐 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 770年 |
资源配置没有限制或节流 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 787年 |
禁止入内的写 |
|
主要 |
Demonstrative_Examples Potential_Mitigations,关系 |
|
小 |
没有一个 |
| 788年 |
访问结束后的内存位置缓冲区 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 798年 |
使用硬编码的凭证 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 805年 |
缓冲区长度值不正确的访问 |
|
主要 |
Demonstrative_Examples, Potential_Mitigations |
|
小 |
没有一个 |
| 806年 |
缓冲区的访问使用源缓冲区的大小 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 833年 |
死锁 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 834年 |
过多的迭代 |
|
主要 |
Observed_Examples、人际关系 |
|
小 |
没有一个 |
| 835年 |
循环和遥不可及的退出条件(无限循环) |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 862年 |
失踪的授权 |
|
主要 |
Observed_Examples Related_Attack_Patterns,关系 |
|
小 |
没有一个 |
| 863年 |
错误的授权 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 917年 |
不当中和一个表达式语言语句中使用的特殊元素(表达式语言注入) |
|
主要 |
引用 |
|
小 |
没有一个 |
| 918年 |
服务器端请求伪造(SSRF) |
|
主要 |
引用、Related_Attack_Patterns关系 |
|
小 |
没有一个 |
| 940年 |
不当的验证源通信通道 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 1022年 |
使用Web链接不可信的目标窗口。器访问 |
|
主要 |
Potential_Mitigations |
|
小 |
没有一个 |
| 1188年 |
不安全的默认初始化资源 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1189年 |
不当隔离系统级芯片(SoC)的共享资源 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 1204年 |
代的弱初始化向量(IV) |
|
主要 |
Maintenance_Notes Observed_Examples,引用 |
|
小 |
没有一个 |
| 1205年 |
安全原语和加密问题 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 1220年 |
足够的粒度的访问控制 |
|
主要 |
Demonstrative_Examples |
|
小 |
没有一个 |
| 1221年 |
错误的注册违约或模块参数 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1240年 |
使用危险的加密原语 |
|
主要 |
Maintenance_Notes, Research_Gaps |
|
小 |
没有一个 |
| 1241年 |
使用随机数发生器的可预测的算法 |
|
主要 |
Maintenance_Notes |
|
小 |
没有一个 |
| 1243年 |
调试期间敏感的非易失性信息不受保护 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 1246年 |
写处理不当Limited-write非易失性记忆 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1253年 |
不正确的融合值的选择 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1254年 |
不正确的比较逻辑的粒度 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1255年 |
逻辑是比较容易受到权力边信道攻击 |
|
主要 |
Demonstrative_Examples、Modes_of_Introduction Observed_Examples Potential_Mitigations,引用,Related_Attack_Patterns |
|
小 |
没有一个 |
| 1256年 |
从软件硬件特性使得物理攻击 |
|
主要 |
Demonstrative_Examples, Observed_Examples |
|
小 |
没有一个 |
| 1263年 |
物理访问控制不当 |
|
主要 |
的关系 |
|
小 |
没有一个 |
| 1264年 |
硬件逻辑之间的不安全感De-Synchronization控制和数据通道 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1267年 |
政策使用过时的编码 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1270年 |
一代的不正确的安全令牌 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1277年 |
固件没有可更新 |
|
主要 |
Demonstrative_Examples, Maintenance_Notes |
|
小 |
没有一个 |
| 1281年 |
的处理器指令序列导致意想不到的行为 |
|
主要 |
名字,Observed_Examples |
|
小 |
没有一个 |
| 1282年 |
Assumed-Immutable数据存储在可写内存 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1290年 |
不正确的解码的安全标识符 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1292年 |
不正确的安全标识符的转换 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1294年 |
不安全的安全标识符机制 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1295年 |
调试消息暴露不必要的信息 |
|
主要 |
Observed_Examples Related_Attack_Patterns,关系 |
|
小 |
没有一个 |
| 1296年 |
不正确的链接或者调试组件的粒度 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1297年 |
保护机密信息被OSAT供应商设备访问 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1298年 |
硬件逻辑包含竞态条件 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1299年 |
失踪的备用硬件接口的保护机制 |
|
主要 |
Observed_Examples, Related_Attack_Patterns |
|
小 |
没有一个 |
| 1300年 |
物理防护不当渠道 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1301年 |
硬件组件内不足或不完整的数据删除 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1302年 |
缺少安全标识符 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1304年 |
保存完整的硬件配置不当国家在权力保存/恢复操作 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1310年 |
缺失的补丁ROM代码的能力 |
|
主要 |
Demonstrative_Examples, Maintenance_Notes |
|
小 |
没有一个 |
| 1325年 |
顺序控制内存分配不当 |
|
主要 |
Observed_Examples |
|
小 |
没有一个 |
| 1328年 |
安全版本号可变的旧版本 |
|
主要 |
Related_Attack_Patterns |
|
小 |
没有一个 |
| 1329年 |
依赖组件,它不是可更新 |
|
主要 |
Demonstrative_Examples、描述引用 |
|
小 |
没有一个 |
| 1333年 |
低效的正则表达式的复杂性 |
|
主要 |
引用 |
|
小 |
没有一个 |
