View-702: Weaknesses Introduced During Implementation

ID: 702

Type: Implicit

Status: Incomplete

Objective

This view (slice) lists weaknesses that can be introduced during implementation.

Membership

CWE-ID	title
CWE-94	对生成代码的控制不恰当（代码注入）
CWE-942	过度许可的跨域白名单
CWE-95	动态执行代码中指令转义处理不恰当（Eval注入）
CWE-96	静态存储代码中指令转义处理不恰当（静态代码注入）
CWE-97	Web页面中服务端引用（SSI）转义处理不恰当
CWE-98	PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99	对资源描述符的控制不恰当（资源注入）
CWE-1004	没有'HttpOnly'标志的敏感Cookie
CWE-102	Structs：重复验证表单
CWE-1023	缺失要素致使对比不完全
CWE-104	Structs：表单Bean未扩展验证类
CWE-105	Structs：缺少验证的表单域
CWE-1068	软件实现和设计文档不一致
CWE-107	Structs：未使用的验证表单
CWE-109	Structs：验证器关闭
CWE-113	HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割）
CWE-115	输入的错误解释
CWE-1174	ASP.NET错误配置：模型验证不正确
CWE-12	ASP.NET误配置：缺少定制错误页面
CWE-121	栈缓冲区溢出
CWE-123	任意地址可写任意内容条件
CWE-125	跨界内存读
CWE-127	缓冲区下溢读取
CWE-129	对数组索引的验证不恰当
CWE-130	长度参数不一致性处理不恰当
CWE-134	使用外部控制的格式字符串
CWE-135	多字节字符串长度的计算不正确
CWE-14	编译器移除释放缓冲区的代码
CWE-140	分隔符转义处理不恰当
CWE-141	参数分隔符转义处理不恰当
CWE-142	值分隔符转义处理不恰当
CWE-143	记录分隔符转义处理不恰当
CWE-144	行分隔符转义处理不恰当
CWE-15	系统设置或配置在外部可控制
CWE-151	注释分隔符转义处理不恰当
CWE-156	空格转义处理不恰当
CWE-158	空字节或NULL字符转义处理不恰当
CWE-160	起始特殊元素净化处理不恰当
CWE-164	内部特殊元素净化处理不恰当
CWE-166	缺失特殊元素净化处理不恰当
CWE-168	不一致特殊元素净化处理不恰当
CWE-172	编码错误
CWE-175	混合编码处理不恰当
CWE-177	URL编码处理不恰当（Hex编码）
CWE-179	不正确的行为次序：过早验证
CWE-186	过度严格的正则表达式
CWE-188	依赖数据/内存布局
CWE-191	整数下溢（超界折返）
CWE-193	Off-by-one错误
CWE-195	有符号至无符号转换错误
CWE-197	数值截断错误
CWE-20	输入验证不恰当
CWE-201	通过发送数据的信息暴露
CWE-203	通过差异性导致的信息暴露
CWE-205	通过行为差异性导致的信息暴露
CWE-207	通过外部行为不一致性导致的信息暴露
CWE-209	通过错误消息导致的信息暴露
CWE-211	通过外部产生的错误消息导致的信息暴露
CWE-213	故意性的信息暴露
CWE-215	通过Debug信息导致的信息暴露
CWE-219	Web根目录下的敏感数据
CWE-222	安全相关信息的截断
CWE-224	通过候选名称导致的安全相关信息混淆
CWE-226	在释放前未清除敏感信息
CWE-229	值处理不恰当
CWE-230	缺失值处理不恰当
CWE-232	未定义值处理不恰当
CWE-234	未对缺失参数进行处理
CWE-236	对未定义参数处理不恰当
CWE-238	对不完整结构体元素处理不恰当
CWE-24	路径遍历：'../filedir'
CWE-241	非预期数据类型处理不恰当
CWE-243	未改变工作目录时创建chroot Jail
CWE-245	J2EE不安全实践：对连接的直接管理
CWE-250	带着不必要的权限执行
CWE-253	对函数返回值的检查不正确
CWE-259	使用硬编码的口令
CWE-260	配置文件中存储口令
CWE-266	特权授予不正确
CWE-268	特权链锁
CWE-27	路径遍历：'dir/../../filename'
CWE-271	特权放弃/降低错误
CWE-273	对于放弃特权的检查不恰当
CWE-276	缺省权限不正确
CWE-28	路径遍历：'..filedir'
CWE-281	权限预留不恰当
CWE-285	授权机制不恰当
CWE-287	认证机制不恰当
CWE-289	使用候选名称进行的认证绕过
CWE-290	使用欺骗进行的认证绕过
CWE-296	证书信任链回溯不恰当
CWE-298	证书过期验证不恰当
CWE-30	路径遍历：'dirfilename'
CWE-303	认证算法的不正确实现
CWE-305	使用基本弱点进行的认证绕过
CWE-325	缺少必要的密码学步骤
CWE-1007	屏幕显示出的不同编码的同形字母不易区分
CWE-1021	不当限制渲染UI层或帧
CWE-1022	使用windows.opener访问指向不可信目标的web链接
CWE-1024	不兼容类型的比较
CWE-1025	使用错误要素进行比较
CWE-103	Structs：不完整的validate()方法定义
CWE-106	Structs：插件框架未在使用
CWE-108	Structs：未经验证的动作表单
CWE-11	ASP.NET误配置：创建Debug模式二进制
CWE-110	Structs：无表单域的验证器
CWE-111	对不安全JNI的直接使用
CWE-112	XML验证缺失
CWE-114	流程控制
CWE-116	对输出编码和转义不恰当
CWE-33	路径遍历：'....' （多个点号）
CWE-331	信息熵不充分
CWE-333	TRNG不充分信息熵的处理不恰当
CWE-335	PRNG种子错误
CWE-337	PRNG中使用可预测种子
CWE-339	PRNG中的种子空间太小
CWE-340	可预测问题
CWE-342	从先前值可预测准确值
CWE-344	在动态变化上下文中使用不变值
CWE-346	源验证错误
CWE-348	使用不可信的源
CWE-35	路径遍历：'.../...//'
CWE-351	不充分的类型区分
CWE-353	缺失完整性检查支持
CWE-356	产品UI接口未警示用户不安全动作
CWE-358	不恰当实现的标准安全检查
CWE-36	绝对路径遍历
CWE-362	使用共享资源的并发执行不恰当同步问题（竞争条件）
CWE-364	信号处理例程中的竞争条件
CWE-366	单线程内的竞争条件
CWE-368	上下文切换时的竞争条件
CWE-37	路径遍历：'/absolute/pathname/here'
CWE-372	不完整的内部状态区分
CWE-374	传递不可变的对象给非可信方法
CWE-377	不安全的临时文件
CWE-117	日志输出的转义处理不恰当
CWE-1173	验证框架使用不当
CWE-1176	低效的CPU计算
CWE-1177	使用被禁止的代码
CWE-118	对可索引资源的访问不恰当（越界错误）
CWE-119	内存缓冲区边界内操作的限制不恰当
CWE-120	未进行输入大小检查的缓冲区拷贝（传统缓冲区溢出）
CWE-122	堆缓冲区溢出
CWE-124	缓冲区下溢
CWE-126	缓冲区上溢读取
CWE-128	超界折返处理错误
CWE-13	ASP.NET误配置：配置文件中存储口令
CWE-131	缓冲区大小计算不正确
CWE-138	对特殊元素的转义处理不恰当
CWE-379	在具有不安全权限的目录中创建临时文件
CWE-382	J2EE不安全实践：使用System.exit()
CWE-384	会话固定
CWE-386	符号名称未能映射到正确对象
CWE-390	未有动作错误条件的检测
CWE-392	错误条件报告缺失
CWE-394	未预期的状态编码或返回值
CWE-396	对通用异常声明Catch语句
CWE-40	路径遍历：'UNCsharename'(WindowsUNC共享)
CWE-401	在移除最后引用时对内存的释放不恰当（内存泄露）
CWE-403	将文件描述符暴露给不受控制的范围（文件描述符泄露）
CWE-405	不对称的资源消耗（放大攻击）
CWE-407	算法复杂性
CWE-409	对高度压缩数据的处理不恰当（数据放大攻击）
CWE-410	不充分的资源池
CWE-413	资源加锁不恰当
CWE-415	双重释放
CWE-419	未保护的主要通道
CWE-420	未保护的候选通道
CWE-426	不可信的搜索路径
CWE-428	未经引用的搜索路径或元素
CWE-430	错误句柄的实施
CWE-432	在敏感操作时危险信号处理例程未被禁用
CWE-145	节分隔符转义处理不恰当
CWE-146	表达式/命令分隔符转义处理不恰当
CWE-147	输入终结符转义处理不恰当
CWE-148	输入起始符转义处理不恰当
CWE-149	引号语法转义处理不恰当
CWE-150	转义、元或控制序列转义处理不恰当
CWE-152	宏符号转义处理不恰当
CWE-153	替代符号转义处理不恰当
CWE-154	变量名分隔符转义处理不恰当
CWE-155	双字符或匹配符号转义处理不恰当
CWE-157	结对分隔符的净化处理不恰当
CWE-159	特殊元素净化处理不恰当
CWE-161	多重起始特殊元素净化处理不恰当
CWE-162	结尾特殊元素转义处理不恰当
CWE-163	多重结尾特殊元素转义处理不恰当
CWE-165	多重内部特殊元素净化处理不恰当
CWE-167	附加特殊元素净化处理不恰当
CWE-170	不恰当的空终结符
CWE-173	候选编码方案处理不恰当
CWE-174	对同一数据的双重编码
CWE-176	Unicode编码处理不恰当
CWE-178	大小写敏感处理不恰当
CWE-180	不正确的行为次序：规范化之前验证
CWE-181	不正确的行为次序：在过滤之前验证
CWE-182	数据的崩溃导致不安全数值
CWE-183	宽松定义的白名单
CWE-184	不完整的黑名单
CWE-185	不正确的正则表达式
CWE-187	部分比较
CWE-434	危险类型文件的不加限制上传
CWE-436	解释冲突
CWE-439	新版本或环境中的行为变化
CWE-440	预期行为违背
CWE-446	安全特性的UI矛盾
CWE-448	UI上的废弃特性
CWE-45	路径等价：'file...name' （多个内部的点号）
CWE-451	关键信息的UI错误表达
CWE-454	可信任变量或数据存储的外部初始化
CWE-456	变量未经初始化
CWE-46	路径等价：'filename'(结尾空格)
CWE-462	在关联列表中具有重复Key
CWE-464	对数据结构哨兵域的增加
CWE-467	在指针类型上使用sizeof()
CWE-469	使用指针的减法来确定大小
CWE-470	使用外部可控制的输入来选择类或代码（不安全的反射）
CWE-472	对假设不可变Web参数的外部可控制
CWE-474	使用具有不一致性实现的函数
CWE-476	空指针解引用
CWE-478	在Switch语句中缺失缺省条件
CWE-190	整数溢出或超界折返
CWE-192	整数强制转换错误
CWE-194	未预期的符号扩展
CWE-196	无符号至有符号转换错误
CWE-198	字节序使用不正确
CWE-200	信息暴露
CWE-202	通过数据查询的敏感数据暴露
CWE-204	响应差异性信息暴露
CWE-206	通过行为不一致性导致的内部状态信息暴露
CWE-208	通过时间差异性导致的信息暴露
CWE-210	通过自主产生的错误消息导致的信息暴露
CWE-212	敏感数据的不恰当跨边界移除
CWE-214	通过处理环境导致的信息暴露
CWE-216	容器错误
CWE-22	对路径名的限制不恰当（路径遍历）
CWE-221	信息丢失或遗漏
CWE-223	安全相关信息的遗漏
CWE-228	语法无效结构处理不恰当
CWE-48	路径等价：'filename'(内部空格)
CWE-481	错误将比较符号写成赋值符号
CWE-483	不正确的代码块分界
CWE-486	使用名称来比较对象
CWE-488	对错误会话暴露数据元素
CWE-49	路径等价：'filename/'(尾部斜杠)
CWE-492	使用包含敏感数据的内部对象
CWE-494	下载代码缺少完整性检查
CWE-496	公开数据赋值给私有的数组类型数据域
CWE-498	包含敏感信息的可克隆类
CWE-5	J2EE误配置：未经加密的数据传输
CWE-500	公开静态字段没有标记为Final
CWE-502	可信数据的反序列化
CWE-507	特洛伊木马
CWE-509	具传播性的恶意代码（病毒或蠕虫）
CWE-510	后门
CWE-512	间谍软件
CWE-515	隐蔽存储通道
CWE-52	路径等价：'/multiple/trailling/slash//'
CWE-521	弱口令要求
CWE-525	通过浏览器缓存导致的信息暴露
CWE-23	相对路径遍历
CWE-231	额外值处理不恰当
CWE-233	参数问题
CWE-235	对额外参数处理不恰当
CWE-239	未能处理不完整的元素
CWE-240	对不一致结构体元素处理不恰当
CWE-242	使用内在危险函数
CWE-244	在释放前清理堆内存不恰当（堆检查）
CWE-246	J2EE不安全实践：对套接字的直接使用
CWE-248	未捕获的异常
CWE-25	路径遍历：'/../filedir'
CWE-252	未加检查的返回值
CWE-258	配置文件中缺省空口令
CWE-26	路径遍历：'dir/../filename'
CWE-267	特权定义了不安全动作
CWE-269	特权管理不恰当
CWE-270	特权上下文切换错误
CWE-272	最小特权原则违背
CWE-274	不充分特权处理不恰当
CWE-532	通过日志文件的信息暴露
CWE-536	通过Servlet运行时错误消息导致的信息暴露
CWE-538	文件和路径信息暴露
CWE-54	路径等价：'filedir'(结尾的反斜杠)
CWE-541	通过包含源代码导致的信息暴露
CWE-543	在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-547	使用硬编码、安全相关的常数
CWE-549	口令域未进行输入隐藏
CWE-550	通过服务器错误消息导致的信息暴露
CWE-552	对外部实体的文件或目录可访问
CWE-554	ASP.NET误配置：没有使用输入验证框架
CWE-556	ASP.NET误配置：使用身份伪装
CWE-56	路径等价：'filedir*'（通配符）
CWE-561	死代码
CWE-563	未使用的变量
CWE-565	在信任Cookie未进行验证与完整性检查
CWE-567	在多现场上下文中未能对共享数据进行同步访问
CWE-57	路径等价：'fakedir/'
CWE-571	表达式永真
CWE-573	调用者对规范的不恰当使用
CWE-575	EJB不安全实践：使用AWT Swing
CWE-577	EJB不安全实践：使用套接字
CWE-579	J2EE不安全实践：将不可序列化的对象存储在会话中
CWE-580	未定义super.clone()的clone()方法
CWE-582	公开、最终、静态声明的数组
CWE-584	在最后的代码块中返回
CWE-586	对Finalize()的显式调用
CWE-588	尝试访问一个非结构体指针的子域
CWE-59	在文件访问前对链接解析不恰当（链接跟随）
CWE-591	敏感数据存储于加锁不恰当的内存区域
CWE-593	认证绕过：SSL对象创建后修改OpenSSL CTX对象
CWE-595	错误对对象引用当作对象内容进行比较
CWE-597	在字符串比较中使用了错误的操作符
CWE-599	缺失对OpenSSL证书的验证
CWE-600	Servlet中未捕获的异常
CWE-605	对同一端口的多重绑定
CWE-607	公开静态最终域索引互斥的对象
CWE-609	双重检查的加锁机制
CWE-612	通过私有数据的索引导致的信息暴露
CWE-614	HTTPS会话中未设置'Secure'属性的敏感Cookie
CWE-616	上传文件变量的不完整标识（PHP）
CWE-618	暴露的不安全ActiveX方法
CWE-62	UNIX硬链接
CWE-621	变量抽取错误
CWE-623	不安全的ActiveX控件被标记为脚本安全
CWE-625	宽松定义的正则表达式
CWE-627	动态变量执行
CWE-636	未能安全地进行程序失效（Failing Open）
CWE-638	未能使用完整仲裁
CWE-641	文件和其他资源名称限制不恰当
CWE-643	XPath表达式中数据转义处理不恰当（XPath注入）
CWE-647	使用未经净化的URL路径进行授权决策
CWE-649	依赖于未经完整性检查的安全相关输入的混淆或加密
CWE-650	在服务器端信任HTTP权限模型
CWE-652	XQuery表达式中数据转义处理不恰当（XQuery注入）
CWE-654	在安全决策中依赖单个元素
CWE-656	依赖构建于封闭的安全性
CWE-66	标识虚拟资源的文件名处理不恰当
CWE-663	在并发上下文中使用不可再入的函数
CWE-665	初始化不恰当
CWE-667	加锁机制不恰当
CWE-277	不安全的继承权限
CWE-279	不安全的运行时授予权限
CWE-280	不充分权限或特权的处理不恰当
CWE-284	访问控制不恰当
CWE-286	用户管理不正确
CWE-29	路径遍历：'..filename'
CWE-295	证书验证不恰当
CWE-297	对宿主不匹配的证书验证不恰当
CWE-299	证书撤销验证不恰当
CWE-302	使用假设不可变数据进行的认证绕过
CWE-304	认证中关键步骤缺失
CWE-31	路径遍历：'dir....filename'
CWE-318	在可执行体中的明文存储
CWE-32	路径遍历：'...' （三个点号）
CWE-669	在范围间的资源转移不正确
CWE-670	控制流实现总是不正确
CWE-672	在过期或释放后对资源进行操作
CWE-674	未经控制的递归
CWE-676	潜在危险函数的使用
CWE-681	数值类型间的不正确转换
CWE-683	使用不正确参数次序的函数调用
CWE-685	使用不正确参数个数的函数调用
CWE-687	使用不正确指定参数值的函数调用
CWE-689	在资源拷贝时的权限竞争条件
CWE-690	未检查返回值导致空指针解引用
CWE-694	使用多个具有重复标识的资源
CWE-696	不正确的行为次序
CWE-698	重定向后执行（EAR）
CWE-703	对异常条件检查或处理不恰当
CWE-705	控制流范围控制不正确
CWE-707	对消息或数据结构的处理不恰当
CWE-72	Apple HFS+交换数据流路径处理不恰当
CWE-732	关键资源的不正确权限授予
CWE-74	输出中的特殊元素转义处理不恰当（注入）
CWE-75	特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入）
CWE-755	对异常条件的处理不恰当
CWE-759	使用未加Salt的单向哈希算法
CWE-760	使用可预测Salt的单向哈希算法
CWE-329	在CBC加密模式中未使用随机化IV向量
CWE-330	使用不充分的随机数
CWE-332	PRNG中信息熵不充分
CWE-334	随机数的空间太小
CWE-336	PRNG中使用相同种子
CWE-338	使用具有密码学弱点缺陷的PRNG
CWE-34	路径遍历：'....//'
CWE-341	从可观察状态的可预测
CWE-343	从先前值可预测取值范围
CWE-345	对数据真实性的验证不充分
CWE-347	密码学签名的验证不恰当
CWE-349	在可信数据中接受外来的不可信数据
CWE-354	完整性检查值验证不恰当
CWE-357	对危险操作的UI警示不充分
CWE-359	侵犯隐私
CWE-360	信任系统事件数据
CWE-363	允许符号链接跟随的竞争条件
CWE-365	Switch语句中的竞争条件
CWE-367	检查时间与使用时间(TOCTOU)的竞争条件
CWE-369	除零错误
CWE-370	在初始检查后缺失对证书撤销的验证
CWE-375	返回不可变的对象给非可信调用者
CWE-378	创建拥有不安全权限的临时文件
CWE-38	路径遍历：'absolutepathnamehere'
CWE-383	J2EE不安全实践：直接使用线程
CWE-385	隐蔽时间通道
CWE-39	路径遍历：'C:dirname'
CWE-391	未经检查的错误条件
CWE-393	返回错误的状态编码
CWE-395	使用NullPointerException捕捉来检测空指针解引用
CWE-397	对通用异常声明Throws语句
CWE-400	未加控制的资源消耗（资源穷尽）
CWE-402	将私有的资源传输到一个新的空间（资源泄露）
CWE-404	不恰当的资源关闭或释放
CWE-406	对网络消息容量的控制不充分（网络放大攻击）
CWE-408	不正确的行为次序：早期放大攻击
CWE-41	对路径等价的解析不恰当
CWE-412	未加限制的外部可访问锁
CWE-414	加锁检查缺失
CWE-416	释放后使用
CWE-42	路径等价：'filename.' (尾部点号)
CWE-762	不匹配的内存管理例程
CWE-764	关键资源的多重加锁
CWE-766	关键变量被公开声明
CWE-768	不正确的快捷方式验证
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-771	对活跃已分配资源丧失索引
CWE-773	对活跃文件描述符或句柄丧失索引
CWE-775	缺失文件描述符或句柄在有效生命周期之后的释放处理
CWE-777	没有下界集合的正则表达式
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）
CWE-781	在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当
CWE-783	操作符优先级逻辑错误
CWE-785	路径操作函数中使用未进行大小限定的缓冲区
CWE-787	跨界内存写
CWE-789	未经控制的内存分配
CWE-790	特殊元素过滤不恰当
CWE-792	对一个或多个特殊元素实例的过滤不完全
CWE-794	对特殊元素的多个实例的过滤不完全
CWE-796	仅过滤与一个标记相关的特殊元素
CWE-8	J2EE误配置：实体Bean远程声明
CWE-804	可猜测的验证码
CWE-806	使用源缓冲区的大小访问缓冲区
CWE-81	错误消息Web页面中脚本转义处理不恰当
CWE-83	Web页面属性中脚本转义处理不恰当
CWE-841	行为工作流的不恰当实施
CWE-843	使用不兼容类型访问资源（类型混淆）
CWE-425	直接请求（强制性浏览）
CWE-427	对搜索路径元素未加控制
CWE-43	路径等价：'filename....' （多个尾部的点号）
CWE-431	句柄缺失
CWE-433	未加解析的原始Web内容分发
CWE-435	交互错误
CWE-437	端点特性的不完整模型
CWE-44	路径等价：'file.name' (内部点号)
CWE-444	HTTP请求的解释不一致性（HTTP请求私运）
CWE-447	在UI中的未实现或未支持特性
CWE-449	UI执行错误动作
CWE-450	UI输入的多重解释
CWE-453	不安全的缺省变量初始化
CWE-455	初始化失效后的不存在变量
CWE-457	使用未经初始化的变量
CWE-459	清理环节不完整
CWE-460	抛出异常的清理不恰当
CWE-463	对数据结构哨兵域的删除
CWE-466	在预期范围外返回指针值
CWE-468	不正确的指针放大
CWE-47	路径等价：'filename'(开头空格)
CWE-471	对假设不可变数据的修改（MAID）
CWE-473	PHP参数外部修改
CWE-475	从输入到API的未定义行为
CWE-477	对废弃函数的使用
CWE-479	信号处理例程中使用不可再入的函数
CWE-480	使用操作符不正确
CWE-482	错误将赋值符号写成比较符号
CWE-484	在Switch语句中省略Break语句
CWE-487	依赖包一级的范围
CWE-489	遗留的调试代码
CWE-491	公开的可克隆方法（对象劫持）
CWE-493	缺少Final Modifier的关键公开变量
CWE-495	从公开方法中返回私有的数组类型数据域
CWE-497	将系统数据暴露到未授权控制的范围
CWE-499	可序列化的类中包含敏感信息
CWE-50	路径等价：'//multiple/leading/slash'
CWE-506	内嵌的恶意代码
CWE-508	非传播性的恶意代码
CWE-51	路径等价：'/multiple//internal/slash'
CWE-511	逻辑/时间炸弹
CWE-514	隐蔽通道
CWE-520	.NET误配置：使用伪装
CWE-522	不充分的凭证保护机制
CWE-524	通过缓存导致的信息暴露
CWE-526	通过环境变量导致的信息暴露
CWE-53	路径等价：'multipleinternalbackslash'
CWE-535	通过Shell错误消息导致的信息暴露
CWE-537	通过Java运行时错误消息导致的信息暴露
CWE-539	通过持久性Cookie导致的信息暴露
CWE-540	通过源代码导致的信息暴露
CWE-546	可疑注释
CWE-548	通过目录枚举导致的信息暴露
CWE-55	路径等价：'/./' (单点路径)
CWE-551	不正确的行为次序：在解析与净化处理之前进行授权
CWE-553	外部可访问目录中的命令行Shell
CWE-555	J2EE误配置：在配置文件中明文存储口令
CWE-558	在多线程应用程序中使用getlogin()
CWE-560	在chmod类型参数中使用umask()
CWE-562	返回栈上的变量地址
CWE-564	SQL注入：Hibernate
CWE-566	通过用户控制SQL主密钥绕过授权机制
CWE-568	没有super.finalize()的finalize()方法
CWE-570	表达式永假
CWE-86	Web页面标识中非法字符转义处理不恰当
CWE-863	授权机制不正确
CWE-88	参数注入或修改
CWE-9	J2EE误配置：EJB方法弱访问权限
CWE-908	对未经初始化资源的使用
CWE-91	XML注入（XPath盲注）
CWE-911	引用计数的更新不恰当
CWE-913	动态管理代码资源的控制不恰当
CWE-915	动态确定对象属性修改的控制不恰当
CWE-917	表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入）
CWE-939	自定义URL方案处理程序中的授权不正确
CWE-941	通信信道中错误指定的目的地
CWE-572	调用线程的run()方法而非start()方法
CWE-574	EJB不安全实践：使用同步原语
CWE-576	EJB不安全实践：使用Java I/O
CWE-578	EJB不安全实践：使用类加载器
CWE-58	路径等价：Windows8.3形式文件名
CWE-581	对象模型违背：仅定义了一个等式与散列码
CWE-583	公开声明的finalize()方法
CWE-585	空的同步代码块
CWE-587	将一个固定地址复制给指针
CWE-589	对非普适API的调用
CWE-590	释放并不在堆上的内存
CWE-594	J2EE框架：将不可序列化的对象存储到磁盘上
CWE-598	通过GET请求中的查询字符串导致的信息暴露
CWE-6	J2EE误配置：会话ID长度不充分
CWE-601	指向未可信站点的URL重定向（开放重定向）
CWE-603	使用客户端的认证机制
CWE-606	循环条件输入未经检查
CWE-608	Structs：动作表单类中存在非私有域
CWE-61	UNIX符号链接跟随
CWE-611	XML外部实体引用的不恰当限制（XXE）
CWE-613	不充分的会话过期机制
CWE-615	通过注释导致的信息暴露
CWE-617	可达断言
CWE-619	数据库游标悬挂（游标注入）
CWE-620	未经验证的口令修改
CWE-622	函数挂钩参数的验证不恰当
CWE-624	可执行体正则表达式错误
CWE-626	空字节交互错误
CWE-628	使用不正确指定参数的函数调用
CWE-637	保护机制不必要的复杂性（未使用经济性的机制）
CWE-640	忘记口令恢复机制弱
CWE-642	对关键状态数据的外部可控制
CWE-644	对HTTP头部进行脚本语法转义处理不恰当
CWE-646	依赖于外部提供文件的文件名或扩展名
CWE-648	特权API的不正确使用
CWE-65	Windows硬链接
CWE-651	通过WSDL文件导致的信息暴露
CWE-653	不充分的划分
CWE-655	不充分的心理学可接受性
CWE-657	违背安全设计原则
CWE-662	不恰当的同步机制
CWE-664	在生命周期中对资源的控制不恰当
CWE-666	在生命周期错误阶段对资源进行操作
CWE-668	将资源暴露给错误范围
CWE-67	Windows设备名处理不恰当
CWE-671	缺乏对安全的管理控制
CWE-673	范围定义的外部影响
CWE-675	对资源的重复操作
CWE-682	数值计算不正确
CWE-684	特定函数功能的不正确供给
CWE-686	使用不正确参数类型的函数调用
CWE-688	使用不正确变量或索引作为参数的函数调用
CWE-69	Windows::DATA交换数据流处理不恰当
CWE-691	不充分的控制流管理
CWE-693	保护机制失效
CWE-695	使用底层的功能例程
CWE-697	不充分的比较
CWE-7	J2EE误配置：缺少定制错误页面
CWE-704	不正确的类型转换
CWE-706	使用不正确的解析名称或索引
CWE-708	不正确的属主授予
CWE-710	编程规范违背
CWE-73	文件名或路径的外部可控制
CWE-749	暴露危险的方法或函数
CWE-754	对因果或异常条件的不恰当检查
CWE-76	等价特殊元素的转义处理不恰当
CWE-761	释放一个不在缓冲区起始位置的指针
CWE-763	对无效指针或索引的释放
CWE-765	关键资源的多重解锁
CWE-767	通过公开方法可访问到关键的私有数据
CWE-770	不加限制或调节的资源分配
CWE-772	对已超过有效生命周期的资源丧失索引
CWE-774	不加限制或调节进行文件描述符或句柄的分配
CWE-776	DTD中递归实体索引的不恰当限制（XML实体扩展）
CWE-780	未配合OAEP使用RSA算法
CWE-782	无充分访问控制条件下暴露IOCTL
CWE-784	在安全决策中依赖未经验证和完整性检查的Cookie
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-791	特殊元素过滤不完全
CWE-793	仅过滤一个特殊元素的单一实例
CWE-795	仅在一个特定位置过滤特殊元素
CWE-797	仅在一个绝对路径位置过滤特殊元素
CWE-799	交互频率的控制不恰当
CWE-80	Web页面中脚本相关HTML标签转义处理不恰当（基本跨站脚本）
CWE-805	使用不正确的长度值访问缓冲区
CWE-807	在安全决策中依赖未经信任的输入
CWE-82	Web页面IMG标签属性中脚本转义处理不恰当
CWE-827	文档类型定义的不恰当控制
CWE-829	从非可信控制范围包含功能例程
CWE-830	从非可信源包含Web功能例程
CWE-836	在认证机制中使用口令哈希代替口令
CWE-84	Web页面编码URIScheme转义处理不恰当
CWE-842	将用户置入不正确的用户组
CWE-85	双字符XSS操纵
CWE-862	授权机制缺失
CWE-87	替代XSS语法转义处理不恰当
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）
CWE-90	LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）
CWE-909	资源初始化缺失
CWE-910	使用过期的文件描述符
CWE-912	隐藏功能
CWE-914	动态识别变量的控制不恰当
CWE-918	服务端请求伪造（SSRF）
CWE-922	敏感信息的不安全存储
CWE-93	对CRLF序列的转义处理不恰当（CRLF注入）
CWE-940	通信信道源的不正确验证
CWE-943	数据查询逻辑中特殊元素的不当中和

Filter

/Weakness_Catalog/Weaknesses/Weakness[./Modes_Of_Introduction/Introduction/Phase='Implementation']

文章来源于互联网:scap中文网

相关推荐: View-844: Weaknesses Addressed by The CERT Oracle Secure Coding Standard for Java (2011)

View-844: Weaknesses Addressed by The CERT Oracle Secure Coding Standard for Java (2011) ID: 844 Type: Graph Status: Obsolete Obje…