处于:缺点,没有2010年的前25位前25名中选择使用投票过程中,参与者评估候选人的名单41的弱点。从这个列表,最终排名前25位的选择是基于普遍性和重要性,评估的参与者。 这使得16“尖端”不足从候选人名单中没有进入最后的前25位。这可能是由于一个或多个下列原因:
- 不够普遍
- 不够重要
- 没有足够的选票(暗示有限流行/重要性)
CWE / SANS对于开发人员只是一个起点。很多弱点被认为包含在前25名中,但是一些不让它最后的名单。一些不够被认为是重要的;其他人则认为是普遍不够。有时,前25位评论者自己混合意见一个弱点是否应该添加到列表中。 流行,一些顶级25项不得适用于软件开发的类。例如,跨站点脚本是特定于网络,尽管类似物存在于其他技术。在其他情况下,开发人员可能已经消除了大部分的前25位在过去的努力,所以他们想要寻找其他的弱点依然存在于他们的软件。 一些处于商品也省略了,因为他们已经间接地覆盖在前25名中,通常通过一个更一般的条目或一个怪物缓解。然而,这些将作为独立项目重要的考虑。
| 排名 |
分数 |
CWE条目 |
| [26] |
136年 |
cwe - 749:暴露危险的方法或函数 |
|
|
2点前25位,可能在上升。 |
| [27] |
129年 |
cwe - 307:不当限制过度认证尝试 |
|
|
等表亲可能挤压了前25名失踪的身份验证。 |
| [28] |
125年 |
cwe - 212:不当跨境删除敏感数据 |
|
|
重要的隐私是一个主要问题。 |
| [29] |
124年 |
cwe - 330:使用不够随机值 |
|
|
不总是安全相关的,但如果仍然危险。 |
| [30] |
120年 |
CWE-59:不当链接之前决议文件访问(“链接后”) |
|
|
爆发在2008年CVE的统计数据表明,这些如果仍然可以普遍集中关注他们。 |
[31]
(领带) |
120年 |
cwe - 134:不受控制的格式字符串 |
|
|
通常很容易可发现的,由于编译器和代码执行的可能性减少变化,如删除支持“% n”序列。 |
| [32] |
119年 |
cwe - 476:空指针废弃 |
|
|
通常导致拒绝服务在C / c++,但对于某些Linux内核和其他环境,可利用的代码执行。 |
[33]
(领带) |
119年 |
cwe - 681:不正确的数值类型之间的转换 |
|
|
可能会在未来几年的增长,特别是在转换从32位到64位架构。 |
| [34] |
118年 |
cwe - 426:不受信任的搜索路径 |
|
|
流行是不确定的。 |
| [35] |
116年 |
cwe - 454:外部信任变量的初始化或数据存储 |
|
|
高患病率在PHP环境中启用了register_globals,或者程序员不熟悉逆向工程的有效性,或输入的许多方面可以修改。 |
| [36] |
114年 |
cwe - 416:使用后自由 |
|
|
有可能在未来几年在上升。 |
[37]
(领带) |
114年 |
cwe - 772:失踪后释放资源的有效寿命 |
|
|
重要的防止拒绝服务是至关重要的。 |
| [38] |
106年 |
cwe - 799:不当控制的互动频率 |
|
|
重要的防止拒绝服务是至关重要的。也是一个蛮力攻击安全特性的关键组件。 |
| [39] |
One hundred. |
cwe - 456:失踪的初始化 |
|
|
不总是安全相关的;同时,容易与现代编译器和代码扫描可发现的和可以解决的。 |
| [40] |
91年 |
cwe - 672:操作后过期或释放资源 |
|
|
有时明显由编译器,但可能会增加在未来几年。 |
| [41] |
77年 |
cwe - 804那些密码:验证码 |
|
|
不是很普遍,因为验证码不是很普遍的使用,和重要性一般小于其他加密和认证等安全特性。 |
更多的信息是可用的,请编辑自定义过滤器或选择一个不同的过滤器。
|
