View-999: Weaknesses without Software Fault Patterns

admin
admin
admin
66299
文章
38
评论
2022年1月14日11:43:32CWE(弱点枚举)评论115 views23361字阅读77分52秒阅读模式

View-999: Weaknesses without Software Fault Patterns

ID: 999

Type: Implicit

Status: Incomplete

Objective

CWE identifiers in this view are weaknesses that do not have associated Software Fault Patterns (SFPs), as covered by the CWE-888 view. As such, they represent gaps in coverage by the current software fault pattern model.

Audience

Applied Researchers

Academic Researchers

Software Vendors

Membership

CWE-ID title
CWE-94 对生成代码的控制不恰当(代码注入)
CWE-942 过度许可的跨域白名单
CWE-95 动态执行代码中指令转义处理不恰当(Eval注入)
CWE-96 静态存储代码中指令转义处理不恰当(静态代码注入)
CWE-97 Web页面中服务端引用(SSI)转义处理不恰当
CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99 对资源描述符的控制不恰当(资源注入)
CWE-1 已弃用:位置
CWE-10 已弃用:ASP.NET环境问题
CWE-1002 SFP辅助群集:意外的入口点
CWE-1009 审计
CWE-1032 OWASP 2017年十大分类A6-安全配置错误
CWE-1035 OWASP 2017年十大分类A9-使用含有已知漏洞的组件
CWE-1136 SEI CERT Oracle Java安全编码标准-准则02.表达式(EXP)
CWE-1137 SEI CERT Oracle Java安全编码标准-准则03.数值类型和运算(NUM)
CWE-1138 SEI CERT Oracle Java安全编码标准-准则04.字符和字符串(STR)
CWE-1139 SEI CERT Oracle Java安全编码标准-准则05.对象方向(OBJ)
CWE-1140 SEI CERT Oracle Java安全编码标准-指南06.方法(MET)
CWE-1141 SEI CERT Oracle Java安全编码标准-准则07.异常行为(ERR)
CWE-1142 SEI CERT Oracle Java安全编码标准-准则08.可见性和原子性(VNA)
CWE-1143 SEI CERT Oracle Java安全编码标准-指南09.锁定(LCK)
CWE-1144 SEI CERT Oracle Java安全编码标准-准则10.线程API(THI)
CWE-1145 SEI CERT Oracle Java安全编码标准-准则11.线程池(TPS)
CWE-1146 SEI CERT Oracle Java安全编码标准-准则12.线程安全杂项(TSM)
CWE-1149 SEI CERT Oracle Java安全编码标准-准则15.平台安全性(SEC)
CWE-1152 SEI CERT Oracle Java安全编码标准-准则49.其他(MSC)
CWE-1153 SEI CERT Oracle Java安全编码标准-准则50.安卓(DRD)
CWE-1155 SEI CERT C编码标准-准则01.预处理程序(PRE)
CWE-1156 SEI CERT C编码标准-准则02.声明和初始化(DCL)
CWE-1157 SEI CERT C编码标准-准则03.表达式(EXP)
CWE-1158 SEI CERT C编码标准-准则04.整数(INT)
CWE-1159 SEI CERT C编码标准-准则05.浮点(FLP)
CWE-1160 SEI CERT C编码标准-准则06.数组(ARR)
CWE-1161 SEI CERT C编码标准-准则07.字符和字符串(STR)
CWE-1162 SEI CERT C编码标准-准则08.内存管理(MEM)
CWE-1163 SEI CERT C编码标准-准则09.输入输出(FIO)
CWE-1165 SEI CERT C编码标准-准则10.环境(ENV)
CWE-1166 SEI CERT C编码标准-准则11.信号(SIG)
CWE-1167 SEI CERT C编码标准-准则12.错误处理(ERR)
CWE-1168 SEI CERT C编码标准-准则13.应用程序编程接口(API)
CWE-1169 SEI CERT C编码标准-准则14.并发性(CON)
CWE-1172 SEI CERT C编码标准-准则51. Microsoft Windows(WIN)
CWE-1180 SEI CERT Perl编码标准-准则02.声明和初始化(DCL)
CWE-18 已弃用:源代码
CWE-199 信息管理错误
CWE-355 用户界面安全问题
CWE-376 临时文件问题
CWE-442 网络问题
CWE-461 数据结构问题
CWE-465 指针问题
CWE-485 7PK -封装
CWE-490 移动代码问题
CWE-503 已弃用:字节/对象代码
CWE-504 None
CWE-505 None
CWE-513 None
CWE-517 None
CWE-518 None
CWE-519 .NET环境问题
CWE-557 并发问题
CWE-60 None
CWE-720 None
CWE-723 None
CWE-726 None
CWE-727 None
CWE-728 None
CWE-729 None
CWE-730 None
CWE-731 None
CWE-735 None
CWE-736 None
CWE-737 None
CWE-738 None
CWE-741 None
CWE-744 None
CWE-745 None
CWE-746 None
CWE-747 None
CWE-748 None
CWE-751 None
CWE-752 None
CWE-753 None
CWE-803 None
CWE-811 None
CWE-814 None
CWE-815 None
CWE-816 None
CWE-817 None
CWE-818 None
CWE-819 None
CWE-840 业务逻辑错误
CWE-847 None
CWE-850 None
CWE-851 None
CWE-852 None
CWE-855 None
CWE-856 None
CWE-857 None
CWE-860 None
CWE-865 None
CWE-870 None
CWE-873 None
CWE-876 None
CWE-879 None
CWE-882 None
CWE-886 None
CWE-890 None
CWE-893 None
CWE-896 None
CWE-899 None
CWE-903 None
CWE-906 None
CWE-930 None
CWE-933 None
CWE-936 None
CWE-944 None
CWE-947 None
CWE-950 None
CWE-953 None
CWE-964 None
CWE-966 None
CWE-975 None
CWE-978 None
CWE-979 None
CWE-1003 已发布漏洞的简化映射的缺点
CWE-1040 具有间接安全影响的质量弱点
CWE-1154 SEI CERT C编码标准解决的弱点
CWE-2000 全面的CWE词典
CWE-630 None
CWE-658 None
CWE-928 None
CWE-1004 没有'HttpOnly'标志的敏感Cookie
CWE-102 Structs:重复验证表单
CWE-1023 缺失要素致使对比不完全
CWE-104 Structs:表单Bean未扩展验证类
CWE-1041 使用冗余代码
CWE-1042 单例类元素外部的静态成员数据元素
CWE-1043 聚合大量非原始元素的元素
CWE-1044 体系架构的水平层数超出预期范围
CWE-1045 带有虚拟析构函数的父类和没有虚拟析构函数的子类
CWE-1046 使用字符串连接创建不可变文本
CWE-1047 具有循环依赖关系的模块
CWE-1048 具有大量外拨电话的可调用控制元素
CWE-1049 大数据表中的数据查询操作过多
CWE-105 Structs:缺少验证的表单域
CWE-1051 使用硬编码的网络资源配置数据进行初始化
CWE-1053 缺少设计文档
CWE-1060 无效的服务器端数据访问次数过多
CWE-1066 缺少序列化控件元素
CWE-1068 软件实现和设计文档不一致
CWE-1069 空异常块
CWE-107 Structs:未使用的验证表单
CWE-1070 可序列化数据元素中包含不可序列化项的元素
CWE-1072 不使用连接池访问数据资源
CWE-1082 存在类实例自毁控制元素
CWE-1084 具有过多文件或数据访问操作的可调用控件元素
CWE-1085 可调用控制元素中的注释代码量过大
CWE-1086 子类过多的类
CWE-1087 没有虚析构函数的虚拟方法类
CWE-1088 远程资源无超时同步访问
CWE-109 Structs:验证器关闭
CWE-1098 包含指针项但没有正确的复制控件元素的数据元素
CWE-1102 依赖于机器相关的数据表示
CWE-1104 使用未维护的第三方组件
CWE-1105 机器相关功能的封装不足
CWE-1106 符号常量使用不足
CWE-1107 符号常量定义的隔离不足
CWE-1109 多用途使用同一变量
CWE-1112 程序执行文件不完整
CWE-1119 过度使用无条件分支
CWE-1120 代码过于复杂
CWE-1121 McCabe环复杂性过大
CWE-1122 Halstead复杂度过高
CWE-1124 深度嵌套过多
CWE-1125 过多的攻击面
CWE-1126 使用不必要的大范围声明变量
CWE-1127 警告或错误不足的编译
CWE-113 HTTP头部中CRLF序列转义处理不恰当(HTTP响应分割)
CWE-115 输入的错误解释
CWE-1164 不相关代码
CWE-1174 ASP.NET错误配置:模型验证不正确
CWE-12 ASP.NET误配置:缺少定制错误页面
CWE-121 栈缓冲区溢出
CWE-123 任意地址可写任意内容条件
CWE-125 跨界内存读
CWE-127 缓冲区下溢读取
CWE-129 对数组索引的验证不恰当
CWE-130 长度参数不一致性处理不恰当
CWE-132 废弃(重复): 空终结符计算错误
CWE-134 使用外部控制的格式字符串
CWE-135 多字节字符串长度的计算不正确
CWE-14 编译器移除释放缓冲区的代码
CWE-140 分隔符转义处理不恰当
CWE-141 参数分隔符转义处理不恰当
CWE-142 值分隔符转义处理不恰当
CWE-143 记录分隔符转义处理不恰当
CWE-144 行分隔符转义处理不恰当
CWE-15 系统设置或配置在外部可控制
CWE-151 注释分隔符转义处理不恰当
CWE-156 空格转义处理不恰当
CWE-158 空字节或NULL字符转义处理不恰当
CWE-160 起始特殊元素净化处理不恰当
CWE-164 内部特殊元素净化处理不恰当
CWE-166 缺失特殊元素净化处理不恰当
CWE-168 不一致特殊元素净化处理不恰当
CWE-172 编码错误
CWE-175 混合编码处理不恰当
CWE-177 URL编码处理不恰当(Hex编码)
CWE-179 不正确的行为次序:过早验证
CWE-186 过度严格的正则表达式
CWE-188 依赖数据/内存布局
CWE-191 整数下溢(超界折返)
CWE-193 Off-by-one错误
CWE-195 有符号至无符号转换错误
CWE-197 数值截断错误
CWE-20 输入验证不恰当
CWE-201 通过发送数据的信息暴露
CWE-203 通过差异性导致的信息暴露
CWE-205 通过行为差异性导致的信息暴露
CWE-207 通过外部行为不一致性导致的信息暴露
CWE-209 通过错误消息导致的信息暴露
CWE-211 通过外部产生的错误消息导致的信息暴露
CWE-213 故意性的信息暴露
CWE-215 通过Debug信息导致的信息暴露
CWE-217 废弃:未能保护存储数据的修改
CWE-219 Web根目录下的敏感数据
CWE-220 FTP根目录下的敏感数据
CWE-222 安全相关信息的截断
CWE-224 通过候选名称导致的安全相关信息混淆
CWE-226 在释放前未清除敏感信息
CWE-229 值处理不恰当
CWE-230 缺失值处理不恰当
CWE-232 未定义值处理不恰当
CWE-234 未对缺失参数进行处理
CWE-236 对未定义参数处理不恰当
CWE-238 对不完整结构体元素处理不恰当
CWE-24 路径遍历:'../filedir'
CWE-241 非预期数据类型处理不恰当
CWE-243 未改变工作目录时创建chroot Jail
CWE-245 J2EE不安全实践:对连接的直接管理
CWE-247 在安全决策中依赖DNS查询
CWE-249 废弃:经常性滥用:路径操纵
CWE-250 带着不必要的权限执行
CWE-253 对函数返回值的检查不正确
CWE-257 以可恢复格式存储口令
CWE-259 使用硬编码的口令
CWE-260 配置文件中存储口令
CWE-262 未使用口令老化机制
CWE-266 特权授予不正确
CWE-268 特权链锁
CWE-27 路径遍历:'dir/../../filename'
CWE-271 特权放弃/降低错误
CWE-273 对于放弃特权的检查不恰当
CWE-276 缺省权限不正确
CWE-278 不安全的预留继承权限
CWE-28 路径遍历:'..filedir'
CWE-281 权限预留不恰当
CWE-283 未经验证的属主
CWE-285 授权机制不恰当
CWE-287 认证机制不恰当
CWE-289 使用候选名称进行的认证绕过
CWE-290 使用欺骗进行的认证绕过
CWE-292 信任自主报告的DNS名称
CWE-294 使用捕获-重放进行的认证绕过
CWE-296 证书信任链回溯不恰当
CWE-298 证书过期验证不恰当
CWE-30 路径遍历:'dirfilename'
CWE-301 认证协议中的反射攻击
CWE-303 认证算法的不正确实现
CWE-305 使用基本弱点进行的认证绕过
CWE-307 过多认证尝试的限制不恰当
CWE-309 使用口令系统作为基本认证机制
CWE-311 敏感数据加密缺失
CWE-313 在文件或磁盘上的明文存储
CWE-315 在Cookie中的明文存储
CWE-317 在GUI中的明文存储
CWE-319 敏感数据的明文传输
CWE-321 使用硬编码的密码学密钥
CWE-323 在加密中重用Nonce与密钥对
CWE-325 缺少必要的密码学步骤
CWE-326 不充分的加密强度
CWE-328 可逆的单向哈希
CWE-1007 屏幕显示出的不同编码的同形字母不易区分
CWE-1021 不当限制渲染UI层或帧
CWE-1022 使用windows.opener访问指向不可信目标的web链接
CWE-1024 不兼容类型的比较
CWE-1025 使用错误要素进行比较
CWE-103 Structs:不完整的validate()方法定义
CWE-1037 处理器优化致使安全关键代码被删除或修改
CWE-1038 不安全的自动优化
CWE-1039 自动识别机制在检测或处理对抗性输入扰动时能力不足
CWE-1050 循环内过多的平台资源消耗
CWE-1052 在初始化中过多使用硬编码字面量
CWE-1054 在不必要的深度水平层上调用控制元素
CWE-1055 具体类的多重继承
CWE-1056 具有可变参数的可调用控制元素
CWE-1057 预期的数据管理组件之外的数据访问操作
CWE-1058 具有非最终静态可存储或成员元素的多线程上下文中的可调用控制元素
CWE-1059 不完整的文件
CWE-106 Structs:插件框架未在使用
CWE-1061 封装不足
CWE-1062 父类参考子类
CWE-1063 在静态代码块中创建类实例
CWE-1064 包含过多签名参数的可调用控件元素
CWE-1065 在应用服务器上运行组件的资源管理控制元素
CWE-1067 对数据资源进行顺序搜索的过度执行
CWE-1071 空的代码块
CWE-1073 使用过多的非SQL调用控制组件进行数据资源访问
CWE-1074 继承过深的类
CWE-1075 开关块外部无条件控制流转移
CWE-1076 对预期协议的遵守不足
CWE-1077 使用不正确的比较运算符比较浮点值
CWE-1078 不适当的源代码样式或格式
CWE-1079 没有虚析构函数方法的父类
CWE-108 Structs:未经验证的动作表单
CWE-1080 源代码文件的代码行数过多
CWE-1083 从外部预期的数据管理器组件进行数据访问
CWE-1089 索引过多的大数据表
CWE-1090 包含从另一个类访问成员元素的方法
CWE-1091 在不调用析构函数方法的情况下使用对象
CWE-1092 在多个架构层中使用相同的可调用控件元素
CWE-1093 数据表示过于复杂
CWE-1094 数据资源的索引范围扫描过大
CWE-1095 循环内循环条件值更新
CWE-1096 在没有正确锁定或同步的情况下创建单实例类实例
CWE-1097 不带关联比较控制元素的持久可存储数据元素
CWE-1099 标识符的命名约定不一致
CWE-11 ASP.NET误配置:创建Debug模式二进制
CWE-110 Structs:无表单域的验证器
CWE-1100 系统依赖函数的隔离不足
CWE-1101 生成代码中对运行时组件的依赖
CWE-1103 使用依赖于平台的第三方组件
CWE-1108 过度依赖全局变量
CWE-111 对不安全JNI的直接使用
CWE-1110 设计文件不完整
CWE-1111 不完整的I/O文档
CWE-1113 不恰当的注释样式
CWE-1114 不适当的空白样式
CWE-1115 没有标准序言的源代码元素
CWE-1116 不准确的注释
CWE-1117 行为摘要不足的可调用
CWE-1118 错误处理技术的文档不足
CWE-112 XML验证缺失
CWE-1123 过度使用自我修改代码
CWE-114 流程控制
CWE-116 对输出编码和转义不恰当
CWE-33 路径遍历:'....' (多个点号)
CWE-331 信息熵不充分
CWE-333 TRNG不充分信息熵的处理不恰当
CWE-335 PRNG种子错误
CWE-337 PRNG中使用可预测种子
CWE-339 PRNG中的种子空间太小
CWE-340 可预测问题
CWE-342 从先前值可预测准确值
CWE-344 在动态变化上下文中使用不变值
CWE-346 源验证错误
CWE-348 使用不可信的源
CWE-35 路径遍历:'.../...//'
CWE-351 不充分的类型区分
CWE-353 缺失完整性检查支持
CWE-356 产品UI接口未警示用户不安全动作
CWE-358 不恰当实现的标准安全检查
CWE-36 绝对路径遍历
CWE-362 使用共享资源的并发执行不恰当同步问题(竞争条件)
CWE-364 信号处理例程中的竞争条件
CWE-366 单线程内的竞争条件
CWE-368 上下文切换时的竞争条件
CWE-37 路径遍历:'/absolute/pathname/here'
CWE-372 不完整的内部状态区分
CWE-374 传递不可变的对象给非可信方法
CWE-377 不安全的临时文件
CWE-117 日志输出的转义处理不恰当
CWE-1173 验证框架使用不当
CWE-1176 低效的CPU计算
CWE-1177 使用被禁止的代码
CWE-118 对可索引资源的访问不恰当(越界错误)
CWE-1187 使用未初始化的资源
CWE-1188 不安全的默认资源初始化
CWE-119 内存缓冲区边界内操作的限制不恰当
CWE-120 未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出)
CWE-122 堆缓冲区溢出
CWE-124 缓冲区下溢
CWE-126 缓冲区上溢读取
CWE-128 超界折返处理错误
CWE-13 ASP.NET误配置:配置文件中存储口令
CWE-131 缓冲区大小计算不正确
CWE-138 对特殊元素的转义处理不恰当
CWE-379 在具有不安全权限的目录中创建临时文件
CWE-382 J2EE不安全实践:使用System.exit()
CWE-384 会话固定
CWE-386 符号名称未能映射到正确对象
CWE-390 未有动作错误条件的检测
CWE-392 错误条件报告缺失
CWE-394 未预期的状态编码或返回值
CWE-396 对通用异常声明Catch语句
CWE-40 路径遍历:'UNCsharename'(WindowsUNC共享)
CWE-401 在移除最后引用时对内存的释放不恰当(内存泄露)
CWE-403 将文件描述符暴露给不受控制的范围(文件描述符泄露)
CWE-405 不对称的资源消耗(放大攻击)
CWE-407 算法复杂性
CWE-409 对高度压缩数据的处理不恰当(数据放大攻击)
CWE-410 不充分的资源池
CWE-413 资源加锁不恰当
CWE-415 双重释放
CWE-419 未保护的主要通道
CWE-420 未保护的候选通道
CWE-422 未保护的Windows消息通道(Shatter)
CWE-424 对候选路径的不恰当保护
CWE-426 不可信的搜索路径
CWE-428 未经引用的搜索路径或元素
CWE-430 错误句柄的实施
CWE-432 在敏感操作时危险信号处理例程未被禁用
CWE-145 节分隔符转义处理不恰当
CWE-146 表达式/命令分隔符转义处理不恰当
CWE-147 输入终结符转义处理不恰当
CWE-148 输入起始符转义处理不恰当
CWE-149 引号语法转义处理不恰当
CWE-150 转义、元或控制序列转义处理不恰当
CWE-152 宏符号转义处理不恰当
CWE-153 替代符号转义处理不恰当
CWE-154 变量名分隔符转义处理不恰当
CWE-155 双字符或匹配符号转义处理不恰当
CWE-157 结对分隔符的净化处理不恰当
CWE-159 特殊元素净化处理不恰当
CWE-161 多重起始特殊元素净化处理不恰当
CWE-162 结尾特殊元素转义处理不恰当
CWE-163 多重结尾特殊元素转义处理不恰当
CWE-165 多重内部特殊元素净化处理不恰当
CWE-167 附加特殊元素净化处理不恰当
CWE-170 不恰当的空终结符
CWE-173 候选编码方案处理不恰当
CWE-174 对同一数据的双重编码
CWE-176 Unicode编码处理不恰当
CWE-178 大小写敏感处理不恰当
CWE-180 不正确的行为次序:规范化之前验证
CWE-181 不正确的行为次序:在过滤之前验证
CWE-182 数据的崩溃导致不安全数值
CWE-183 宽松定义的白名单
CWE-184 不完整的黑名单
CWE-185 不正确的正则表达式
CWE-187 部分比较
CWE-434 危险类型文件的不加限制上传
CWE-436 解释冲突
CWE-439 新版本或环境中的行为变化
CWE-440 预期行为违背
CWE-443 废弃(重复):HTTP响应分割
CWE-446 安全特性的UI矛盾
CWE-448 UI上的废弃特性
CWE-45 路径等价:'file...name' (多个内部的点号)
CWE-451 关键信息的UI错误表达
CWE-454 可信任变量或数据存储的外部初始化
CWE-456 变量未经初始化
CWE-458 废弃:初始化不正确
CWE-46 路径等价:'filename'(结尾空格)
CWE-462 在关联列表中具有重复Key
CWE-464 对数据结构哨兵域的增加
CWE-467 在指针类型上使用sizeof()
CWE-469 使用指针的减法来确定大小
CWE-470 使用外部可控制的输入来选择类或代码(不安全的反射)
CWE-472 对假设不可变Web参数的外部可控制
CWE-474 使用具有不一致性实现的函数
CWE-476 空指针解引用
CWE-478 在Switch语句中缺失缺省条件
CWE-190 整数溢出或超界折返
CWE-192 整数强制转换错误
CWE-194 未预期的符号扩展
CWE-196 无符号至有符号转换错误
CWE-198 字节序使用不正确
CWE-200 信息暴露
CWE-202 通过数据查询的敏感数据暴露
CWE-204 响应差异性信息暴露
CWE-206 通过行为不一致性导致的内部状态信息暴露
CWE-208 通过时间差异性导致的信息暴露
CWE-210 通过自主产生的错误消息导致的信息暴露
CWE-212 敏感数据的不恰当跨边界移除
CWE-214 通过处理环境导致的信息暴露
CWE-216 容器错误
CWE-218 废弃(重复):未能保护存储数据的机密性
CWE-22 对路径名的限制不恰当(路径遍历)
CWE-221 信息丢失或遗漏
CWE-223 安全相关信息的遗漏
CWE-225 废弃(重复):通用信息管理问题
CWE-228 语法无效结构处理不恰当
CWE-48 路径等价:'filename'(内部空格)
CWE-481 错误将比较符号写成赋值符号
CWE-483 不正确的代码块分界
CWE-486 使用名称来比较对象
CWE-488 对错误会话暴露数据元素
CWE-49 路径等价:'filename/'(尾部斜杠)
CWE-492 使用包含敏感数据的内部对象
CWE-494 下载代码缺少完整性检查
CWE-496 公开数据赋值给私有的数组类型数据域
CWE-498 包含敏感信息的可克隆类
CWE-5 J2EE误配置:未经加密的数据传输
CWE-500 公开静态字段没有标记为Final
CWE-502 可信数据的反序列化
CWE-507 特洛伊木马
CWE-509 具传播性的恶意代码(病毒或蠕虫)
CWE-510 后门
CWE-512 间谍软件
CWE-515 隐蔽存储通道
CWE-52 路径等价:'/multiple/trailling/slash//'
CWE-521 弱口令要求
CWE-523 凭证传输未经安全保护
CWE-525 通过浏览器缓存导致的信息暴露
CWE-527 将CVS仓库暴露给非授权控制范围
CWE-529 将访问控制列表文件暴露给非授权控制范围
CWE-530 将备份文件暴露给非授权控制范围
CWE-23 相对路径遍历
CWE-231 额外值处理不恰当
CWE-233 参数问题
CWE-235 对额外参数处理不恰当
CWE-237 结构体元素处理不恰当
CWE-239 未能处理不完整的元素
CWE-240 对不一致结构体元素处理不恰当
CWE-242 使用内在危险函数
CWE-244 在释放前清理堆内存不恰当(堆检查)
CWE-246 J2EE不安全实践:对套接字的直接使用
CWE-248 未捕获的异常
CWE-25 路径遍历:'/../filedir'
CWE-252 未加检查的返回值
CWE-256 明文存储口令
CWE-258 配置文件中缺省空口令
CWE-26 路径遍历:'dir/../filename'
CWE-261 口令使用弱密码学算法
CWE-263 口令老化拥有过长有效期
CWE-267 特权定义了不安全动作
CWE-269 特权管理不恰当
CWE-270 特权上下文切换错误
CWE-272 最小特权原则违背
CWE-274 不充分特权处理不恰当
CWE-532 通过日志文件的信息暴露
CWE-534 通过Debug日志文件导致的信息暴露
CWE-536 通过Servlet运行时错误消息导致的信息暴露
CWE-538 文件和路径信息暴露
CWE-54 路径等价:'filedir'(结尾的反斜杠)
CWE-541 通过包含源代码导致的信息暴露
CWE-543 在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-545 使用动态类装载
CWE-547 使用硬编码、安全相关的常数
CWE-549 口令域未进行输入隐藏
CWE-550 通过服务器错误消息导致的信息暴露
CWE-552 对外部实体的文件或目录可访问
CWE-554 ASP.NET误配置:没有使用输入验证框架
CWE-556 ASP.NET误配置:使用身份伪装
CWE-56 路径等价:'filedir*'(通配符)
CWE-561 死代码
CWE-563 未使用的变量
CWE-565 在信任Cookie未进行验证与完整性检查
CWE-567 在多现场上下文中未能对共享数据进行同步访问
CWE-57 路径等价:'fakedir/'
CWE-571 表达式永真
CWE-573 调用者对规范的不恰当使用
CWE-575 EJB不安全实践:使用AWT Swing
CWE-577 EJB不安全实践:使用套接字
CWE-579 J2EE不安全实践:将不可序列化的对象存储在会话中
CWE-580 未定义super.clone()的clone()方法
CWE-582 公开、最终、静态声明的数组
CWE-584 在最后的代码块中返回
CWE-586 对Finalize()的显式调用
CWE-588 尝试访问一个非结构体指针的子域
CWE-59 在文件访问前对链接解析不恰当(链接跟随)
CWE-591 敏感数据存储于加锁不恰当的内存区域
CWE-593 认证绕过:SSL对象创建后修改OpenSSL CTX对象
CWE-595 错误对对象引用当作对象内容进行比较
CWE-597 在字符串比较中使用了错误的操作符
CWE-599 缺失对OpenSSL证书的验证
CWE-600 Servlet中未捕获的异常
CWE-602 服务端安全的客户端实施
CWE-605 对同一端口的多重绑定
CWE-607 公开静态最终域索引互斥的对象
CWE-609 双重检查的加锁机制
CWE-610 资源在另一范围的外部可控制索引
CWE-612 通过私有数据的索引导致的信息暴露
CWE-614 HTTPS会话中未设置'Secure'属性的敏感Cookie
CWE-616 上传文件变量的不完整标识(PHP)
CWE-618 暴露的不安全ActiveX方法
CWE-62 UNIX硬链接
CWE-621 变量抽取错误
CWE-623 不安全的ActiveX控件被标记为脚本安全
CWE-625 宽松定义的正则表达式
CWE-627 动态变量执行
CWE-636 未能安全地进行程序失效(Failing Open)
CWE-638 未能使用完整仲裁
CWE-64 Windows快捷方式跟随(.LNK)
CWE-641 文件和其他资源名称限制不恰当
CWE-643 XPath表达式中数据转义处理不恰当(XPath注入)
CWE-645 过度限制的账户封锁机制
CWE-647 使用未经净化的URL路径进行授权决策
CWE-649 依赖于未经完整性检查的安全相关输入的混淆或加密
CWE-650 在服务器端信任HTTP权限模型
CWE-652 XQuery表达式中数据转义处理不恰当(XQuery注入)
CWE-654 在安全决策中依赖单个元素
CWE-656 依赖构建于封闭的安全性
CWE-66 标识虚拟资源的文件名处理不恰当
CWE-663 在并发上下文中使用不可再入的函数
CWE-665 初始化不恰当
CWE-667 加锁机制不恰当
CWE-277 不安全的继承权限
CWE-279 不安全的运行时授予权限
CWE-280 不充分权限或特权的处理不恰当
CWE-282 属主管理不恰当
CWE-284 访问控制不恰当
CWE-286 用户管理不正确
CWE-288 使用候选路径或通道进行的认证绕过
CWE-29 路径遍历:'..filename'
CWE-291 信任自主报告的IP地址
CWE-293 使用Refer域进行认证
CWE-295 证书验证不恰当
CWE-297 对宿主不匹配的证书验证不恰当
CWE-299 证书撤销验证不恰当
CWE-300 通道可被非端点访问(中间人攻击)
CWE-302 使用假设不可变数据进行的认证绕过
CWE-304 认证中关键步骤缺失
CWE-306 关键功能的认证机制缺失
CWE-308 使用单一因素认证机制
CWE-31 路径遍历:'dir....filename'
CWE-312 敏感数据的明文存储
CWE-314 在注册表中的明文存储
CWE-316 在内存中的明文存储
CWE-318 在可执行体中的明文存储
CWE-32 路径遍历:'...' (三个点号)
CWE-322 未进行实体认证的密钥交换
CWE-324 使用已过期的密钥
CWE-327 使用已被攻破或存在风险的密码学算法
CWE-669 在范围间的资源转移不正确
CWE-670 控制流实现总是不正确
CWE-672 在过期或释放后对资源进行操作
CWE-674 未经控制的递归
CWE-676 潜在危险函数的使用
CWE-681 数值类型间的不正确转换
CWE-683 使用不正确参数次序的函数调用
CWE-685 使用不正确参数个数的函数调用
CWE-687 使用不正确指定参数值的函数调用
CWE-689 在资源拷贝时的权限竞争条件
CWE-690 未检查返回值导致空指针解引用
CWE-692 黑名单不完全导致跨站脚本
CWE-694 使用多个具有重复标识的资源
CWE-696 不正确的行为次序
CWE-698 重定向后执行(EAR)
CWE-703 对异常条件检查或处理不恰当
CWE-705 控制流范围控制不正确
CWE-707 对消息或数据结构的处理不恰当
CWE-71 Apple '.DS_Store'
CWE-72 Apple HFS+交换数据流路径处理不恰当
CWE-732 关键资源的不正确权限授予
CWE-74 输出中的特殊元素转义处理不恰当(注入)
CWE-75 特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入)
CWE-755 对异常条件的处理不恰当
CWE-757 在会话协商时选择低安全性的算法(算法降级)
CWE-759 使用未加Salt的单向哈希算法
CWE-760 使用可预测Salt的单向哈希算法
CWE-329 在CBC加密模式中未使用随机化IV向量
CWE-330 使用不充分的随机数
CWE-332 PRNG中信息熵不充分
CWE-334 随机数的空间太小
CWE-336 PRNG中使用相同种子
CWE-338 使用具有密码学弱点缺陷的PRNG
CWE-34 路径遍历:'....//'
CWE-341 从可观察状态的可预测
CWE-343 从先前值可预测取值范围
CWE-345 对数据真实性的验证不充分
CWE-347 密码学签名的验证不恰当
CWE-349 在可信数据中接受外来的不可信数据
CWE-350 不恰当地信任反向DNS
CWE-352 跨站请求伪造(CSRF)
CWE-354 完整性检查值验证不恰当
CWE-357 对危险操作的UI警示不充分
CWE-359 侵犯隐私
CWE-360 信任系统事件数据
CWE-363 允许符号链接跟随的竞争条件
CWE-365 Switch语句中的竞争条件
CWE-367 检查时间与使用时间(TOCTOU)的竞争条件
CWE-369 除零错误
CWE-370 在初始检查后缺失对证书撤销的验证
CWE-373 废弃:状态同步错误
CWE-375 返回不可变的对象给非可信调用者
CWE-378 创建拥有不安全权限的临时文件
CWE-38 路径遍历:'absolutepathnamehere'
CWE-383 J2EE不安全实践:直接使用线程
CWE-385 隐蔽时间通道
CWE-39 路径遍历:'C:dirname'
CWE-391 未经检查的错误条件
CWE-393 返回错误的状态编码
CWE-395 使用NullPointerException捕捉来检测空指针解引用
CWE-397 对通用异常声明Throws语句
CWE-400 未加控制的资源消耗(资源穷尽)
CWE-402 将私有的资源传输到一个新的空间(资源泄露)
CWE-404 不恰当的资源关闭或释放
CWE-406 对网络消息容量的控制不充分(网络放大攻击)
CWE-408 不正确的行为次序:早期放大攻击
CWE-41 对路径等价的解析不恰当
CWE-412 未加限制的外部可访问锁
CWE-414 加锁检查缺失
CWE-416 释放后使用
CWE-42 路径等价:'filename.' (尾部点号)
CWE-421 当访问候选通道时的竞争条件
CWE-762 不匹配的内存管理例程
CWE-764 关键资源的多重加锁
CWE-766 关键变量被公开声明
CWE-768 不正确的快捷方式验证
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
CWE-771 对活跃已分配资源丧失索引
CWE-773 对活跃文件描述符或句柄丧失索引
CWE-775 缺失文件描述符或句柄在有效生命周期之后的释放处理
CWE-777 没有下界集合的正则表达式
CWE-779 日志记录过多数据
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
CWE-781 在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当
CWE-783 操作符优先级逻辑错误
CWE-785 路径操作函数中使用未进行大小限定的缓冲区
CWE-787 跨界内存写
CWE-789 未经控制的内存分配
CWE-790 特殊元素过滤不恰当
CWE-792 对一个或多个特殊元素实例的过滤不完全
CWE-794 对特殊元素的多个实例的过滤不完全
CWE-796 仅过滤与一个标记相关的特殊元素
CWE-798 使用硬编码的凭证
CWE-8 J2EE误配置:实体Bean远程声明
CWE-804 可猜测的验证码
CWE-806 使用源缓冲区的大小访问缓冲区
CWE-81 错误消息Web页面中脚本转义处理不恰当
CWE-820 缺失同步机制
CWE-822 非可信指针解引用
CWE-824 使用未经初始化的指针
CWE-826 在预期生命周期中对资源的过早释放
CWE-828 非异步安全功能中的信号处理例程
CWE-83 Web页面属性中脚本转义处理不恰当
CWE-831 与多个信号关联的信号处理例程
CWE-833 死锁
CWE-835 不可达退出条件的循环(无限循环)
CWE-837 对单一独特动作的实施不恰当
CWE-839 未进行最小值检查的数值范围比较
CWE-841 行为工作流的不恰当实施
CWE-843 使用不兼容类型访问资源(类型混淆)
CWE-423 废弃(重复):可信通道被代理
CWE-425 直接请求(强制性浏览)
CWE-427 对搜索路径元素未加控制
CWE-43 路径等价:'filename....' (多个尾部的点号)
CWE-431 句柄缺失
CWE-433 未加解析的原始Web内容分发
CWE-435 交互错误
CWE-437 端点特性的不完整模型
CWE-44 路径等价:'file.name' (内部点号)
CWE-441 未有动机的代理或中间人(混淆代理)
CWE-444 HTTP请求的解释不一致性(HTTP请求私运)
CWE-447 在UI中的未实现或未支持特性
CWE-449 UI执行错误动作
CWE-450 UI输入的多重解释
CWE-453 不安全的缺省变量初始化
CWE-455 初始化失效后的不存在变量
CWE-457 使用未经初始化的变量
CWE-459 清理环节不完整
CWE-460 抛出异常的清理不恰当
CWE-463 对数据结构哨兵域的删除
CWE-466 在预期范围外返回指针值
CWE-468 不正确的指针放大
CWE-47 路径等价:'filename'(开头空格)
CWE-471 对假设不可变数据的修改(MAID)
CWE-473 PHP参数外部修改
CWE-475 从输入到API的未定义行为
CWE-477 对废弃函数的使用
CWE-479 信号处理例程中使用不可再入的函数
CWE-480 使用操作符不正确
CWE-482 错误将赋值符号写成比较符号
CWE-484 在Switch语句中省略Break语句
CWE-487 依赖包一级的范围
CWE-489 遗留的调试代码
CWE-491 公开的可克隆方法(对象劫持)
CWE-493 缺少Final Modifier的关键公开变量
CWE-495 从公开方法中返回私有的数组类型数据域
CWE-497 将系统数据暴露到未授权控制的范围
CWE-499 可序列化的类中包含敏感信息
CWE-50 路径等价:'//multiple/leading/slash'
CWE-501 违背信任边界
CWE-506 内嵌的恶意代码
CWE-508 非传播性的恶意代码
CWE-51 路径等价:'/multiple//internal/slash'
CWE-511 逻辑/时间炸弹
CWE-514 隐蔽通道
CWE-516 废弃(重复):隐蔽时间通道
CWE-520 .NET误配置:使用伪装
CWE-522 不充分的凭证保护机制
CWE-524 通过缓存导致的信息暴露
CWE-526 通过环境变量导致的信息暴露
CWE-528 将CoreDump文件暴露给非授权控制范围
CWE-53 路径等价:'multipleinternalbackslash'
CWE-531 通过测试代码导致的信息暴露
CWE-533 通过服务器日志文件导致的信息暴露
CWE-535 通过Shell错误消息导致的信息暴露
CWE-537 通过Java运行时错误消息导致的信息暴露
CWE-539 通过持久性Cookie导致的信息暴露
CWE-540 通过源代码导致的信息暴露
CWE-542 通过清理日志文件导致的信息暴露
CWE-544 标准化错误处理机制缺失
CWE-546 可疑注释
CWE-548 通过目录枚举导致的信息暴露
CWE-55 路径等价:'/./' (单点路径)
CWE-551 不正确的行为次序:在解析与净化处理之前进行授权
CWE-553 外部可访问目录中的命令行Shell
CWE-555 J2EE误配置:在配置文件中明文存储口令
CWE-558 在多线程应用程序中使用getlogin()
CWE-560 在chmod类型参数中使用umask()
CWE-562 返回栈上的变量地址
CWE-564 SQL注入:Hibernate
CWE-566 通过用户控制SQL主密钥绕过授权机制
CWE-568 没有super.finalize()的finalize()方法
CWE-570 表达式永假
CWE-86 Web页面标识中非法字符转义处理不恰当
CWE-863 授权机制不正确
CWE-88 参数注入或修改
CWE-9 J2EE误配置:EJB方法弱访问权限
CWE-908 对未经初始化资源的使用
CWE-91 XML注入(XPath盲注)
CWE-911 引用计数的更新不恰当
CWE-913 动态管理代码资源的控制不恰当
CWE-915 动态确定对象属性修改的控制不恰当
CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入)
CWE-92 废弃:对定制特殊字符的规范化不恰当
CWE-921 在没有访问控制机制中存储敏感数据
CWE-923 通信信道对预期端点的不适当限制
CWE-925 广播接收机对意图的不当验证
CWE-927 隐式意图在敏感通信中的使用
CWE-939 自定义URL方案处理程序中的授权不正确
CWE-941 通信信道中错误指定的目的地
CWE-1001 SFP辅助群集:使用不正确的应用编程接口
CWE-1006 错误的编码做法
CWE-1031 OWASP 2017年十大分类A5-失效的访问控制
CWE-1034 OWASP 2017年十大分类A8-不安全的反序列化
CWE-1147 SEI CERT Oracle Java安全编码标准-准则13.输入输出(FIO)
CWE-1150 SEI CERT Oracle Java安全编码标准-准则16.运行时环境(ENV)
CWE-1170 SEI CERT C编码标准-准则48.其他(MSC)
CWE-1175 SEI CERT Oracle Java安全编码标准-准则18.并发性(CON)
CWE-1181 SEI CERT Perl编码标准-准则03.表达式(EXP)
CWE-1182 SEI CERT Perl编码标准-准则04.整数(INT)
CWE-1183 SEI CERT Perl编码标准-准则05.字符串(STR)
CWE-1184 SEI CERT Perl编码标准-指南06.面向对象编程(OOP)
CWE-1185 SEI CERT Perl编码标准-准则07.文件输入和输出(FIO)
CWE-1186 SEI CERT Perl编码标准-准则50.其他(MSC)
CWE-133 字符串错误
CWE-136 类型错误
CWE-137 表示错误
CWE-139 已弃用:通用特殊元素问题
CWE-16 配置
CWE-169 已弃用:技术特定的特殊元素
CWE-17 已弃用:代码
CWE-189 数值错误
CWE-2 7PK-环境
CWE-21 路径名遍历和等值错误
CWE-227 7PK-API滥用
CWE-251 经常被滥用:字符串管理
CWE-254 7PK-安全功能
CWE-255 凭证管理
CWE-264 权限、特权和访问控制
CWE-265 权限/沙箱问题
CWE-275 None
CWE-3 已弃用:特定技术的环境问题
CWE-310 加密问题
CWE-361 7PK-时间和状态
CWE-380 特定技术的时间和状态问题
CWE-381 J2EE时间和状态问题
CWE-387 信号错误
CWE-388 7PK-错误
CWE-389 错误条件、返回值、状态代码
CWE-398 7PK-代码质量
CWE-399 资源管理错误
CWE-4 J2EE环境问题
CWE-411 资源锁定问题
CWE-417 通道和路径错误
CWE-418 已弃用:频道错误
CWE-429 处理程序错误
CWE-445 已弃用:用户界面错误
CWE-559 常见误用:形参和实参
CWE-63 None
CWE-632 None
CWE-633 None
CWE-634 None
CWE-68 None
CWE-70 None
CWE-712 None
CWE-713 None
CWE-714 None
CWE-715 None
CWE-716 None
CWE-717 None
CWE-718 None
CWE-721 None
CWE-724 None
CWE-739 None
CWE-742 None
CWE-801 None
CWE-808 None
CWE-812 None
CWE-845 None
CWE-848 None
CWE-853 None
CWE-858 None
CWE-861 None
CWE-866 None
CWE-871 None
CWE-874 None
CWE-877 None
CWE-880 None
CWE-883 None
CWE-887 None
CWE-891 None
CWE-894 None
CWE-897 None
CWE-901 None
CWE-904 None
CWE-907 None
CWE-931 None
CWE-934 None
CWE-937 None
CWE-945 None
CWE-948 None
CWE-951 None
CWE-954 None
CWE-956 None
CWE-957 None
CWE-958 None
CWE-960 None
CWE-962 None
CWE-965 None
CWE-972 None
CWE-973 None
CWE-974 None
CWE-977 None
CWE-981 None
CWE-982 None
CWE-983 None
CWE-984 None
CWE-985 None
CWE-986 None
CWE-987 None
CWE-988 None
CWE-572 调用线程的run()方法而非start()方法
CWE-574 EJB不安全实践:使用同步原语
CWE-576 EJB不安全实践:使用Java I/O
CWE-578 EJB不安全实践:使用类加载器
CWE-58 路径等价:Windows8.3形式文件名
CWE-581 对象模型违背:仅定义了一个等式与散列码
CWE-583 公开声明的finalize()方法
CWE-585 空的同步代码块
CWE-587 将一个固定地址复制给指针
CWE-589 对非普适API的调用
CWE-590 释放并不在堆上的内存
CWE-592 认证绕过问题
CWE-594 J2EE框架:将不可序列化的对象存储到磁盘上
CWE-596 不正确的语义对象比较
CWE-598 通过GET请求中的查询字符串导致的信息暴露
CWE-6 J2EE误配置:会话ID长度不充分
CWE-601 指向未可信站点的URL重定向(开放重定向)
CWE-603 使用客户端的认证机制
CWE-606 循环条件输入未经检查
CWE-608 Structs:动作表单类中存在非私有域
CWE-61 UNIX符号链接跟随
CWE-611 XML外部实体引用的不恰当限制(XXE)
CWE-613 不充分的会话过期机制
CWE-615 通过注释导致的信息暴露
CWE-617 可达断言
CWE-619 数据库游标悬挂(游标注入)
CWE-620 未经验证的口令修改
CWE-622 函数挂钩参数的验证不恰当
CWE-624 可执行体正则表达式错误
CWE-626 空字节交互错误
CWE-628 使用不正确指定参数的函数调用
CWE-637 保护机制不必要的复杂性(未使用经济性的机制)
CWE-989 None
CWE-990 None
CWE-991 None
CWE-992 None
CWE-993 None
CWE-994 None
CWE-995 None
CWE-996 None
CWE-997 None
CWE-998 None
CWE-1000 None
CWE-1026 None
CWE-1133 SEI CERT Oracle Java编码标准解决的弱点
CWE-1200 None
CWE-629 None
CWE-635 None
CWE-888 None
CWE-900 None
CWE-919 None
CWE-639 通过用户控制密钥绕过授权机制
CWE-640 忘记口令恢复机制弱
CWE-642 对关键状态数据的外部可控制
CWE-644 对HTTP头部进行脚本语法转义处理不恰当
CWE-646 依赖于外部提供文件的文件名或扩展名
CWE-648 特权API的不正确使用
CWE-65 Windows硬链接
CWE-651 通过WSDL文件导致的信息暴露
CWE-653 不充分的划分
CWE-655 不充分的心理学可接受性
CWE-657 违背安全设计原则
CWE-662 不恰当的同步机制
CWE-664 在生命周期中对资源的控制不恰当
CWE-666 在生命周期错误阶段对资源进行操作
CWE-668 将资源暴露给错误范围
CWE-67 Windows设备名处理不恰当
CWE-671 缺乏对安全的管理控制
CWE-673 范围定义的外部影响
CWE-675 对资源的重复操作
CWE-680 整数溢出导致缓冲区溢出
CWE-682 数值计算不正确
CWE-684 特定函数功能的不正确供给
CWE-686 使用不正确参数类型的函数调用
CWE-688 使用不正确变量或索引作为参数的函数调用
CWE-69 Windows::DATA交换数据流处理不恰当
CWE-691 不充分的控制流管理
CWE-693 保护机制失效
CWE-695 使用底层的功能例程
CWE-697 不充分的比较
CWE-7 J2EE误配置:缺少定制错误页面
CWE-704 不正确的类型转换
CWE-706 使用不正确的解析名称或索引
CWE-708 不正确的属主授予
CWE-710 编程规范违背
CWE-73 文件名或路径的外部可控制
CWE-733 编译器优化对安全关键代码的移除或修改
CWE-749 暴露危险的方法或函数
CWE-754 对因果或异常条件的不恰当检查
CWE-756 定制错误页面缺失
CWE-758 依赖未定义、未指明或实现定义的行为
CWE-76 等价特殊元素的转义处理不恰当
CWE-761 释放一个不在缓冲区起始位置的指针
CWE-763 对无效指针或索引的释放
CWE-765 关键资源的多重解锁
CWE-767 通过公开方法可访问到关键的私有数据
CWE-769 文件描述符穷尽
CWE-770 不加限制或调节的资源分配
CWE-772 对已超过有效生命周期的资源丧失索引
CWE-774 不加限制或调节进行文件描述符或句柄的分配
CWE-776 DTD中递归实体索引的不恰当限制(XML实体扩展)
CWE-778 不充分的日志记录
CWE-780 未配合OAEP使用RSA算法
CWE-782 无充分访问控制条件下暴露IOCTL
CWE-784 在安全决策中依赖未经验证和完整性检查的Cookie
CWE-786 在缓冲区起始位置之前访问内存
CWE-788 在缓冲区结束位置之后访问内存
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
CWE-791 特殊元素过滤不完全
CWE-793 仅过滤一个特殊元素的单一实例
CWE-795 仅在一个特定位置过滤特殊元素
CWE-797 仅在一个绝对路径位置过滤特殊元素
CWE-799 交互频率的控制不恰当
CWE-80 Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
CWE-805 使用不正确的长度值访问缓冲区
CWE-807 在安全决策中依赖未经信任的输入
CWE-82 Web页面IMG标签属性中脚本转义处理不恰当
CWE-821 不正确的同步机制
CWE-823 使用越界的指针偏移
CWE-825 无效指针解引用
CWE-827 文档类型定义的不恰当控制
CWE-829 从非可信控制范围包含功能例程
CWE-830 从非可信源包含Web功能例程
CWE-832 对未加锁的资源进行解锁
CWE-834 过度迭代
CWE-836 在认证机制中使用口令哈希代替口令
CWE-838 输出上下文语义编码不恰当
CWE-84 Web页面编码URIScheme转义处理不恰当
CWE-842 将用户置入不正确的用户组
CWE-85 双字符XSS操纵
CWE-862 授权机制缺失
CWE-87 替代XSS语法转义处理不恰当
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
CWE-90 LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入)
CWE-909 资源初始化缺失
CWE-910 使用过期的文件描述符
CWE-912 隐藏功能
CWE-914 动态识别变量的控制不恰当
CWE-916 使用具有不充分计算复杂性的口令哈希
CWE-918 服务端请求伪造(SSRF)
CWE-920 功耗限制不当
CWE-922 敏感信息的不安全存储
CWE-924 通信信道中传输过程中消息完整性的不正确执行
CWE-926 Android应用程序组件导出不当
CWE-93 对CRLF序列的转义处理不恰当(CRLF注入)
CWE-940 通信信道源的不正确验证
CWE-943 数据查询逻辑中特殊元素的不当中和
CWE-100 已弃用:特定技术的输入验证问题
CWE-1005 7PK-输入验证和表示
CWE-101 已弃用:Struts验证问题
CWE-1010 验证参与者
CWE-1011 授权参与者
CWE-1012 交叉切割
CWE-1013 加密数据
CWE-1014 识别参与者
CWE-1015 限制访问
CWE-1016 限制暴露
CWE-1017 锁定计算机
CWE-1018 管理用户会话
CWE-1019 输入验证
CWE-1020 验证消息完整性
CWE-1027 OWASP 2017年十大分类A1-注入
CWE-1028 OWASP 2017年十大分类A2-失效的身份认证
CWE-1029 OWASP 2017年十大分类A3-敏感信息泄漏
CWE-1030 OWASP 2017年十大分类A4-XML外部实体(XXE)
CWE-1033 OWASP 2017年十大分类A7-跨站脚本(XSS)
CWE-1036 OWASP 2017年十大分类A10-不足的日志记录和监控
CWE-1129 CISQ质量测量-可靠性
CWE-1130 CISQ质量测量-可维护性
CWE-1131 CISQ质量措施-安全
CWE-1132 CISQ质量标准-绩效
CWE-1134 SEI CERT Oracle Java安全编码标准-准则00.输入验证和数据清理(IDS)
CWE-1135 SEI CERT Oracle Java安全编码标准-准则01.声明和初始化(DCL)
CWE-1148 SEI CERT Oracle Java安全编码标准-准则14.序列化(SER)
CWE-1151 SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI)
CWE-1171 SEI CERT C编码标准-准则50.POSIX(POS)
CWE-1179 SEI CERT Perl编码标准-指南01.输入验证和数据消毒(IDS)
CWE-171 清理、规范化和比较错误
CWE-19 数据处理错误
CWE-320 密钥管理错误
CWE-371 状态问题
CWE-438 行为问题
CWE-452 初始化和清除错误
CWE-569 表达问题
CWE-719 None
CWE-722 None
CWE-725 None
CWE-740 None
CWE-743 None
CWE-802 None
CWE-810 None
CWE-813 None
CWE-846 None
CWE-849 None
CWE-854 None
CWE-859 None
CWE-864 None
CWE-867 None
CWE-869 None
CWE-872 None
CWE-875 None
CWE-878 None
CWE-881 None
CWE-885 None
CWE-889 None
CWE-892 None
CWE-895 None
CWE-898 None
CWE-902 None
CWE-905 None
CWE-929 None
CWE-932 None
CWE-935 None
CWE-938 None
CWE-946 None
CWE-949 None
CWE-952 None
CWE-955 None
CWE-959 None
CWE-961 None
CWE-963 None
CWE-967 None
CWE-968 None
CWE-969 None
CWE-970 None
CWE-971 None
CWE-976 None
CWE-980 None
CWE-1008 None
CWE-1128 CISQ质量措施(2016)
CWE-1178 SEI CERT Perl编码标准解决的弱点
CWE-604 不推荐使用的条目
CWE-631 None
CWE-659 None
CWE-660 None
CWE-661 None
CWE-677 None
CWE-678 None
CWE-679 None
CWE-699 None
CWE-700 None
CWE-701 None
CWE-702 None
CWE-709 命名链
CWE-711 None
CWE-734 None
CWE-750 None
CWE-800 None
CWE-809 None
CWE-844 None
CWE-868 None
CWE-884 None
CWE-999 None

Filter

/Weakness_Catalog/Weaknesses/Weakness[not(./Taxonomy_Mappings/Taxonomy_Mapping/@Taxonomy_Name='Software Fault Patterns')][not(@Status='Deprecated')]

文章来源于互联网:scap中文网

相关推荐: 通用弱点枚举(Common Weakness Enumeration)

通用弱点枚举(Common Weakness Enumeration)是一个软件社区项目,它的定位在于创建一个软件弱点和漏洞的类目。项目的目标是让人们更好地理解软件的缺陷并创建能够识别、修复以及阻止此类缺陷的自动化工具。 CWE的为程序员和安全从业者提供了一个…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日11:43:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  View-999: Weaknesses without Software Fault Patterns http://cn-sec.com/archives/612525.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: