2022年1月14日11:43:32评论293 views字数 23361阅读77分52秒阅读模式

View-999: Weaknesses without Software Fault Patterns

ID: 999

Type: Implicit

Status: Incomplete

Objective

CWE identifiers in this view are weaknesses that do not have associated Software Fault Patterns (SFPs), as covered by the CWE-888 view. As such, they represent gaps in coverage by the current software fault pattern model.

Audience

Applied Researchers

Academic Researchers

Software Vendors

Membership

CWE-ID	title
CWE-94	对生成代码的控制不恰当（代码注入）
CWE-942	过度许可的跨域白名单
CWE-95	动态执行代码中指令转义处理不恰当（Eval注入）
CWE-96	静态存储代码中指令转义处理不恰当（静态代码注入）
CWE-97	Web页面中服务端引用（SSI）转义处理不恰当
CWE-98	PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99	对资源描述符的控制不恰当（资源注入）
CWE-1	已弃用:位置
CWE-10	已弃用:ASP.NET环境问题
CWE-1002	SFP辅助群集:意外的入口点
CWE-1009	审计
CWE-1032	OWASP 2017年十大分类A6-安全配置错误
CWE-1035	OWASP 2017年十大分类A9-使用含有已知漏洞的组件
CWE-1136	SEI CERT Oracle Java安全编码标准-准则02.表达式（EXP）
CWE-1137	SEI CERT Oracle Java安全编码标准-准则03.数值类型和运算（NUM）
CWE-1138	SEI CERT Oracle Java安全编码标准-准则04.字符和字符串（STR）
CWE-1139	SEI CERT Oracle Java安全编码标准-准则05.对象方向（OBJ）
CWE-1140	SEI CERT Oracle Java安全编码标准-指南06.方法（MET）
CWE-1141	SEI CERT Oracle Java安全编码标准-准则07.异常行为（ERR）
CWE-1142	SEI CERT Oracle Java安全编码标准-准则08.可见性和原子性（VNA）
CWE-1143	SEI CERT Oracle Java安全编码标准-指南09.锁定（LCK）
CWE-1144	SEI CERT Oracle Java安全编码标准-准则10.线程API（THI）
CWE-1145	SEI CERT Oracle Java安全编码标准-准则11.线程池（TPS）
CWE-1146	SEI CERT Oracle Java安全编码标准-准则12.线程安全杂项（TSM）
CWE-1149	SEI CERT Oracle Java安全编码标准-准则15.平台安全性（SEC）
CWE-1152	SEI CERT Oracle Java安全编码标准-准则49.其他（MSC）
CWE-1153	SEI CERT Oracle Java安全编码标准-准则50.安卓（DRD）
CWE-1155	SEI CERT C编码标准-准则01.预处理程序（PRE）
CWE-1156	SEI CERT C编码标准-准则02.声明和初始化（DCL）
CWE-1157	SEI CERT C编码标准-准则03.表达式（EXP）
CWE-1158	SEI CERT C编码标准-准则04.整数（INT）
CWE-1159	SEI CERT C编码标准-准则05.浮点（FLP）
CWE-1160	SEI CERT C编码标准-准则06.数组（ARR）
CWE-1161	SEI CERT C编码标准-准则07.字符和字符串（STR）
CWE-1162	SEI CERT C编码标准-准则08.内存管理（MEM）
CWE-1163	SEI CERT C编码标准-准则09.输入输出（FIO）
CWE-1165	SEI CERT C编码标准-准则10.环境（ENV）
CWE-1166	SEI CERT C编码标准-准则11.信号（SIG）
CWE-1167	SEI CERT C编码标准-准则12.错误处理（ERR）
CWE-1168	SEI CERT C编码标准-准则13.应用程序编程接口（API）
CWE-1169	SEI CERT C编码标准-准则14.并发性（CON）
CWE-1172	SEI CERT C编码标准-准则51. Microsoft Windows（WIN）
CWE-1180	SEI CERT Perl编码标准-准则02.声明和初始化（DCL）
CWE-18	已弃用：源代码
CWE-199	信息管理错误
CWE-355	用户界面安全问题
CWE-376	临时文件问题
CWE-442	网络问题
CWE-461	数据结构问题
CWE-465	指针问题
CWE-485	7PK -封装
CWE-490	移动代码问题
CWE-503	已弃用:字节/对象代码
CWE-504	None
CWE-505	None
CWE-513	None
CWE-517	None
CWE-518	None
CWE-519	.NET环境问题
CWE-557	并发问题
CWE-60	None
CWE-720	None
CWE-723	None
CWE-726	None
CWE-727	None
CWE-728	None
CWE-729	None
CWE-730	None
CWE-731	None
CWE-735	None
CWE-736	None
CWE-737	None
CWE-738	None
CWE-741	None
CWE-744	None
CWE-745	None
CWE-746	None
CWE-747	None
CWE-748	None
CWE-751	None
CWE-752	None
CWE-753	None
CWE-803	None
CWE-811	None
CWE-814	None
CWE-815	None
CWE-816	None
CWE-817	None
CWE-818	None
CWE-819	None
CWE-840	业务逻辑错误
CWE-847	None
CWE-850	None
CWE-851	None
CWE-852	None
CWE-855	None
CWE-856	None
CWE-857	None
CWE-860	None
CWE-865	None
CWE-870	None
CWE-873	None
CWE-876	None
CWE-879	None
CWE-882	None
CWE-886	None
CWE-890	None
CWE-893	None
CWE-896	None
CWE-899	None
CWE-903	None
CWE-906	None
CWE-930	None
CWE-933	None
CWE-936	None
CWE-944	None
CWE-947	None
CWE-950	None
CWE-953	None
CWE-964	None
CWE-966	None
CWE-975	None
CWE-978	None
CWE-979	None
CWE-1003	已发布漏洞的简化映射的缺点
CWE-1040	具有间接安全影响的质量弱点
CWE-1154	SEI CERT C编码标准解决的弱点
CWE-2000	全面的CWE词典
CWE-630	None
CWE-658	None
CWE-928	None
CWE-1004	没有'HttpOnly'标志的敏感Cookie
CWE-102	Structs：重复验证表单
CWE-1023	缺失要素致使对比不完全
CWE-104	Structs：表单Bean未扩展验证类
CWE-1041	使用冗余代码
CWE-1042	单例类元素外部的静态成员数据元素
CWE-1043	聚合大量非原始元素的元素
CWE-1044	体系架构的水平层数超出预期范围
CWE-1045	带有虚拟析构函数的父类和没有虚拟析构函数的子类
CWE-1046	使用字符串连接创建不可变文本
CWE-1047	具有循环依赖关系的模块
CWE-1048	具有大量外拨电话的可调用控制元素
CWE-1049	大数据表中的数据查询操作过多
CWE-105	Structs：缺少验证的表单域
CWE-1051	使用硬编码的网络资源配置数据进行初始化
CWE-1053	缺少设计文档
CWE-1060	无效的服务器端数据访问次数过多
CWE-1066	缺少序列化控件元素
CWE-1068	软件实现和设计文档不一致
CWE-1069	空异常块
CWE-107	Structs：未使用的验证表单
CWE-1070	可序列化数据元素中包含不可序列化项的元素
CWE-1072	不使用连接池访问数据资源
CWE-1082	存在类实例自毁控制元素
CWE-1084	具有过多文件或数据访问操作的可调用控件元素
CWE-1085	可调用控制元素中的注释代码量过大
CWE-1086	子类过多的类
CWE-1087	没有虚析构函数的虚拟方法类
CWE-1088	远程资源无超时同步访问
CWE-109	Structs：验证器关闭
CWE-1098	包含指针项但没有正确的复制控件元素的数据元素
CWE-1102	依赖于机器相关的数据表示
CWE-1104	使用未维护的第三方组件
CWE-1105	机器相关功能的封装不足
CWE-1106	符号常量使用不足
CWE-1107	符号常量定义的隔离不足
CWE-1109	多用途使用同一变量
CWE-1112	程序执行文件不完整
CWE-1119	过度使用无条件分支
CWE-1120	代码过于复杂
CWE-1121	McCabe环复杂性过大
CWE-1122	Halstead复杂度过高
CWE-1124	深度嵌套过多
CWE-1125	过多的攻击面
CWE-1126	使用不必要的大范围声明变量
CWE-1127	警告或错误不足的编译
CWE-113	HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割）
CWE-115	输入的错误解释
CWE-1164	不相关代码
CWE-1174	ASP.NET错误配置：模型验证不正确
CWE-12	ASP.NET误配置：缺少定制错误页面
CWE-121	栈缓冲区溢出
CWE-123	任意地址可写任意内容条件
CWE-125	跨界内存读
CWE-127	缓冲区下溢读取
CWE-129	对数组索引的验证不恰当
CWE-130	长度参数不一致性处理不恰当
CWE-132	废弃(重复): 空终结符计算错误
CWE-134	使用外部控制的格式字符串
CWE-135	多字节字符串长度的计算不正确
CWE-14	编译器移除释放缓冲区的代码
CWE-140	分隔符转义处理不恰当
CWE-141	参数分隔符转义处理不恰当
CWE-142	值分隔符转义处理不恰当
CWE-143	记录分隔符转义处理不恰当
CWE-144	行分隔符转义处理不恰当
CWE-15	系统设置或配置在外部可控制
CWE-151	注释分隔符转义处理不恰当
CWE-156	空格转义处理不恰当
CWE-158	空字节或NULL字符转义处理不恰当
CWE-160	起始特殊元素净化处理不恰当
CWE-164	内部特殊元素净化处理不恰当
CWE-166	缺失特殊元素净化处理不恰当
CWE-168	不一致特殊元素净化处理不恰当
CWE-172	编码错误
CWE-175	混合编码处理不恰当
CWE-177	URL编码处理不恰当（Hex编码）
CWE-179	不正确的行为次序：过早验证
CWE-186	过度严格的正则表达式
CWE-188	依赖数据/内存布局
CWE-191	整数下溢（超界折返）
CWE-193	Off-by-one错误
CWE-195	有符号至无符号转换错误
CWE-197	数值截断错误
CWE-20	输入验证不恰当
CWE-201	通过发送数据的信息暴露
CWE-203	通过差异性导致的信息暴露
CWE-205	通过行为差异性导致的信息暴露
CWE-207	通过外部行为不一致性导致的信息暴露
CWE-209	通过错误消息导致的信息暴露
CWE-211	通过外部产生的错误消息导致的信息暴露
CWE-213	故意性的信息暴露
CWE-215	通过Debug信息导致的信息暴露
CWE-217	废弃：未能保护存储数据的修改
CWE-219	Web根目录下的敏感数据
CWE-220	FTP根目录下的敏感数据
CWE-222	安全相关信息的截断
CWE-224	通过候选名称导致的安全相关信息混淆
CWE-226	在释放前未清除敏感信息
CWE-229	值处理不恰当
CWE-230	缺失值处理不恰当
CWE-232	未定义值处理不恰当
CWE-234	未对缺失参数进行处理
CWE-236	对未定义参数处理不恰当
CWE-238	对不完整结构体元素处理不恰当
CWE-24	路径遍历：'../filedir'
CWE-241	非预期数据类型处理不恰当
CWE-243	未改变工作目录时创建chroot Jail
CWE-245	J2EE不安全实践：对连接的直接管理
CWE-247	在安全决策中依赖DNS查询
CWE-249	废弃：经常性滥用：路径操纵
CWE-250	带着不必要的权限执行
CWE-253	对函数返回值的检查不正确
CWE-257	以可恢复格式存储口令
CWE-259	使用硬编码的口令
CWE-260	配置文件中存储口令
CWE-262	未使用口令老化机制
CWE-266	特权授予不正确
CWE-268	特权链锁
CWE-27	路径遍历：'dir/../../filename'
CWE-271	特权放弃/降低错误
CWE-273	对于放弃特权的检查不恰当
CWE-276	缺省权限不正确
CWE-278	不安全的预留继承权限
CWE-28	路径遍历：'..filedir'
CWE-281	权限预留不恰当
CWE-283	未经验证的属主
CWE-285	授权机制不恰当
CWE-287	认证机制不恰当
CWE-289	使用候选名称进行的认证绕过
CWE-290	使用欺骗进行的认证绕过
CWE-292	信任自主报告的DNS名称
CWE-294	使用捕获-重放进行的认证绕过
CWE-296	证书信任链回溯不恰当
CWE-298	证书过期验证不恰当
CWE-30	路径遍历：'dirfilename'
CWE-301	认证协议中的反射攻击
CWE-303	认证算法的不正确实现
CWE-305	使用基本弱点进行的认证绕过
CWE-307	过多认证尝试的限制不恰当
CWE-309	使用口令系统作为基本认证机制
CWE-311	敏感数据加密缺失
CWE-313	在文件或磁盘上的明文存储
CWE-315	在Cookie中的明文存储
CWE-317	在GUI中的明文存储
CWE-319	敏感数据的明文传输
CWE-321	使用硬编码的密码学密钥
CWE-323	在加密中重用Nonce与密钥对
CWE-325	缺少必要的密码学步骤
CWE-326	不充分的加密强度
CWE-328	可逆的单向哈希
CWE-1007	屏幕显示出的不同编码的同形字母不易区分
CWE-1021	不当限制渲染UI层或帧
CWE-1022	使用windows.opener访问指向不可信目标的web链接
CWE-1024	不兼容类型的比较
CWE-1025	使用错误要素进行比较
CWE-103	Structs：不完整的validate()方法定义
CWE-1037	处理器优化致使安全关键代码被删除或修改
CWE-1038	不安全的自动优化
CWE-1039	自动识别机制在检测或处理对抗性输入扰动时能力不足
CWE-1050	循环内过多的平台资源消耗
CWE-1052	在初始化中过多使用硬编码字面量
CWE-1054	在不必要的深度水平层上调用控制元素
CWE-1055	具体类的多重继承
CWE-1056	具有可变参数的可调用控制元素
CWE-1057	预期的数据管理组件之外的数据访问操作
CWE-1058	具有非最终静态可存储或成员元素的多线程上下文中的可调用控制元素
CWE-1059	不完整的文件
CWE-106	Structs：插件框架未在使用
CWE-1061	封装不足
CWE-1062	父类参考子类
CWE-1063	在静态代码块中创建类实例
CWE-1064	包含过多签名参数的可调用控件元素
CWE-1065	在应用服务器上运行组件的资源管理控制元素
CWE-1067	对数据资源进行顺序搜索的过度执行
CWE-1071	空的代码块
CWE-1073	使用过多的非SQL调用控制组件进行数据资源访问
CWE-1074	继承过深的类
CWE-1075	开关块外部无条件控制流转移
CWE-1076	对预期协议的遵守不足
CWE-1077	使用不正确的比较运算符比较浮点值
CWE-1078	不适当的源代码样式或格式
CWE-1079	没有虚析构函数方法的父类
CWE-108	Structs：未经验证的动作表单
CWE-1080	源代码文件的代码行数过多
CWE-1083	从外部预期的数据管理器组件进行数据访问
CWE-1089	索引过多的大数据表
CWE-1090	包含从另一个类访问成员元素的方法
CWE-1091	在不调用析构函数方法的情况下使用对象
CWE-1092	在多个架构层中使用相同的可调用控件元素
CWE-1093	数据表示过于复杂
CWE-1094	数据资源的索引范围扫描过大
CWE-1095	循环内循环条件值更新
CWE-1096	在没有正确锁定或同步的情况下创建单实例类实例
CWE-1097	不带关联比较控制元素的持久可存储数据元素
CWE-1099	标识符的命名约定不一致
CWE-11	ASP.NET误配置：创建Debug模式二进制
CWE-110	Structs：无表单域的验证器
CWE-1100	系统依赖函数的隔离不足
CWE-1101	生成代码中对运行时组件的依赖
CWE-1103	使用依赖于平台的第三方组件
CWE-1108	过度依赖全局变量
CWE-111	对不安全JNI的直接使用
CWE-1110	设计文件不完整
CWE-1111	不完整的I/O文档
CWE-1113	不恰当的注释样式
CWE-1114	不适当的空白样式
CWE-1115	没有标准序言的源代码元素
CWE-1116	不准确的注释
CWE-1117	行为摘要不足的可调用
CWE-1118	错误处理技术的文档不足
CWE-112	XML验证缺失
CWE-1123	过度使用自我修改代码
CWE-114	流程控制
CWE-116	对输出编码和转义不恰当
CWE-33	路径遍历：'....' （多个点号）
CWE-331	信息熵不充分
CWE-333	TRNG不充分信息熵的处理不恰当
CWE-335	PRNG种子错误
CWE-337	PRNG中使用可预测种子
CWE-339	PRNG中的种子空间太小
CWE-340	可预测问题
CWE-342	从先前值可预测准确值
CWE-344	在动态变化上下文中使用不变值
CWE-346	源验证错误
CWE-348	使用不可信的源
CWE-35	路径遍历：'.../...//'
CWE-351	不充分的类型区分
CWE-353	缺失完整性检查支持
CWE-356	产品UI接口未警示用户不安全动作
CWE-358	不恰当实现的标准安全检查
CWE-36	绝对路径遍历
CWE-362	使用共享资源的并发执行不恰当同步问题（竞争条件）
CWE-364	信号处理例程中的竞争条件
CWE-366	单线程内的竞争条件
CWE-368	上下文切换时的竞争条件
CWE-37	路径遍历：'/absolute/pathname/here'
CWE-372	不完整的内部状态区分
CWE-374	传递不可变的对象给非可信方法
CWE-377	不安全的临时文件
CWE-117	日志输出的转义处理不恰当
CWE-1173	验证框架使用不当
CWE-1176	低效的CPU计算
CWE-1177	使用被禁止的代码
CWE-118	对可索引资源的访问不恰当（越界错误）
CWE-1187	使用未初始化的资源
CWE-1188	不安全的默认资源初始化
CWE-119	内存缓冲区边界内操作的限制不恰当
CWE-120	未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出）
CWE-122	堆缓冲区溢出
CWE-124	缓冲区下溢
CWE-126	缓冲区上溢读取
CWE-128	超界折返处理错误
CWE-13	ASP.NET误配置：配置文件中存储口令
CWE-131	缓冲区大小计算不正确
CWE-138	对特殊元素的转义处理不恰当
CWE-379	在具有不安全权限的目录中创建临时文件
CWE-382	J2EE不安全实践：使用System.exit()
CWE-384	会话固定
CWE-386	符号名称未能映射到正确对象
CWE-390	未有动作错误条件的检测
CWE-392	错误条件报告缺失
CWE-394	未预期的状态编码或返回值
CWE-396	对通用异常声明Catch语句
CWE-40	路径遍历：'UNCsharename'(WindowsUNC共享)
CWE-401	在移除最后引用时对内存的释放不恰当（内存泄露）
CWE-403	将文件描述符暴露给不受控制的范围（文件描述符泄露）
CWE-405	不对称的资源消耗（放大攻击）
CWE-407	算法复杂性
CWE-409	对高度压缩数据的处理不恰当（数据放大攻击）
CWE-410	不充分的资源池
CWE-413	资源加锁不恰当
CWE-415	双重释放
CWE-419	未保护的主要通道
CWE-420	未保护的候选通道
CWE-422	未保护的Windows消息通道（Shatter）
CWE-424	对候选路径的不恰当保护
CWE-426	不可信的搜索路径
CWE-428	未经引用的搜索路径或元素
CWE-430	错误句柄的实施
CWE-432	在敏感操作时危险信号处理例程未被禁用
CWE-145	节分隔符转义处理不恰当
CWE-146	表达式/命令分隔符转义处理不恰当
CWE-147	输入终结符转义处理不恰当
CWE-148	输入起始符转义处理不恰当
CWE-149	引号语法转义处理不恰当
CWE-150	转义、元或控制序列转义处理不恰当
CWE-152	宏符号转义处理不恰当
CWE-153	替代符号转义处理不恰当
CWE-154	变量名分隔符转义处理不恰当
CWE-155	双字符或匹配符号转义处理不恰当
CWE-157	结对分隔符的净化处理不恰当
CWE-159	特殊元素净化处理不恰当
CWE-161	多重起始特殊元素净化处理不恰当
CWE-162	结尾特殊元素转义处理不恰当
CWE-163	多重结尾特殊元素转义处理不恰当
CWE-165	多重内部特殊元素净化处理不恰当
CWE-167	附加特殊元素净化处理不恰当
CWE-170	不恰当的空终结符
CWE-173	候选编码方案处理不恰当
CWE-174	对同一数据的双重编码
CWE-176	Unicode编码处理不恰当
CWE-178	大小写敏感处理不恰当
CWE-180	不正确的行为次序：规范化之前验证
CWE-181	不正确的行为次序：在过滤之前验证
CWE-182	数据的崩溃导致不安全数值
CWE-183	宽松定义的白名单
CWE-184	不完整的黑名单
CWE-185	不正确的正则表达式
CWE-187	部分比较
CWE-434	危险类型文件的不加限制上传
CWE-436	解释冲突
CWE-439	新版本或环境中的行为变化
CWE-440	预期行为违背
CWE-443	废弃（重复）：HTTP响应分割
CWE-446	安全特性的UI矛盾
CWE-448	UI上的废弃特性
CWE-45	路径等价：'file...name' （多个内部的点号）
CWE-451	关键信息的UI错误表达
CWE-454	可信任变量或数据存储的外部初始化
CWE-456	变量未经初始化
CWE-458	废弃：初始化不正确
CWE-46	路径等价：'filename'(结尾空格)
CWE-462	在关联列表中具有重复Key
CWE-464	对数据结构哨兵域的增加
CWE-467	在指针类型上使用sizeof()
CWE-469	使用指针的减法来确定大小
CWE-470	使用外部可控制的输入来选择类或代码（不安全的反射）
CWE-472	对假设不可变Web参数的外部可控制
CWE-474	使用具有不一致性实现的函数
CWE-476	空指针解引用
CWE-478	在Switch语句中缺失缺省条件
CWE-190	整数溢出或超界折返
CWE-192	整数强制转换错误
CWE-194	未预期的符号扩展
CWE-196	无符号至有符号转换错误
CWE-198	字节序使用不正确
CWE-200	信息暴露
CWE-202	通过数据查询的敏感数据暴露
CWE-204	响应差异性信息暴露
CWE-206	通过行为不一致性导致的内部状态信息暴露
CWE-208	通过时间差异性导致的信息暴露
CWE-210	通过自主产生的错误消息导致的信息暴露
CWE-212	敏感数据的不恰当跨边界移除
CWE-214	通过处理环境导致的信息暴露
CWE-216	容器错误
CWE-218	废弃(重复)：未能保护存储数据的机密性
CWE-22	对路径名的限制不恰当（路径遍历）
CWE-221	信息丢失或遗漏
CWE-223	安全相关信息的遗漏
CWE-225	废弃(重复)：通用信息管理问题
CWE-228	语法无效结构处理不恰当
CWE-48	路径等价：'filename'(内部空格)
CWE-481	错误将比较符号写成赋值符号
CWE-483	不正确的代码块分界
CWE-486	使用名称来比较对象
CWE-488	对错误会话暴露数据元素
CWE-49	路径等价：'filename/'(尾部斜杠)
CWE-492	使用包含敏感数据的内部对象
CWE-494	下载代码缺少完整性检查
CWE-496	公开数据赋值给私有的数组类型数据域
CWE-498	包含敏感信息的可克隆类
CWE-5	J2EE误配置：未经加密的数据传输
CWE-500	公开静态字段没有标记为Final
CWE-502	可信数据的反序列化
CWE-507	特洛伊木马
CWE-509	具传播性的恶意代码（病毒或蠕虫）
CWE-510	后门
CWE-512	间谍软件
CWE-515	隐蔽存储通道
CWE-52	路径等价：'/multiple/trailling/slash//'
CWE-521	弱口令要求
CWE-523	凭证传输未经安全保护
CWE-525	通过浏览器缓存导致的信息暴露
CWE-527	将CVS仓库暴露给非授权控制范围
CWE-529	将访问控制列表文件暴露给非授权控制范围
CWE-530	将备份文件暴露给非授权控制范围
CWE-23	相对路径遍历
CWE-231	额外值处理不恰当
CWE-233	参数问题
CWE-235	对额外参数处理不恰当
CWE-237	结构体元素处理不恰当
CWE-239	未能处理不完整的元素
CWE-240	对不一致结构体元素处理不恰当
CWE-242	使用内在危险函数
CWE-244	在释放前清理堆内存不恰当（堆检查）
CWE-246	J2EE不安全实践：对套接字的直接使用
CWE-248	未捕获的异常
CWE-25	路径遍历：'/../filedir'
CWE-252	未加检查的返回值
CWE-256	明文存储口令
CWE-258	配置文件中缺省空口令
CWE-26	路径遍历：'dir/../filename'
CWE-261	口令使用弱密码学算法
CWE-263	口令老化拥有过长有效期
CWE-267	特权定义了不安全动作
CWE-269	特权管理不恰当
CWE-270	特权上下文切换错误
CWE-272	最小特权原则违背
CWE-274	不充分特权处理不恰当
CWE-532	通过日志文件的信息暴露
CWE-534	通过Debug日志文件导致的信息暴露
CWE-536	通过Servlet运行时错误消息导致的信息暴露
CWE-538	文件和路径信息暴露
CWE-54	路径等价：'filedir'(结尾的反斜杠)
CWE-541	通过包含源代码导致的信息暴露
CWE-543	在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-545	使用动态类装载
CWE-547	使用硬编码、安全相关的常数
CWE-549	口令域未进行输入隐藏
CWE-550	通过服务器错误消息导致的信息暴露
CWE-552	对外部实体的文件或目录可访问
CWE-554	ASP.NET误配置：没有使用输入验证框架
CWE-556	ASP.NET误配置：使用身份伪装
CWE-56	路径等价：'filedir*'（通配符）
CWE-561	死代码
CWE-563	未使用的变量
CWE-565	在信任Cookie未进行验证与完整性检查
CWE-567	在多现场上下文中未能对共享数据进行同步访问
CWE-57	路径等价：'fakedir/'
CWE-571	表达式永真
CWE-573	调用者对规范的不恰当使用
CWE-575	EJB不安全实践：使用AWT Swing
CWE-577	EJB不安全实践：使用套接字
CWE-579	J2EE不安全实践：将不可序列化的对象存储在会话中
CWE-580	未定义super.clone()的clone()方法
CWE-582	公开、最终、静态声明的数组
CWE-584	在最后的代码块中返回
CWE-586	对Finalize()的显式调用
CWE-588	尝试访问一个非结构体指针的子域
CWE-59	在文件访问前对链接解析不恰当（链接跟随）
CWE-591	敏感数据存储于加锁不恰当的内存区域
CWE-593	认证绕过：SSL对象创建后修改OpenSSL CTX对象
CWE-595	错误对对象引用当作对象内容进行比较
CWE-597	在字符串比较中使用了错误的操作符
CWE-599	缺失对OpenSSL证书的验证
CWE-600	Servlet中未捕获的异常
CWE-602	服务端安全的客户端实施
CWE-605	对同一端口的多重绑定
CWE-607	公开静态最终域索引互斥的对象
CWE-609	双重检查的加锁机制
CWE-610	资源在另一范围的外部可控制索引
CWE-612	通过私有数据的索引导致的信息暴露
CWE-614	HTTPS会话中未设置'Secure'属性的敏感Cookie
CWE-616	上传文件变量的不完整标识（PHP）
CWE-618	暴露的不安全ActiveX方法
CWE-62	UNIX硬链接
CWE-621	变量抽取错误
CWE-623	不安全的ActiveX控件被标记为脚本安全
CWE-625	宽松定义的正则表达式
CWE-627	动态变量执行
CWE-636	未能安全地进行程序失效（Failing Open）
CWE-638	未能使用完整仲裁
CWE-64	Windows快捷方式跟随（.LNK）
CWE-641	文件和其他资源名称限制不恰当
CWE-643	XPath表达式中数据转义处理不恰当（XPath注入）
CWE-645	过度限制的账户封锁机制
CWE-647	使用未经净化的URL路径进行授权决策
CWE-649	依赖于未经完整性检查的安全相关输入的混淆或加密
CWE-650	在服务器端信任HTTP权限模型
CWE-652	XQuery表达式中数据转义处理不恰当（XQuery注入）
CWE-654	在安全决策中依赖单个元素
CWE-656	依赖构建于封闭的安全性
CWE-66	标识虚拟资源的文件名处理不恰当
CWE-663	在并发上下文中使用不可再入的函数
CWE-665	初始化不恰当
CWE-667	加锁机制不恰当
CWE-277	不安全的继承权限
CWE-279	不安全的运行时授予权限
CWE-280	不充分权限或特权的处理不恰当
CWE-282	属主管理不恰当
CWE-284	访问控制不恰当
CWE-286	用户管理不正确
CWE-288	使用候选路径或通道进行的认证绕过
CWE-29	路径遍历：'..filename'
CWE-291	信任自主报告的IP地址
CWE-293	使用Refer域进行认证
CWE-295	证书验证不恰当
CWE-297	对宿主不匹配的证书验证不恰当
CWE-299	证书撤销验证不恰当
CWE-300	通道可被非端点访问（中间人攻击）
CWE-302	使用假设不可变数据进行的认证绕过
CWE-304	认证中关键步骤缺失
CWE-306	关键功能的认证机制缺失
CWE-308	使用单一因素认证机制
CWE-31	路径遍历：'dir....filename'
CWE-312	敏感数据的明文存储
CWE-314	在注册表中的明文存储
CWE-316	在内存中的明文存储
CWE-318	在可执行体中的明文存储
CWE-32	路径遍历：'...' （三个点号）
CWE-322	未进行实体认证的密钥交换
CWE-324	使用已过期的密钥
CWE-327	使用已被攻破或存在风险的密码学算法
CWE-669	在范围间的资源转移不正确
CWE-670	控制流实现总是不正确
CWE-672	在过期或释放后对资源进行操作
CWE-674	未经控制的递归
CWE-676	潜在危险函数的使用
CWE-681	数值类型间的不正确转换
CWE-683	使用不正确参数次序的函数调用
CWE-685	使用不正确参数个数的函数调用
CWE-687	使用不正确指定参数值的函数调用
CWE-689	在资源拷贝时的权限竞争条件
CWE-690	未检查返回值导致空指针解引用
CWE-692	黑名单不完全导致跨站脚本
CWE-694	使用多个具有重复标识的资源
CWE-696	不正确的行为次序
CWE-698	重定向后执行（EAR）
CWE-703	对异常条件检查或处理不恰当
CWE-705	控制流范围控制不正确
CWE-707	对消息或数据结构的处理不恰当
CWE-71	Apple '.DS_Store'
CWE-72	Apple HFS+交换数据流路径处理不恰当
CWE-732	关键资源的不正确权限授予
CWE-74	输出中的特殊元素转义处理不恰当（注入）
CWE-75	特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入）
CWE-755	对异常条件的处理不恰当
CWE-757	在会话协商时选择低安全性的算法（算法降级）
CWE-759	使用未加Salt的单向哈希算法
CWE-760	使用可预测Salt的单向哈希算法
CWE-329	在CBC加密模式中未使用随机化IV向量
CWE-330	使用不充分的随机数
CWE-332	PRNG中信息熵不充分
CWE-334	随机数的空间太小
CWE-336	PRNG中使用相同种子
CWE-338	使用具有密码学弱点缺陷的PRNG
CWE-34	路径遍历：'....//'
CWE-341	从可观察状态的可预测
CWE-343	从先前值可预测取值范围
CWE-345	对数据真实性的验证不充分
CWE-347	密码学签名的验证不恰当
CWE-349	在可信数据中接受外来的不可信数据
CWE-350	不恰当地信任反向DNS
CWE-352	跨站请求伪造（CSRF）
CWE-354	完整性检查值验证不恰当
CWE-357	对危险操作的UI警示不充分
CWE-359	侵犯隐私
CWE-360	信任系统事件数据
CWE-363	允许符号链接跟随的竞争条件
CWE-365	Switch语句中的竞争条件
CWE-367	检查时间与使用时间(TOCTOU)的竞争条件
CWE-369	除零错误
CWE-370	在初始检查后缺失对证书撤销的验证
CWE-373	废弃：状态同步错误
CWE-375	返回不可变的对象给非可信调用者
CWE-378	创建拥有不安全权限的临时文件
CWE-38	路径遍历：'absolutepathnamehere'
CWE-383	J2EE不安全实践：直接使用线程
CWE-385	隐蔽时间通道
CWE-39	路径遍历：'C:dirname'
CWE-391	未经检查的错误条件
CWE-393	返回错误的状态编码
CWE-395	使用NullPointerException捕捉来检测空指针解引用
CWE-397	对通用异常声明Throws语句
CWE-400	未加控制的资源消耗（资源穷尽）
CWE-402	将私有的资源传输到一个新的空间（资源泄露）
CWE-404	不恰当的资源关闭或释放
CWE-406	对网络消息容量的控制不充分（网络放大攻击）
CWE-408	不正确的行为次序：早期放大攻击
CWE-41	对路径等价的解析不恰当
CWE-412	未加限制的外部可访问锁
CWE-414	加锁检查缺失
CWE-416	释放后使用
CWE-42	路径等价：'filename.' (尾部点号)
CWE-421	当访问候选通道时的竞争条件
CWE-762	不匹配的内存管理例程
CWE-764	关键资源的多重加锁
CWE-766	关键变量被公开声明
CWE-768	不正确的快捷方式验证
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-771	对活跃已分配资源丧失索引
CWE-773	对活跃文件描述符或句柄丧失索引
CWE-775	缺失文件描述符或句柄在有效生命周期之后的释放处理
CWE-777	没有下界集合的正则表达式
CWE-779	日志记录过多数据
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）
CWE-781	在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当
CWE-783	操作符优先级逻辑错误
CWE-785	路径操作函数中使用未进行大小限定的缓冲区
CWE-787	跨界内存写
CWE-789	未经控制的内存分配
CWE-790	特殊元素过滤不恰当
CWE-792	对一个或多个特殊元素实例的过滤不完全
CWE-794	对特殊元素的多个实例的过滤不完全
CWE-796	仅过滤与一个标记相关的特殊元素
CWE-798	使用硬编码的凭证
CWE-8	J2EE误配置：实体Bean远程声明
CWE-804	可猜测的验证码
CWE-806	使用源缓冲区的大小访问缓冲区
CWE-81	错误消息Web页面中脚本转义处理不恰当
CWE-820	缺失同步机制
CWE-822	非可信指针解引用
CWE-824	使用未经初始化的指针
CWE-826	在预期生命周期中对资源的过早释放
CWE-828	非异步安全功能中的信号处理例程
CWE-83	Web页面属性中脚本转义处理不恰当
CWE-831	与多个信号关联的信号处理例程
CWE-833	死锁
CWE-835	不可达退出条件的循环（无限循环）
CWE-837	对单一独特动作的实施不恰当
CWE-839	未进行最小值检查的数值范围比较
CWE-841	行为工作流的不恰当实施
CWE-843	使用不兼容类型访问资源（类型混淆）
CWE-423	废弃（重复）：可信通道被代理
CWE-425	直接请求（强制性浏览）
CWE-427	对搜索路径元素未加控制
CWE-43	路径等价：'filename....' （多个尾部的点号）
CWE-431	句柄缺失
CWE-433	未加解析的原始Web内容分发
CWE-435	交互错误
CWE-437	端点特性的不完整模型
CWE-44	路径等价：'file.name' (内部点号)
CWE-441	未有动机的代理或中间人（混淆代理）
CWE-444	HTTP请求的解释不一致性（HTTP请求私运）
CWE-447	在UI中的未实现或未支持特性
CWE-449	UI执行错误动作
CWE-450	UI输入的多重解释
CWE-453	不安全的缺省变量初始化
CWE-455	初始化失效后的不存在变量
CWE-457	使用未经初始化的变量
CWE-459	清理环节不完整
CWE-460	抛出异常的清理不恰当
CWE-463	对数据结构哨兵域的删除
CWE-466	在预期范围外返回指针值
CWE-468	不正确的指针放大
CWE-47	路径等价：'filename'(开头空格)
CWE-471	对假设不可变数据的修改（MAID）
CWE-473	PHP参数外部修改
CWE-475	从输入到API的未定义行为
CWE-477	对废弃函数的使用
CWE-479	信号处理例程中使用不可再入的函数
CWE-480	使用操作符不正确
CWE-482	错误将赋值符号写成比较符号
CWE-484	在Switch语句中省略Break语句
CWE-487	依赖包一级的范围
CWE-489	遗留的调试代码
CWE-491	公开的可克隆方法（对象劫持）
CWE-493	缺少Final Modifier的关键公开变量
CWE-495	从公开方法中返回私有的数组类型数据域
CWE-497	将系统数据暴露到未授权控制的范围
CWE-499	可序列化的类中包含敏感信息
CWE-50	路径等价：'//multiple/leading/slash'
CWE-501	违背信任边界
CWE-506	内嵌的恶意代码
CWE-508	非传播性的恶意代码
CWE-51	路径等价：'/multiple//internal/slash'
CWE-511	逻辑/时间炸弹
CWE-514	隐蔽通道
CWE-516	废弃（重复）：隐蔽时间通道
CWE-520	.NET误配置：使用伪装
CWE-522	不充分的凭证保护机制
CWE-524	通过缓存导致的信息暴露
CWE-526	通过环境变量导致的信息暴露
CWE-528	将CoreDump文件暴露给非授权控制范围
CWE-53	路径等价：'multipleinternalbackslash'
CWE-531	通过测试代码导致的信息暴露
CWE-533	通过服务器日志文件导致的信息暴露
CWE-535	通过Shell错误消息导致的信息暴露
CWE-537	通过Java运行时错误消息导致的信息暴露
CWE-539	通过持久性Cookie导致的信息暴露
CWE-540	通过源代码导致的信息暴露
CWE-542	通过清理日志文件导致的信息暴露
CWE-544	标准化错误处理机制缺失
CWE-546	可疑注释
CWE-548	通过目录枚举导致的信息暴露
CWE-55	路径等价：'/./' (单点路径)
CWE-551	不正确的行为次序：在解析与净化处理之前进行授权
CWE-553	外部可访问目录中的命令行Shell
CWE-555	J2EE误配置：在配置文件中明文存储口令
CWE-558	在多线程应用程序中使用getlogin()
CWE-560	在chmod类型参数中使用umask()
CWE-562	返回栈上的变量地址
CWE-564	SQL注入：Hibernate
CWE-566	通过用户控制SQL主密钥绕过授权机制
CWE-568	没有super.finalize()的finalize()方法
CWE-570	表达式永假
CWE-86	Web页面标识中非法字符转义处理不恰当
CWE-863	授权机制不正确
CWE-88	参数注入或修改
CWE-9	J2EE误配置：EJB方法弱访问权限
CWE-908	对未经初始化资源的使用
CWE-91	XML注入（XPath盲注）
CWE-911	引用计数的更新不恰当
CWE-913	动态管理代码资源的控制不恰当
CWE-915	动态确定对象属性修改的控制不恰当
CWE-917	表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入）
CWE-92	废弃：对定制特殊字符的规范化不恰当
CWE-921	在没有访问控制机制中存储敏感数据
CWE-923	通信信道对预期端点的不适当限制
CWE-925	广播接收机对意图的不当验证
CWE-927	隐式意图在敏感通信中的使用
CWE-939	自定义URL方案处理程序中的授权不正确
CWE-941	通信信道中错误指定的目的地
CWE-1001	SFP辅助群集:使用不正确的应用编程接口
CWE-1006	错误的编码做法
CWE-1031	OWASP 2017年十大分类A5-失效的访问控制
CWE-1034	OWASP 2017年十大分类A8-不安全的反序列化
CWE-1147	SEI CERT Oracle Java安全编码标准-准则13.输入输出（FIO）
CWE-1150	SEI CERT Oracle Java安全编码标准-准则16.运行时环境（ENV）
CWE-1170	SEI CERT C编码标准-准则48.其他（MSC）
CWE-1175	SEI CERT Oracle Java安全编码标准-准则18.并发性（CON）
CWE-1181	SEI CERT Perl编码标准-准则03.表达式（EXP）
CWE-1182	SEI CERT Perl编码标准-准则04.整数（INT）
CWE-1183	SEI CERT Perl编码标准-准则05.字符串（STR）
CWE-1184	SEI CERT Perl编码标准-指南06.面向对象编程（OOP）
CWE-1185	SEI CERT Perl编码标准-准则07.文件输入和输出（FIO）
CWE-1186	SEI CERT Perl编码标准-准则50.其他（MSC）
CWE-133	字符串错误
CWE-136	类型错误
CWE-137	表示错误
CWE-139	已弃用：通用特殊元素问题
CWE-16	配置
CWE-169	已弃用：技术特定的特殊元素
CWE-17	已弃用：代码
CWE-189	数值错误
CWE-2	7PK-环境
CWE-21	路径名遍历和等值错误
CWE-227	7PK-API滥用
CWE-251	经常被滥用：字符串管理
CWE-254	7PK-安全功能
CWE-255	凭证管理
CWE-264	权限、特权和访问控制
CWE-265	权限/沙箱问题
CWE-275	None
CWE-3	已弃用:特定技术的环境问题
CWE-310	加密问题
CWE-361	7PK-时间和状态
CWE-380	特定技术的时间和状态问题
CWE-381	J2EE时间和状态问题
CWE-387	信号错误
CWE-388	7PK-错误
CWE-389	错误条件、返回值、状态代码
CWE-398	7PK-代码质量
CWE-399	资源管理错误
CWE-4	J2EE环境问题
CWE-411	资源锁定问题
CWE-417	通道和路径错误
CWE-418	已弃用：频道错误
CWE-429	处理程序错误
CWE-445	已弃用:用户界面错误
CWE-559	常见误用：形参和实参
CWE-63	None
CWE-632	None
CWE-633	None
CWE-634	None
CWE-68	None
CWE-70	None
CWE-712	None
CWE-713	None
CWE-714	None
CWE-715	None
CWE-716	None
CWE-717	None
CWE-718	None
CWE-721	None
CWE-724	None
CWE-739	None
CWE-742	None
CWE-801	None
CWE-808	None
CWE-812	None
CWE-845	None
CWE-848	None
CWE-853	None
CWE-858	None
CWE-861	None
CWE-866	None
CWE-871	None
CWE-874	None
CWE-877	None
CWE-880	None
CWE-883	None
CWE-887	None
CWE-891	None
CWE-894	None
CWE-897	None
CWE-901	None
CWE-904	None
CWE-907	None
CWE-931	None
CWE-934	None
CWE-937	None
CWE-945	None
CWE-948	None
CWE-951	None
CWE-954	None
CWE-956	None
CWE-957	None
CWE-958	None
CWE-960	None
CWE-962	None
CWE-965	None
CWE-972	None
CWE-973	None
CWE-974	None
CWE-977	None
CWE-981	None
CWE-982	None
CWE-983	None
CWE-984	None
CWE-985	None
CWE-986	None
CWE-987	None
CWE-988	None
CWE-572	调用线程的run()方法而非start()方法
CWE-574	EJB不安全实践：使用同步原语
CWE-576	EJB不安全实践：使用Java I/O
CWE-578	EJB不安全实践：使用类加载器
CWE-58	路径等价：Windows8.3形式文件名
CWE-581	对象模型违背：仅定义了一个等式与散列码
CWE-583	公开声明的finalize()方法
CWE-585	空的同步代码块
CWE-587	将一个固定地址复制给指针
CWE-589	对非普适API的调用
CWE-590	释放并不在堆上的内存
CWE-592	认证绕过问题
CWE-594	J2EE框架：将不可序列化的对象存储到磁盘上
CWE-596	不正确的语义对象比较
CWE-598	通过GET请求中的查询字符串导致的信息暴露
CWE-6	J2EE误配置：会话ID长度不充分
CWE-601	指向未可信站点的URL重定向（开放重定向）
CWE-603	使用客户端的认证机制
CWE-606	循环条件输入未经检查
CWE-608	Structs：动作表单类中存在非私有域
CWE-61	UNIX符号链接跟随
CWE-611	XML外部实体引用的不恰当限制（XXE）
CWE-613	不充分的会话过期机制
CWE-615	通过注释导致的信息暴露
CWE-617	可达断言
CWE-619	数据库游标悬挂（游标注入）
CWE-620	未经验证的口令修改
CWE-622	函数挂钩参数的验证不恰当
CWE-624	可执行体正则表达式错误
CWE-626	空字节交互错误
CWE-628	使用不正确指定参数的函数调用
CWE-637	保护机制不必要的复杂性（未使用经济性的机制）
CWE-989	None
CWE-990	None
CWE-991	None
CWE-992	None
CWE-993	None
CWE-994	None
CWE-995	None
CWE-996	None
CWE-997	None
CWE-998	None
CWE-1000	None
CWE-1026	None
CWE-1133	SEI CERT Oracle Java编码标准解决的弱点
CWE-1200	None
CWE-629	None
CWE-635	None
CWE-888	None
CWE-900	None
CWE-919	None
CWE-639	通过用户控制密钥绕过授权机制
CWE-640	忘记口令恢复机制弱
CWE-642	对关键状态数据的外部可控制
CWE-644	对HTTP头部进行脚本语法转义处理不恰当
CWE-646	依赖于外部提供文件的文件名或扩展名
CWE-648	特权API的不正确使用
CWE-65	Windows硬链接
CWE-651	通过WSDL文件导致的信息暴露
CWE-653	不充分的划分
CWE-655	不充分的心理学可接受性
CWE-657	违背安全设计原则
CWE-662	不恰当的同步机制
CWE-664	在生命周期中对资源的控制不恰当
CWE-666	在生命周期错误阶段对资源进行操作
CWE-668	将资源暴露给错误范围
CWE-67	Windows设备名处理不恰当
CWE-671	缺乏对安全的管理控制
CWE-673	范围定义的外部影响
CWE-675	对资源的重复操作
CWE-680	整数溢出导致缓冲区溢出
CWE-682	数值计算不正确
CWE-684	特定函数功能的不正确供给
CWE-686	使用不正确参数类型的函数调用
CWE-688	使用不正确变量或索引作为参数的函数调用
CWE-69	Windows::DATA交换数据流处理不恰当
CWE-691	不充分的控制流管理
CWE-693	保护机制失效
CWE-695	使用底层的功能例程
CWE-697	不充分的比较
CWE-7	J2EE误配置：缺少定制错误页面
CWE-704	不正确的类型转换
CWE-706	使用不正确的解析名称或索引
CWE-708	不正确的属主授予
CWE-710	编程规范违背
CWE-73	文件名或路径的外部可控制
CWE-733	编译器优化对安全关键代码的移除或修改
CWE-749	暴露危险的方法或函数
CWE-754	对因果或异常条件的不恰当检查
CWE-756	定制错误页面缺失
CWE-758	依赖未定义、未指明或实现定义的行为
CWE-76	等价特殊元素的转义处理不恰当
CWE-761	释放一个不在缓冲区起始位置的指针
CWE-763	对无效指针或索引的释放
CWE-765	关键资源的多重解锁
CWE-767	通过公开方法可访问到关键的私有数据
CWE-769	文件描述符穷尽
CWE-770	不加限制或调节的资源分配
CWE-772	对已超过有效生命周期的资源丧失索引
CWE-774	不加限制或调节进行文件描述符或句柄的分配
CWE-776	DTD中递归实体索引的不恰当限制（XML实体扩展）
CWE-778	不充分的日志记录
CWE-780	未配合OAEP使用RSA算法
CWE-782	无充分访问控制条件下暴露IOCTL
CWE-784	在安全决策中依赖未经验证和完整性检查的Cookie
CWE-786	在缓冲区起始位置之前访问内存
CWE-788	在缓冲区结束位置之后访问内存
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-791	特殊元素过滤不完全
CWE-793	仅过滤一个特殊元素的单一实例
CWE-795	仅在一个特定位置过滤特殊元素
CWE-797	仅在一个绝对路径位置过滤特殊元素
CWE-799	交互频率的控制不恰当
CWE-80	Web页面中脚本相关HTML标签转义处理不恰当（基本跨站脚本）
CWE-805	使用不正确的长度值访问缓冲区
CWE-807	在安全决策中依赖未经信任的输入
CWE-82	Web页面IMG标签属性中脚本转义处理不恰当
CWE-821	不正确的同步机制
CWE-823	使用越界的指针偏移
CWE-825	无效指针解引用
CWE-827	文档类型定义的不恰当控制
CWE-829	从非可信控制范围包含功能例程
CWE-830	从非可信源包含Web功能例程
CWE-832	对未加锁的资源进行解锁
CWE-834	过度迭代
CWE-836	在认证机制中使用口令哈希代替口令
CWE-838	输出上下文语义编码不恰当
CWE-84	Web页面编码URIScheme转义处理不恰当
CWE-842	将用户置入不正确的用户组
CWE-85	双字符XSS操纵
CWE-862	授权机制缺失
CWE-87	替代XSS语法转义处理不恰当
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）
CWE-90	LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）
CWE-909	资源初始化缺失
CWE-910	使用过期的文件描述符
CWE-912	隐藏功能
CWE-914	动态识别变量的控制不恰当
CWE-916	使用具有不充分计算复杂性的口令哈希
CWE-918	服务端请求伪造（SSRF）
CWE-920	功耗限制不当
CWE-922	敏感信息的不安全存储
CWE-924	通信信道中传输过程中消息完整性的不正确执行
CWE-926	Android应用程序组件导出不当
CWE-93	对CRLF序列的转义处理不恰当（CRLF注入）
CWE-940	通信信道源的不正确验证
CWE-943	数据查询逻辑中特殊元素的不当中和
CWE-100	已弃用:特定技术的输入验证问题
CWE-1005	7PK-输入验证和表示
CWE-101	已弃用:Struts验证问题
CWE-1010	验证参与者
CWE-1011	授权参与者
CWE-1012	交叉切割
CWE-1013	加密数据
CWE-1014	识别参与者
CWE-1015	限制访问
CWE-1016	限制暴露
CWE-1017	锁定计算机
CWE-1018	管理用户会话
CWE-1019	输入验证
CWE-1020	验证消息完整性
CWE-1027	OWASP 2017年十大分类A1-注入
CWE-1028	OWASP 2017年十大分类A2-失效的身份认证
CWE-1029	OWASP 2017年十大分类A3-敏感信息泄漏
CWE-1030	OWASP 2017年十大分类A4-XML外部实体(XXE)
CWE-1033	OWASP 2017年十大分类A7-跨站脚本(XSS)
CWE-1036	OWASP 2017年十大分类A10-不足的日志记录和监控
CWE-1129	CISQ质量测量-可靠性
CWE-1130	CISQ质量测量-可维护性
CWE-1131	CISQ质量措施-安全
CWE-1132	CISQ质量标准-绩效
CWE-1134	SEI CERT Oracle Java安全编码标准-准则00.输入验证和数据清理（IDS）
CWE-1135	SEI CERT Oracle Java安全编码标准-准则01.声明和初始化（DCL）
CWE-1148	SEI CERT Oracle Java安全编码标准-准则14.序列化（SER）
CWE-1151	SEI CERT Oracle Java安全编码标准-准则17.Java本机接口（JNI）
CWE-1171	SEI CERT C编码标准-准则50.POSIX（POS）
CWE-1179	SEI CERT Perl编码标准-指南01.输入验证和数据消毒（IDS）
CWE-171	清理、规范化和比较错误
CWE-19	数据处理错误
CWE-320	密钥管理错误
CWE-371	状态问题
CWE-438	行为问题
CWE-452	初始化和清除错误
CWE-569	表达问题
CWE-719	None
CWE-722	None
CWE-725	None
CWE-740	None
CWE-743	None
CWE-802	None
CWE-810	None
CWE-813	None
CWE-846	None
CWE-849	None
CWE-854	None
CWE-859	None
CWE-864	None
CWE-867	None
CWE-869	None
CWE-872	None
CWE-875	None
CWE-878	None
CWE-881	None
CWE-885	None
CWE-889	None
CWE-892	None
CWE-895	None
CWE-898	None
CWE-902	None
CWE-905	None
CWE-929	None
CWE-932	None
CWE-935	None
CWE-938	None
CWE-946	None
CWE-949	None
CWE-952	None
CWE-955	None
CWE-959	None
CWE-961	None
CWE-963	None
CWE-967	None
CWE-968	None
CWE-969	None
CWE-970	None
CWE-971	None
CWE-976	None
CWE-980	None
CWE-1008	None
CWE-1128	CISQ质量措施(2016)
CWE-1178	SEI CERT Perl编码标准解决的弱点
CWE-604	不推荐使用的条目
CWE-631	None
CWE-659	None
CWE-660	None
CWE-661	None
CWE-677	None
CWE-678	None
CWE-679	None
CWE-699	None
CWE-700	None
CWE-701	None
CWE-702	None
CWE-709	命名链
CWE-711	None
CWE-734	None
CWE-750	None
CWE-800	None
CWE-809	None
CWE-844	None
CWE-868	None
CWE-884	None
CWE-999	None

Filter

/Weakness_Catalog/Weaknesses/Weakness[not(./Taxonomy_Mappings/Taxonomy_Mapping/@Taxonomy_Name='Software Fault Patterns')][not(@Status='Deprecated')]

文章来源于互联网:scap中文网

相关推荐: 通用弱点枚举（Common Weakness Enumeration）

通用弱点枚举（Common Weakness Enumeration）是一个软件社区项目，它的定位在于创建一个软件弱点和漏洞的类目。项目的目标是让人们更好地理解软件的缺陷并创建能够识别、修复以及阻止此类缺陷的自动化工具。 CWE的为程序员和安全从业者提供了一个…

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

View-999: Weaknesses without Software Fault Patterns

View-999: Weaknesses without Software Fault Patterns

Objective

Audience

Applied Researchers

Academic Researchers

Software Vendors

Membership

Filter

View-884: CWE Cross-section

View-868: Weaknesses Addressed by the SEI CERT C++ Coding Standard (2016 Version)

View-844: Weaknesses Addressed by The CERT Oracle Secure Coding Standard for Java (2011)

View-809: Weaknesses in OWASP Top Ten (2010)

View-800: Weaknesses in the 2010 CWE/SANS Top 25 Most Dangerous Programming Errors

View-750: Weaknesses in the 2009 CWE/SANS Top 25 Most Dangerous Programming Errors

View-734: Weaknesses Addressed by the CERT C Secure Coding Standard (2008)

View-711: Weaknesses in OWASP Top Ten (2004)

View-709: Named Chains

View-702: Weaknesses Introduced During Implementation

发表评论

在线咨询

微信