关于CWE
CWE术语表
AITM缩写Adversary-in-the-Middle。以前MITM。 激活点脆弱性理论术语的位置在攻击者的代码可以执行“有效载荷”,即。,当攻击者造成的代码违反了安全策略。例如,在SQL注入,代码读取一个输入参数(交互点),错误检查危险字符的输入(交叉点),插入输入到一个动态生成的查询字符串,然后将查询字符串发送到数据库服务器(触发点),然后查询处理的服务器(激活点)。更多细节请参见脆弱性理论论文。 演员脆弱性理论术语,描述了一个实体,与产品或与其他实体,如用户、服务、监控(例如id),中介等。 Adversary-in-the-Middle敌人是谁能够窃听、截取、和/或修改两党之间的通信通过获得一个中介系统通过通信必须两党之间流动,例如,客户端和服务器之间的路由器。以前中间人/ MITM。 Allowlist一列或一组字符,字符串,模式,或其他元素,是用来识别某些数据是否应该允许或接受;作为安全;包括;没有修改或加工。 攻击模式常见的方法和属性相关开发软件的一个弱点,固件、硬件、或服务组件。 攻击者演员试图获取行为或资源产品的预期控制范围之外的演员。 身份验证验证一个演员的过程都有一个特定的真实身份,通常通过检查信息的产品假定只能由演员。这是不同的授权,因为认证关注验证演员的身份,而不是演员可以访问的资源。 授权判断一个演员的过程与给定的身份是允许访问的资源,然后授予访问资源,如隐式和显式定义的安全策略的系统。这是不同的认证,因为授权关注是否一个给定的演员可以访问给定的资源,而不是在证明演员的真实身份是什么。 基地的弱点一个弱点,描述的是一个抽象的时尚,但有足够的细节来推断具体的检测和预防方法。一般比一个变种的弱点,但更具体的一个类的弱点。基础水平的弱点通常描述问题的2或3以下维度:行为、财产、技术、语言,和资源。例如基本弱点“使用外部控制格式字符串”(cwe - 134)描述一个问题(不适当的行动)一个行为(使用)对一个特定的资源(格式字符串)与给定属性(外部控制)。另一个例子是“不正当限制限制目录的路径名”(CWE-22)描述一个问题(不当限制)和行为(控制路径名)对资源(目录)与给定属性(限制)。 行为一个产品需要的动作,通常作为实现代码或由一个算法。也可以指行动,其他演员不系统。 业务逻辑使用这个词是CWE气馁。这个术语通常用来描述问题,需要特定领域的知识或“业务规则”来确定缺陷或漏洞,而不是合法行为。这些问题可能不是很容易被通过自动代码分析,因为相关的操作不会产生明显的错误或未定义的行为在代码级别。 CRUD缩写”创建、读取、更新、删除“持久存储的数据的模型类似于资源脆弱性理论模型。 可调用的(改编自方案也被称为“可调用元素”:一个抽象的术语一个函数,方法,程序,等等,可以显式地调用它的名字。 规范化行为或减少输入/输出转换为一个固定的形式,不能转换或任何进一步的减少。在这种情况下的输入/输出用作标识符,规范化是指将这个标识符的行为。例如,当当前工作目录是/用户/ cwe,文件名”. ./ xyz”可以规范化" /用户/ xyz”。 规范化执行规范化。 类别CWE条目包含一组其他条目,共享一个共同的特点。类别不是软弱,而是一种结构项目,帮助用户找到弱点,有规定的共同特点。 链一个复合元素序列两个或两个以上独立的弱点,可以紧密地联系在一起。一个弱点,X,可以直接创建所必需的条件导致另一个弱点,Y,进入一个脆弱的状态。,当这一切发生的时候,CWE指X为“主”,从X和Y是“合成”例如,在命名链CWE - 691,一个整数溢出(CWE - 190)会导致缓冲区溢出(CWE - 120)如果出现整数溢出而计算分配的内存数量。在这种情况下,整数溢出将主缓冲区溢出。链可以涉及两个以上的缺点,在某些情况下,他们可能有一个树状结构。 检查脆弱性理论模型的错误处理,检查资源,它的属性,或者是系统状态来确定他们对产品的预期一致。 类的弱点一个弱点是很抽象的方式描述,通常独立于任何特定的语言或技术。更具体的比一个支柱的弱点,但更普遍的基本的弱点。类级别的弱点通常描述问题的1或2以下维度:行为、财产和资源。例如类弱点“不受控制的资源消耗”(cwe - 400)描述一个问题(控制)和行为(消费)相关的任何类型的资源。另一个例子是“不安全的存储敏感信息”(cwe - 922),描述和问题(不安全)和行为(存储)对一个通用类型的资源(敏感信息)。 净化名称和描述中使用这一项是气馁CWE的弱点,因为它有太多不同的含义在业界和可能导致映射错误。这对CWE的目的不够精确。这个决定在CWE 1.9。 清洗这一项是用于CWE气馁。 明文任何信息都是加密的,尽管它可能会在一个编码形式,不是轻易可读,如base64编码。有些人使用“明文”一词的意思是一样的,但是“明文”有一个更精确的在密码学意义。 复合一个复合元素包含两个或两个以上不同的弱点,必须提供所有的缺点同时为了潜在的漏洞出现。删除任何缺点消除或大大降低了风险。一个弱点,X,可以“分解”组件弱点Y和z .例如,符号链接(cwe - 61)后只能通过结合几个组件的弱点,包括可预测性(cwe - 340),权限(cwe - 275)不足,竞争条件(cwe - 362)。通过消除任何单个组件,开发人员可以防止复合成为可利用的。可以有弱点在哪些情况下可能不是必要的复合,但复合材料的性质变化时,变成了一个漏洞;例如,空字节交互错误(cwe - 626)可以扩大范围的路径遍历的弱点(CWE-22),通常限制哪些文件可以访问由于文件名的特质的一代。 复合元素一个条目,密切同事两个或两个以上CWE条目。CWE团队的研究显示,经常漏洞可以被描述的交互或同时出现两个或两个以上的缺点。 结果错误——行为总是错误的如果执行,即。,与预期的安全政策的冲突。 控制元件(改编自方案)的一个抽象的术语一个函数,方法,程序,等等。 控制范围脆弱性理论术语的一组资源和行为都可以访问的一个演员,或一组演员,所有共享相同的安全限制。这个设置可以是空的。产品的安全模型通常会定义多个领域,尽管这个模型可能并不明确。例如,服务器可能会定义一个范围为“管理员”可以与子目录下创建新的用户帐户/home/server/,和第二个球可能覆盖的用户可以创建或删除文件在自己的子目录。第三个领域可能是“用户认证产品安装的操作系统。”Each sphere has different sets of actors and allowable behaviors. Vulnerabilities can arise when the boundaries of a control sphere are not properly enforced, or when a control sphere is defined in a way that allows more actors or resources than the developer or system operator intends. For example, an application might intend to allow guest users to access files that are only within a given directory, but a path traversal attack could allow access to files that are outside of that directory, which are thus outside of the intended sphere of control. 交叉点脆弱性理论术语的位置代码之后,属性是违反了。这可能会导致不正确的行为在晚些时候。例如,程序员可以使用一个正则表达式限制只包含数字的输入字符串,比如一个电话号码。应用正则表达式后,字符串预计房地产“只包含数字。”If the regular expression is incorrectly specified (e.g., only testing for the presence of a digit anywhere in the string), then after its application, the code reaches a crossover point because the string does not necessarily have the property of "only contains digits." For example, in SQL injection, the code reads an input from a parameter (interaction point), incorrectly checks the input for dangerous characters (crossover point), inserts the input into a dynamically generated query string, then sends the query string to the database server (trigger point), then the query is processed by the server (activation point). See the Vulnerability Theory paper for more details. Denylist一列或一组字符,字符串,模式,或其他元素,用于确定是否应该否认或拒绝某些数据;视为危险;切除;在处理之前或修改。 执行一般术语,意思是检查或操作资源,让它有一个属性所要求的安全策略。例如,所有非字母数字的字符从输入的过滤是一个机制来执行“所有字符是字母数字。”An alternate method of enforcement would be to reject the input entirely if it contains anything that's non-alphanumeric. 条目CWE列表中的任何类型的条目被分配一个惟一的标识符。 等价安全属性两个标识符,输入资源,或行为有语法不同的表征,但最终视为相同。例如,在Windows系统中,MyFile文件名”。txt”和“MYFILE。三种“是等价的,因为他们是指相同的底层文件对象。无法识别等效漏洞通常是一个因素。 明确的片一片的成员是由一些外部条件,表示使用HasMember视图和这些条目之间的关系,但不是条目本身之间。CWE - 635就是一个例子,它列出了被NVD CWE标识符。 过滤器进行过滤。 过滤移除元素从基于某些标准的输入或输出。这学期可以申请删除元素无论安全影响。 图一个视图,用于指定条目之间的关系,通常分层性质的。视图的根级别节点指定使用HasMember关系。孩子们使用ChildOf指定或其他关系。 处理脆弱性理论模型的错误处理,根据检查的结果修改执行一个错误或异常条件。 ICTA交互/转换/触发/激活,脆弱性理论术语的缩写代码构件的重要位置。 知识产权在网络:“互联网协议”。在硬件:一个“知识产权”。 隐式片一片,定义其成员基于共同特征的条目,如弱点,可以出现在C程序(cwe - 658)。 不当作为一个统称覆盖安全行为“失踪”或“不足/不正确的。”注意:在CWE使用这个术语不一致,尽管它已经更清楚地定义自CWE 1.2。 不正确的一个通用术语,用来描述当一个行为试图做一个任务,但不正确。这是不同于“失踪”,开发人员甚至不尝试执行行为。这类似于“不足”。注意:在CWE使用这个术语不一致,尽管它已经更清楚地定义自CWE 1.2。 信息曝光有意的或无意的信息披露一个演员是没有明确授权访问这些信息。 不安全的名称和描述中使用这一项是气馁CWE的弱点,因为它并没有提供任何暗示的实际误差是由开发人员引入的。一些未审核条目可能仍在使用这一项,虽然CWE的将在未来的版本中更正。这是一个一般术语用来描述是不正确的行为和安全隐患。 不足一般术语用来描述当一个安全属性或行为可以不同强度连续或按比例增减,而不是离散的规模。连续规模可能取决于上下文和风险承受能力。例如,随机性的要求可能不同的随机选择一个信息去问候和代军用级别强度的关键。另一方面,一个弱点,使缓冲区溢出总是错误的,没有按比例因环境而异。注意:这个这个词被使用在CWE不一致,尽管它是更清楚地定义在CWE 1.4开始。 交互点脆弱性理论术语的代码点输入从外部环境获得。例如,在SQL注入,代码读取一个输入参数(交互点),错误检查危险字符的输入(交叉点),插入输入到一个动态生成的查询字符串,然后将查询字符串发送到数据库服务器(触发点),然后查询处理的服务器(激活点)。更多细节请参见脆弱性理论论文。 内部用来描述一个发生在一个标识符或输入的操作,而不是在开始或结束。这个术语通常用于结合特殊元素。例如,字符串“/ etc / / passwd”有多个内部“/”字符,或“< SCRI。PT >。“有一个内部的性格。 调用元素定义一个抽象的术语,涵盖“named-callable”元素的概念和“方法控制”元素,定义的方案。 领先的1)用于描述操作,发生在一个标识符或输入的开始。这个术语通常用于结合特殊元素。例如,字符串“/ / etc / passwd”有多个领先的“/”字符。2)用来描述从一个主要转变为合成的弱点在一个链 松散的复合非正式术语用于描述CWE条目,作为一个个体的公众认为软弱,但实际上是一个独立的多个不同的弱点——即。狭义范畴。一个松散的组合的一个例子是“不安全的临时文件”——临时文件可能有权限问题,使用信号量,是竞争条件的一部分,等等。 操纵修改资源的演员,通常改变其属性。通常使用的软件,因为它操纵输入和系统资源以确保安全属性是强制执行的。 方法控制元件(改编自方案)方法的一个抽象的术语,可以显式地调用它的名字。看到“可调用的元素。” 失踪用来描述一个行为,开发商没有试图执行。这是不同于“不正确的”,当开发人员试图描述执行行为,但不正确。注意:在CWE使用这个术语不一致,尽管它已经更清楚地定义自CWE 1.2。 命名的链链出现的如此频繁,CWE ID被分配给它,比如CWE - 680(整数溢出缓冲区溢出)。 自然层次结构9草案研究中使用的术语概念视图(cwe - 1000)。 中和一般的术语来描述的过程确保输入或输出有一定的安全属性之前使用它。这是独立于特定的保护机制,执行中和。这个词可以指一个或多个以下:过滤/清洗,规范化/决议,编码/解码,逃避/亚太,引用/结束,验证,或其他机制。 中和进行中和。 节点CWE条目的另一个术语,尤其是在CWE 1.0之前使用。 权限明确规范的资源,或一组资源,定义允许哪些演员来访问该资源,和可能执行的动作演员。权限可以有助于定义一个或多个控制领域。 支柱的弱点最高级别的缺点,不能做出任何更抽象。柱子是顶级研究概念视图中的条目(cwe - 1000)和代表一个抽象的主题类/基地/变体相关弱点。支柱是不同于一个类别作为支柱技术上仍然是一种弱点,描述了一个错误,而一个类别代表一个共同特征用于组相关的东西。例如,错误的计算(cwe - 682)是一个支柱,它描述了一个错误,但并没有暗示任何特定的关于这样的一个错误或资源的类型影响。 明文信息作为输入使用的加密算法,这可能包含already-encrypted文本。许多人使用“明文”一词的意思是“加密”,和其他人可以使用“明文”意思是一样的。 平台资源资源提供的一个平台,例如,消息流,锁,文件,目录等。 主要的缺点最初的一个弱点,临界误差(根源),可以公开其他弱点后链。 财产脆弱性理论术语单个资源的安全相关的特征或行为目的,重要的是系统的安全模型,这可能随时间改变。例如,用户输入最初不可信;系统中和后的输入,当输入是最终处理,它必须被视为值得信赖的。这说明了Trustability财产。 保护机制脆弱性理论术语的一组行为有助于执行隐式或显式安全政策的产品,如输入验证例程。 依赖安全相关的假设一个资源有一个给定的属性,从而导致弱点如果无法保证财产。例如,一个访问控制保护机制可能使用反向DNS查找(cwe - 247)为了限制系统在一个特定的领域;然而,这种依赖DNS引入了一个弱点,因为DNS结果可以欺骗。 决议将资源标识符转换成一个单一的过程,规范形式。例如,代码将“/ tmp / abc / . . / def。xyz”到“/ tmp / def。xyz" is performing resolution on an identifier that is being used for a file resource. 解决执行决议。 资源脆弱性理论术语对象或实体内访问或修改产品的操作,比如内存、CPU、文件,或套接字。可以系统级资源(内存或CPU),代码级(函数或变量),或应用程序级(cookie或消息)。 合成的弱点这只是暴露弱点攻击后另一个弱点是剥削;早期的链接在一个链。 SDLC软件开发生命周期。 卫生处理名称和描述中使用这一项是气馁CWE的弱点,因为它有太多不同的含义在业界和可能导致映射错误。这对CWE的目的不够精确。在使用类似条款CWE可能包括“中和”,“验证”“编码”和“过滤”。 清洁这一项是用于CWE气馁。 安全策略脆弱性理论,一套有效的行为,属性和资源产品的上下文中运行。政策通常是隐式(反映在代码,或者程序员的假设),但它可以是显式的。 片认为是一个平的CWE条目列表不指定任何这些条目之间的关系。 特别的元素一般任期为一个字节序列,字符或单词用于单独的不同部分的数据在一个特定的表示或语言。最常见的理解使用单个字符的特殊元素,如" < "在HTML中,这标志着一个标签的开始。另外一个例子,CRLF回车/换行字符作为分隔符之间在MIME消息头,所以CRLF是一种特殊的元素。多部分的MIME消息时,字符串变成了一个特殊的边界元素。特殊元素往往是重要的弱点可以利用注入攻击。一个特殊的元素在一个表示可能不是特别的在另一个。例如,空格是一个特殊的元素执行一个命令时在一个shell(因为它作为参数分隔符),但它没有特殊意义的HTML或电子邮件。 的控制范围看到控制范围 技术信息和通讯技术(ICT),按照维基百科的定义:“一个广泛的话题,包括任何产品将存储,检索、操作、传输,或接收信息电子在数字形式(例如,个人电脑包括智能手机、数字电视,电子邮件,或机器人)。” 特定于技术的适用于一个或多个特定类别的信息和通讯技术(ICT),而不是一个广泛的技术。见“技术”。 落后于用来描述一个操作发生在一个标识符或输入的结束。这个术语通常用于结合特殊元素。例如,字符串“example.com”后“。”字符。 触发点脆弱性理论术语的位置代码之后,软件可以不再阻止本身违反了安全策略。例如,在SQL注入,代码读取一个输入参数(交互点),错误检查危险字符的输入(交叉点),插入输入到一个动态生成的查询字符串,然后将查询字符串发送到数据库服务器(触发点),然后查询处理的服务器(激活点)。更多细节请参见脆弱性理论论文。 意想不到的违反产品的开发人员或操作符的假设。这通常是用来描述产品的状态,无意的行为,或资源的属性,并不是认为是礼物。例如,如果一个电子商务项目允许用户指定购买的物品数量,和项目假设的数量将一个数字,那么字符串“中的”是意想不到的。一个程序崩溃通常是意想不到的行为。同样的,当一个程序员取消引用指针,它通常是意想不到的,如果指针可以为空。攻击往往利用意想不到的属性和行为,因为开发人员不一定提供了足够的防御。 变体的弱点一个弱点与某些类型的产品,通常涉及到一个特定的语言或技术。更具体的比基本的弱点。变异水平弱点通常描述问题的3到5以下维度:行为、财产、技术、语言,和资源。例如变体的弱点“私人数据结构从一个公共方法”(cwe - 495)描述一个问题(不适当的行动)和行为(返回)与一个特定的资源(数据结构)与给定属性(私人)。sizeof()的另一个例子是“使用指针类型”(cwe - 467),描述一个问题(使用)和行为(应用程序函数)对资源(指针)在一个隐含的语言(那些支持指针类型)。 视图CWE条目的一个子集,它提供了一种检查CWE的内容。两个主要视图结构片(列表)和图(包含条目之间的关系)。 脆弱性缺陷的软件、固件、硬件或服务组件产生的可以利用的弱点,导致产生负面影响的机密性、完整性,或可用性影响的组件或组件。 弱点一个条件在软件、固件、硬件或服务组件,在某些情况下,可能导致缺陷的引入。
更多的信息是可用的,请选择一个不同的过滤器。
|
