普遍的弱点

支柱无力：这些是无法更抽象的最高级别弱点。他们通常只描述高抽象水平的一个或两个维度。

阶级弱点：这些弱点可以抽象地描述，通常与任何特定的语言或技术无关。他们通常描述两个维度。

基本弱点：这些弱点是通过提供两到三个维度的较低侵蚀概念来建立的，尽管这些概念通常与特定语言，技术或资源组相关联。

变体弱点：这些弱点通过链接到单个语言，技术或资源的基本弱点上。它们通常覆盖三个或更多维度。

资源：在产品操作中访问或修改的对象或实体的漏洞理论术语，例如内存，CPU，文件或插座。资源可以是系统级（内存或CPU），代码级（函数或变量）或应用程序级别（cookie或消息）。

信息曝光：有意或无意间披露信息给无明确授权可以访问该信息的演员。

不当：用作涵盖“丢失”或“不正确”的安全行为的术语。

丢失的：用于描述开发人员没有尝试执行的行为。

不正确：一个通用术语，用于描述行为何时尝试执行任务但不能正确执行任务。

验证：验证演员是否具有特定的现实身份的过程，通常是通过检查产品假设只能由该参与者生成的信息。

授权：确定是否允许具有给定身份的参与者可以访问资源，然后授予对系统的隐式和明确安全策略定义的对该资源的访问。

权限：定义允许哪些参与者访问该资源的资源或一组资源的明确规范，以及这些参与者可以执行哪些操作。

中和：一个一般术语来描述确保输入或输出在使用之前具有某些安全属性的过程。这与执行中和的特定保护机制无关。该术语可以参考以下一个或多个：过滤/清洁，规范化/分辨率，编码/解码，逃脱/取消/删除，引用/无引用，验证，验证或其他机制。