View-702: Weaknesses Introduced During Implementation

admin 2022年1月14日11:42:53CWE(弱点枚举)评论10 views13260字阅读44分12秒阅读模式

View-702: Weaknesses Introduced During Implementation

ID: 702

Type: Implicit

Status: Incomplete

Objective

This view (slice) lists weaknesses that can be introduced during implementation.

Membership

CWE-ID title
CWE-94 对生成代码的控制不恰当(代码注入)
CWE-942 过度许可的跨域白名单
CWE-95 动态执行代码中指令转义处理不恰当(Eval注入)
CWE-96 静态存储代码中指令转义处理不恰当(静态代码注入)
CWE-97 Web页面中服务端引用(SSI)转义处理不恰当
CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99 对资源描述符的控制不恰当(资源注入)
CWE-1004 没有'HttpOnly'标志的敏感Cookie
CWE-102 Structs:重复验证表单
CWE-1023 缺失要素致使对比不完全
CWE-104 Structs:表单Bean未扩展验证类
CWE-105 Structs:缺少验证的表单域
CWE-1068 软件实现和设计文档不一致
CWE-107 Structs:未使用的验证表单
CWE-109 Structs:验证器关闭
CWE-113 HTTP头部中CRLF序列转义处理不恰当(HTTP响应分割)
CWE-115 输入的错误解释
CWE-1174 ASP.NET错误配置:模型验证不正确
CWE-12 ASP.NET误配置:缺少定制错误页面
CWE-121 栈缓冲区溢出
CWE-123 任意地址可写任意内容条件
CWE-125 跨界内存读
CWE-127 缓冲区下溢读取
CWE-129 对数组索引的验证不恰当
CWE-130 长度参数不一致性处理不恰当
CWE-134 使用外部控制的格式字符串
CWE-135 多字节字符串长度的计算不正确
CWE-14 编译器移除释放缓冲区的代码
CWE-140 分隔符转义处理不恰当
CWE-141 参数分隔符转义处理不恰当
CWE-142 值分隔符转义处理不恰当
CWE-143 记录分隔符转义处理不恰当
CWE-144 行分隔符转义处理不恰当
CWE-15 系统设置或配置在外部可控制
CWE-151 注释分隔符转义处理不恰当
CWE-156 空格转义处理不恰当
CWE-158 空字节或NULL字符转义处理不恰当
CWE-160 起始特殊元素净化处理不恰当
CWE-164 内部特殊元素净化处理不恰当
CWE-166 缺失特殊元素净化处理不恰当
CWE-168 不一致特殊元素净化处理不恰当
CWE-172 编码错误
CWE-175 混合编码处理不恰当
CWE-177 URL编码处理不恰当(Hex编码)
CWE-179 不正确的行为次序:过早验证
CWE-186 过度严格的正则表达式
CWE-188 依赖数据/内存布局
CWE-191 整数下溢(超界折返)
CWE-193 Off-by-one错误
CWE-195 有符号至无符号转换错误
CWE-197 数值截断错误
CWE-20 输入验证不恰当
CWE-201 通过发送数据的信息暴露
CWE-203 通过差异性导致的信息暴露
CWE-205 通过行为差异性导致的信息暴露
CWE-207 通过外部行为不一致性导致的信息暴露
CWE-209 通过错误消息导致的信息暴露
CWE-211 通过外部产生的错误消息导致的信息暴露
CWE-213 故意性的信息暴露
CWE-215 通过Debug信息导致的信息暴露
CWE-219 Web根目录下的敏感数据
CWE-222 安全相关信息的截断
CWE-224 通过候选名称导致的安全相关信息混淆
CWE-226 在释放前未清除敏感信息
CWE-229 值处理不恰当
CWE-230 缺失值处理不恰当
CWE-232 未定义值处理不恰当
CWE-234 未对缺失参数进行处理
CWE-236 对未定义参数处理不恰当
CWE-238 对不完整结构体元素处理不恰当
CWE-24 路径遍历:'../filedir'
CWE-241 非预期数据类型处理不恰当
CWE-243 未改变工作目录时创建chroot Jail
CWE-245 J2EE不安全实践:对连接的直接管理
CWE-250 带着不必要的权限执行
CWE-253 对函数返回值的检查不正确
CWE-259 使用硬编码的口令
CWE-260 配置文件中存储口令
CWE-266 特权授予不正确
CWE-268 特权链锁
CWE-27 路径遍历:'dir/../../filename'
CWE-271 特权放弃/降低错误
CWE-273 对于放弃特权的检查不恰当
CWE-276 缺省权限不正确
CWE-28 路径遍历:'..filedir'
CWE-281 权限预留不恰当
CWE-285 授权机制不恰当
CWE-287 认证机制不恰当
CWE-289 使用候选名称进行的认证绕过
CWE-290 使用欺骗进行的认证绕过
CWE-296 证书信任链回溯不恰当
CWE-298 证书过期验证不恰当
CWE-30 路径遍历:'dirfilename'
CWE-303 认证算法的不正确实现
CWE-305 使用基本弱点进行的认证绕过
CWE-325 缺少必要的密码学步骤
CWE-1007 屏幕显示出的不同编码的同形字母不易区分
CWE-1021 不当限制渲染UI层或帧
CWE-1022 使用windows.opener访问指向不可信目标的web链接
CWE-1024 不兼容类型的比较
CWE-1025 使用错误要素进行比较
CWE-103 Structs:不完整的validate()方法定义
CWE-106 Structs:插件框架未在使用
CWE-108 Structs:未经验证的动作表单
CWE-11 ASP.NET误配置:创建Debug模式二进制
CWE-110 Structs:无表单域的验证器
CWE-111 对不安全JNI的直接使用
CWE-112 XML验证缺失
CWE-114 流程控制
CWE-116 对输出编码和转义不恰当
CWE-33 路径遍历:'....' (多个点号)
CWE-331 信息熵不充分
CWE-333 TRNG不充分信息熵的处理不恰当
CWE-335 PRNG种子错误
CWE-337 PRNG中使用可预测种子
CWE-339 PRNG中的种子空间太小
CWE-340 可预测问题
CWE-342 从先前值可预测准确值
CWE-344 在动态变化上下文中使用不变值
CWE-346 源验证错误
CWE-348 使用不可信的源
CWE-35 路径遍历:'.../...//'
CWE-351 不充分的类型区分
CWE-353 缺失完整性检查支持
CWE-356 产品UI接口未警示用户不安全动作
CWE-358 不恰当实现的标准安全检查
CWE-36 绝对路径遍历
CWE-362 使用共享资源的并发执行不恰当同步问题(竞争条件)
CWE-364 信号处理例程中的竞争条件
CWE-366 单线程内的竞争条件
CWE-368 上下文切换时的竞争条件
CWE-37 路径遍历:'/absolute/pathname/here'
CWE-372 不完整的内部状态区分
CWE-374 传递不可变的对象给非可信方法
CWE-377 不安全的临时文件
CWE-117 日志输出的转义处理不恰当
CWE-1173 验证框架使用不当
CWE-1176 低效的CPU计算
CWE-1177 使用被禁止的代码
CWE-118 对可索引资源的访问不恰当(越界错误)
CWE-119 内存缓冲区边界内操作的限制不恰当
CWE-120 未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出)
CWE-122 堆缓冲区溢出
CWE-124 缓冲区下溢
CWE-126 缓冲区上溢读取
CWE-128 超界折返处理错误
CWE-13 ASP.NET误配置:配置文件中存储口令
CWE-131 缓冲区大小计算不正确
CWE-138 对特殊元素的转义处理不恰当
CWE-379 在具有不安全权限的目录中创建临时文件
CWE-382 J2EE不安全实践:使用System.exit()
CWE-384 会话固定
CWE-386 符号名称未能映射到正确对象
CWE-390 未有动作错误条件的检测
CWE-392 错误条件报告缺失
CWE-394 未预期的状态编码或返回值
CWE-396 对通用异常声明Catch语句
CWE-40 路径遍历:'UNCsharename'(WindowsUNC共享)
CWE-401 在移除最后引用时对内存的释放不恰当(内存泄露)
CWE-403 将文件描述符暴露给不受控制的范围(文件描述符泄露)
CWE-405 不对称的资源消耗(放大攻击)
CWE-407 算法复杂性
CWE-409 对高度压缩数据的处理不恰当(数据放大攻击)
CWE-410 不充分的资源池
CWE-413 资源加锁不恰当
CWE-415 双重释放
CWE-419 未保护的主要通道
CWE-420 未保护的候选通道
CWE-426 不可信的搜索路径
CWE-428 未经引用的搜索路径或元素
CWE-430 错误句柄的实施
CWE-432 在敏感操作时危险信号处理例程未被禁用
CWE-145 节分隔符转义处理不恰当
CWE-146 表达式/命令分隔符转义处理不恰当
CWE-147 输入终结符转义处理不恰当
CWE-148 输入起始符转义处理不恰当
CWE-149 引号语法转义处理不恰当
CWE-150 转义、元或控制序列转义处理不恰当
CWE-152 宏符号转义处理不恰当
CWE-153 替代符号转义处理不恰当
CWE-154 变量名分隔符转义处理不恰当
CWE-155 双字符或匹配符号转义处理不恰当
CWE-157 结对分隔符的净化处理不恰当
CWE-159 特殊元素净化处理不恰当
CWE-161 多重起始特殊元素净化处理不恰当
CWE-162 结尾特殊元素转义处理不恰当
CWE-163 多重结尾特殊元素转义处理不恰当
CWE-165 多重内部特殊元素净化处理不恰当
CWE-167 附加特殊元素净化处理不恰当
CWE-170 不恰当的空终结符
CWE-173 候选编码方案处理不恰当
CWE-174 对同一数据的双重编码
CWE-176 Unicode编码处理不恰当
CWE-178 大小写敏感处理不恰当
CWE-180 不正确的行为次序:规范化之前验证
CWE-181 不正确的行为次序:在过滤之前验证
CWE-182 数据的崩溃导致不安全数值
CWE-183 宽松定义的白名单
CWE-184 不完整的黑名单
CWE-185 不正确的正则表达式
CWE-187 部分比较
CWE-434 危险类型文件的不加限制上传
CWE-436 解释冲突
CWE-439 新版本或环境中的行为变化
CWE-440 预期行为违背
CWE-446 安全特性的UI矛盾
CWE-448 UI上的废弃特性
CWE-45 路径等价:'file...name' (多个内部的点号)
CWE-451 关键信息的UI错误表达
CWE-454 可信任变量或数据存储的外部初始化
CWE-456 变量未经初始化
CWE-46 路径等价:'filename'(结尾空格)
CWE-462 在关联列表中具有重复Key
CWE-464 对数据结构哨兵域的增加
CWE-467 在指针类型上使用sizeof()
CWE-469 使用指针的减法来确定大小
CWE-470 使用外部可控制的输入来选择类或代码(不安全的反射)
CWE-472 对假设不可变Web参数的外部可控制
CWE-474 使用具有不一致性实现的函数
CWE-476 空指针解引用
CWE-478 在Switch语句中缺失缺省条件
CWE-190 整数溢出或超界折返
CWE-192 整数强制转换错误
CWE-194 未预期的符号扩展
CWE-196 无符号至有符号转换错误
CWE-198 字节序使用不正确
CWE-200 信息暴露
CWE-202 通过数据查询的敏感数据暴露
CWE-204 响应差异性信息暴露
CWE-206 通过行为不一致性导致的内部状态信息暴露
CWE-208 通过时间差异性导致的信息暴露
CWE-210 通过自主产生的错误消息导致的信息暴露
CWE-212 敏感数据的不恰当跨边界移除
CWE-214 通过处理环境导致的信息暴露
CWE-216 容器错误
CWE-22 对路径名的限制不恰当(路径遍历)
CWE-221 信息丢失或遗漏
CWE-223 安全相关信息的遗漏
CWE-228 语法无效结构处理不恰当
CWE-48 路径等价:'filename'(内部空格)
CWE-481 错误将比较符号写成赋值符号
CWE-483 不正确的代码块分界
CWE-486 使用名称来比较对象
CWE-488 对错误会话暴露数据元素
CWE-49 路径等价:'filename/'(尾部斜杠)
CWE-492 使用包含敏感数据的内部对象
CWE-494 下载代码缺少完整性检查
CWE-496 公开数据赋值给私有的数组类型数据域
CWE-498 包含敏感信息的可克隆类
CWE-5 J2EE误配置:未经加密的数据传输
CWE-500 公开静态字段没有标记为Final
CWE-502 可信数据的反序列化
CWE-507 特洛伊木马
CWE-509 具传播性的恶意代码(病毒或蠕虫)
CWE-510 后门
CWE-512 间谍软件
CWE-515 隐蔽存储通道
CWE-52 路径等价:'/multiple/trailling/slash//'
CWE-521 弱口令要求
CWE-525 通过浏览器缓存导致的信息暴露
CWE-23 相对路径遍历
CWE-231 额外值处理不恰当
CWE-233 参数问题
CWE-235 对额外参数处理不恰当
CWE-239 未能处理不完整的元素
CWE-240 对不一致结构体元素处理不恰当
CWE-242 使用内在危险函数
CWE-244 在释放前清理堆内存不恰当(堆检查)
CWE-246 J2EE不安全实践:对套接字的直接使用
CWE-248 未捕获的异常
CWE-25 路径遍历:'/../filedir'
CWE-252 未加检查的返回值
CWE-258 配置文件中缺省空口令
CWE-26 路径遍历:'dir/../filename'
CWE-267 特权定义了不安全动作
CWE-269 特权管理不恰当
CWE-270 特权上下文切换错误
CWE-272 最小特权原则违背
CWE-274 不充分特权处理不恰当
CWE-532 通过日志文件的信息暴露
CWE-536 通过Servlet运行时错误消息导致的信息暴露
CWE-538 文件和路径信息暴露
CWE-54 路径等价:'filedir'(结尾的反斜杠)
CWE-541 通过包含源代码导致的信息暴露
CWE-543 在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-547 使用硬编码、安全相关的常数
CWE-549 口令域未进行输入隐藏
CWE-550 通过服务器错误消息导致的信息暴露
CWE-552 对外部实体的文件或目录可访问
CWE-554 ASP.NET误配置:没有使用输入验证框架
CWE-556 ASP.NET误配置:使用身份伪装
CWE-56 路径等价:'filedir*'(通配符)
CWE-561 死代码
CWE-563 未使用的变量
CWE-565 在信任Cookie未进行验证与完整性检查
CWE-567 在多现场上下文中未能对共享数据进行同步访问
CWE-57 路径等价:'fakedir/'
CWE-571 表达式永真
CWE-573 调用者对规范的不恰当使用
CWE-575 EJB不安全实践:使用AWT Swing
CWE-577 EJB不安全实践:使用套接字
CWE-579 J2EE不安全实践:将不可序列化的对象存储在会话中
CWE-580 未定义super.clone()的clone()方法
CWE-582 公开、最终、静态声明的数组
CWE-584 在最后的代码块中返回
CWE-586 对Finalize()的显式调用
CWE-588 尝试访问一个非结构体指针的子域
CWE-59 在文件访问前对链接解析不恰当(链接跟随)
CWE-591 敏感数据存储于加锁不恰当的内存区域
CWE-593 认证绕过:SSL对象创建后修改OpenSSL CTX对象
CWE-595 错误对对象引用当作对象内容进行比较
CWE-597 在字符串比较中使用了错误的操作符
CWE-599 缺失对OpenSSL证书的验证
CWE-600 Servlet中未捕获的异常
CWE-605 对同一端口的多重绑定
CWE-607 公开静态最终域索引互斥的对象
CWE-609 双重检查的加锁机制
CWE-612 通过私有数据的索引导致的信息暴露
CWE-614 HTTPS会话中未设置'Secure'属性的敏感Cookie
CWE-616 上传文件变量的不完整标识(PHP)
CWE-618 暴露的不安全ActiveX方法
CWE-62 UNIX硬链接
CWE-621 变量抽取错误
CWE-623 不安全的ActiveX控件被标记为脚本安全
CWE-625 宽松定义的正则表达式
CWE-627 动态变量执行
CWE-636 未能安全地进行程序失效(Failing Open)
CWE-638 未能使用完整仲裁
CWE-641 文件和其他资源名称限制不恰当
CWE-643 XPath表达式中数据转义处理不恰当(XPath注入)
CWE-647 使用未经净化的URL路径进行授权决策
CWE-649 依赖于未经完整性检查的安全相关输入的混淆或加密
CWE-650 在服务器端信任HTTP权限模型
CWE-652 XQuery表达式中数据转义处理不恰当(XQuery注入)
CWE-654 在安全决策中依赖单个元素
CWE-656 依赖构建于封闭的安全性
CWE-66 标识虚拟资源的文件名处理不恰当
CWE-663 在并发上下文中使用不可再入的函数
CWE-665 初始化不恰当
CWE-667 加锁机制不恰当
CWE-277 不安全的继承权限
CWE-279 不安全的运行时授予权限
CWE-280 不充分权限或特权的处理不恰当
CWE-284 访问控制不恰当
CWE-286 用户管理不正确
CWE-29 路径遍历:'..filename'
CWE-295 证书验证不恰当
CWE-297 对宿主不匹配的证书验证不恰当
CWE-299 证书撤销验证不恰当
CWE-302 使用假设不可变数据进行的认证绕过
CWE-304 认证中关键步骤缺失
CWE-31 路径遍历:'dir....filename'
CWE-318 在可执行体中的明文存储
CWE-32 路径遍历:'...' (三个点号)
CWE-669 在范围间的资源转移不正确
CWE-670 控制流实现总是不正确
CWE-672 在过期或释放后对资源进行操作
CWE-674 未经控制的递归
CWE-676 潜在危险函数的使用
CWE-681 数值类型间的不正确转换
CWE-683 使用不正确参数次序的函数调用
CWE-685 使用不正确参数个数的函数调用
CWE-687 使用不正确指定参数值的函数调用
CWE-689 在资源拷贝时的权限竞争条件
CWE-690 未检查返回值导致空指针解引用
CWE-694 使用多个具有重复标识的资源
CWE-696 不正确的行为次序
CWE-698 重定向后执行(EAR)
CWE-703 对异常条件检查或处理不恰当
CWE-705 控制流范围控制不正确
CWE-707 对消息或数据结构的处理不恰当
CWE-72 Apple HFS+交换数据流路径处理不恰当
CWE-732 关键资源的不正确权限授予
CWE-74 输出中的特殊元素转义处理不恰当(注入)
CWE-75 特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入)
CWE-755 对异常条件的处理不恰当
CWE-759 使用未加Salt的单向哈希算法
CWE-760 使用可预测Salt的单向哈希算法
CWE-329 在CBC加密模式中未使用随机化IV向量
CWE-330 使用不充分的随机数
CWE-332 PRNG中信息熵不充分
CWE-334 随机数的空间太小
CWE-336 PRNG中使用相同种子
CWE-338 使用具有密码学弱点缺陷的PRNG
CWE-34 路径遍历:'....//'
CWE-341 从可观察状态的可预测
CWE-343 从先前值可预测取值范围
CWE-345 对数据真实性的验证不充分
CWE-347 密码学签名的验证不恰当
CWE-349 在可信数据中接受外来的不可信数据
CWE-354 完整性检查值验证不恰当
CWE-357 对危险操作的UI警示不充分
CWE-359 侵犯隐私
CWE-360 信任系统事件数据
CWE-363 允许符号链接跟随的竞争条件
CWE-365 Switch语句中的竞争条件
CWE-367 检查时间与使用时间(TOCTOU)的竞争条件
CWE-369 除零错误
CWE-370 在初始检查后缺失对证书撤销的验证
CWE-375 返回不可变的对象给非可信调用者
CWE-378 创建拥有不安全权限的临时文件
CWE-38 路径遍历:'absolutepathnamehere'
CWE-383 J2EE不安全实践:直接使用线程
CWE-385 隐蔽时间通道
CWE-39 路径遍历:'C:dirname'
CWE-391 未经检查的错误条件
CWE-393 返回错误的状态编码
CWE-395 使用NullPointerException捕捉来检测空指针解引用
CWE-397 对通用异常声明Throws语句
CWE-400 未加控制的资源消耗(资源穷尽)
CWE-402 将私有的资源传输到一个新的空间(资源泄露)
CWE-404 不恰当的资源关闭或释放
CWE-406 对网络消息容量的控制不充分(网络放大攻击)
CWE-408 不正确的行为次序:早期放大攻击
CWE-41 对路径等价的解析不恰当
CWE-412 未加限制的外部可访问锁
CWE-414 加锁检查缺失
CWE-416 释放后使用
CWE-42 路径等价:'filename.' (尾部点号)
CWE-762 不匹配的内存管理例程
CWE-764 关键资源的多重加锁
CWE-766 关键变量被公开声明
CWE-768 不正确的快捷方式验证
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
CWE-771 对活跃已分配资源丧失索引
CWE-773 对活跃文件描述符或句柄丧失索引
CWE-775 缺失文件描述符或句柄在有效生命周期之后的释放处理
CWE-777 没有下界集合的正则表达式
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
CWE-781 在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当
CWE-783 操作符优先级逻辑错误
CWE-785 路径操作函数中使用未进行大小限定的缓冲区
CWE-787 跨界内存写
CWE-789 未经控制的内存分配
CWE-790 特殊元素过滤不恰当
CWE-792 对一个或多个特殊元素实例的过滤不完全
CWE-794 对特殊元素的多个实例的过滤不完全
CWE-796 仅过滤与一个标记相关的特殊元素
CWE-8 J2EE误配置:实体Bean远程声明
CWE-804 可猜测的验证码
CWE-806 使用源缓冲区的大小访问缓冲区
CWE-81 错误消息Web页面中脚本转义处理不恰当
CWE-83 Web页面属性中脚本转义处理不恰当
CWE-841 行为工作流的不恰当实施
CWE-843 使用不兼容类型访问资源(类型混淆)
CWE-425 直接请求(强制性浏览)
CWE-427 对搜索路径元素未加控制
CWE-43 路径等价:'filename....' (多个尾部的点号)
CWE-431 句柄缺失
CWE-433 未加解析的原始Web内容分发
CWE-435 交互错误
CWE-437 端点特性的不完整模型
CWE-44 路径等价:'file.name' (内部点号)
CWE-444 HTTP请求的解释不一致性(HTTP请求私运)
CWE-447 在UI中的未实现或未支持特性
CWE-449 UI执行错误动作
CWE-450 UI输入的多重解释
CWE-453 不安全的缺省变量初始化
CWE-455 初始化失效后的不存在变量
CWE-457 使用未经初始化的变量
CWE-459 清理环节不完整
CWE-460 抛出异常的清理不恰当
CWE-463 对数据结构哨兵域的删除
CWE-466 在预期范围外返回指针值
CWE-468 不正确的指针放大
CWE-47 路径等价:'filename'(开头空格)
CWE-471 对假设不可变数据的修改(MAID)
CWE-473 PHP参数外部修改
CWE-475 从输入到API的未定义行为
CWE-477 对废弃函数的使用
CWE-479 信号处理例程中使用不可再入的函数
CWE-480 使用操作符不正确
CWE-482 错误将赋值符号写成比较符号
CWE-484 在Switch语句中省略Break语句
CWE-487 依赖包一级的范围
CWE-489 遗留的调试代码
CWE-491 公开的可克隆方法(对象劫持)
CWE-493 缺少Final Modifier的关键公开变量
CWE-495 从公开方法中返回私有的数组类型数据域
CWE-497 将系统数据暴露到未授权控制的范围
CWE-499 可序列化的类中包含敏感信息
CWE-50 路径等价:'//multiple/leading/slash'
CWE-506 内嵌的恶意代码
CWE-508 非传播性的恶意代码
CWE-51 路径等价:'/multiple//internal/slash'
CWE-511 逻辑/时间炸弹
CWE-514 隐蔽通道
CWE-520 .NET误配置:使用伪装
CWE-522 不充分的凭证保护机制
CWE-524 通过缓存导致的信息暴露
CWE-526 通过环境变量导致的信息暴露
CWE-53 路径等价:'multipleinternalbackslash'
CWE-535 通过Shell错误消息导致的信息暴露
CWE-537 通过Java运行时错误消息导致的信息暴露
CWE-539 通过持久性Cookie导致的信息暴露
CWE-540 通过源代码导致的信息暴露
CWE-546 可疑注释
CWE-548 通过目录枚举导致的信息暴露
CWE-55 路径等价:'/./' (单点路径)
CWE-551 不正确的行为次序:在解析与净化处理之前进行授权
CWE-553 外部可访问目录中的命令行Shell
CWE-555 J2EE误配置:在配置文件中明文存储口令
CWE-558 在多线程应用程序中使用getlogin()
CWE-560 在chmod类型参数中使用umask()
CWE-562 返回栈上的变量地址
CWE-564 SQL注入:Hibernate
CWE-566 通过用户控制SQL主密钥绕过授权机制
CWE-568 没有super.finalize()的finalize()方法
CWE-570 表达式永假
CWE-86 Web页面标识中非法字符转义处理不恰当
CWE-863 授权机制不正确
CWE-88 参数注入或修改
CWE-9 J2EE误配置:EJB方法弱访问权限
CWE-908 对未经初始化资源的使用
CWE-91 XML注入(XPath盲注)
CWE-911 引用计数的更新不恰当
CWE-913 动态管理代码资源的控制不恰当
CWE-915 动态确定对象属性修改的控制不恰当
CWE-917 表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入)
CWE-939 自定义URL方案处理程序中的授权不正确
CWE-941 通信信道中错误指定的目的地
CWE-572 调用线程的run()方法而非start()方法
CWE-574 EJB不安全实践:使用同步原语
CWE-576 EJB不安全实践:使用Java I/O
CWE-578 EJB不安全实践:使用类加载器
CWE-58 路径等价:Windows8.3形式文件名
CWE-581 对象模型违背:仅定义了一个等式与散列码
CWE-583 公开声明的finalize()方法
CWE-585 空的同步代码块
CWE-587 将一个固定地址复制给指针
CWE-589 对非普适API的调用
CWE-590 释放并不在堆上的内存
CWE-594 J2EE框架:将不可序列化的对象存储到磁盘上
CWE-598 通过GET请求中的查询字符串导致的信息暴露
CWE-6 J2EE误配置:会话ID长度不充分
CWE-601 指向未可信站点的URL重定向(开放重定向)
CWE-603 使用客户端的认证机制
CWE-606 循环条件输入未经检查
CWE-608 Structs:动作表单类中存在非私有域
CWE-61 UNIX符号链接跟随
CWE-611 XML外部实体引用的不恰当限制(XXE)
CWE-613 不充分的会话过期机制
CWE-615 通过注释导致的信息暴露
CWE-617 可达断言
CWE-619 数据库游标悬挂(游标注入)
CWE-620 未经验证的口令修改
CWE-622 函数挂钩参数的验证不恰当
CWE-624 可执行体正则表达式错误
CWE-626 空字节交互错误
CWE-628 使用不正确指定参数的函数调用
CWE-637 保护机制不必要的复杂性(未使用经济性的机制)
CWE-640 忘记口令恢复机制弱
CWE-642 对关键状态数据的外部可控制
CWE-644 对HTTP头部进行脚本语法转义处理不恰当
CWE-646 依赖于外部提供文件的文件名或扩展名
CWE-648 特权API的不正确使用
CWE-65 Windows硬链接
CWE-651 通过WSDL文件导致的信息暴露
CWE-653 不充分的划分
CWE-655 不充分的心理学可接受性
CWE-657 违背安全设计原则
CWE-662 不恰当的同步机制
CWE-664 在生命周期中对资源的控制不恰当
CWE-666 在生命周期错误阶段对资源进行操作
CWE-668 将资源暴露给错误范围
CWE-67 Windows设备名处理不恰当
CWE-671 缺乏对安全的管理控制
CWE-673 范围定义的外部影响
CWE-675 对资源的重复操作
CWE-682 数值计算不正确
CWE-684 特定函数功能的不正确供给
CWE-686 使用不正确参数类型的函数调用
CWE-688 使用不正确变量或索引作为参数的函数调用
CWE-69 Windows::DATA交换数据流处理不恰当
CWE-691 不充分的控制流管理
CWE-693 保护机制失效
CWE-695 使用底层的功能例程
CWE-697 不充分的比较
CWE-7 J2EE误配置:缺少定制错误页面
CWE-704 不正确的类型转换
CWE-706 使用不正确的解析名称或索引
CWE-708 不正确的属主授予
CWE-710 编程规范违背
CWE-73 文件名或路径的外部可控制
CWE-749 暴露危险的方法或函数
CWE-754 对因果或异常条件的不恰当检查
CWE-76 等价特殊元素的转义处理不恰当
CWE-761 释放一个不在缓冲区起始位置的指针
CWE-763 对无效指针或索引的释放
CWE-765 关键资源的多重解锁
CWE-767 通过公开方法可访问到关键的私有数据
CWE-770 不加限制或调节的资源分配
CWE-772 对已超过有效生命周期的资源丧失索引
CWE-774 不加限制或调节进行文件描述符或句柄的分配
CWE-776 DTD中递归实体索引的不恰当限制(XML实体扩展)
CWE-780 未配合OAEP使用RSA算法
CWE-782 无充分访问控制条件下暴露IOCTL
CWE-784 在安全决策中依赖未经验证和完整性检查的Cookie
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
CWE-791 特殊元素过滤不完全
CWE-793 仅过滤一个特殊元素的单一实例
CWE-795 仅在一个特定位置过滤特殊元素
CWE-797 仅在一个绝对路径位置过滤特殊元素
CWE-799 交互频率的控制不恰当
CWE-80 Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本)
CWE-805 使用不正确的长度值访问缓冲区
CWE-807 在安全决策中依赖未经信任的输入
CWE-82 Web页面IMG标签属性中脚本转义处理不恰当
CWE-827 文档类型定义的不恰当控制
CWE-829 从非可信控制范围包含功能例程
CWE-830 从非可信源包含Web功能例程
CWE-836 在认证机制中使用口令哈希代替口令
CWE-84 Web页面编码URIScheme转义处理不恰当
CWE-842 将用户置入不正确的用户组
CWE-85 双字符XSS操纵
CWE-862 授权机制缺失
CWE-87 替代XSS语法转义处理不恰当
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
CWE-90 LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入)
CWE-909 资源初始化缺失
CWE-910 使用过期的文件描述符
CWE-912 隐藏功能
CWE-914 动态识别变量的控制不恰当
CWE-918 服务端请求伪造(SSRF)
CWE-922 敏感信息的不安全存储
CWE-93 对CRLF序列的转义处理不恰当(CRLF注入)
CWE-940 通信信道源的不正确验证
CWE-943 数据查询逻辑中特殊元素的不当中和

Filter

/Weakness_Catalog/Weaknesses/Weakness[./Modes_Of_Introduction/Introduction/Phase='Implementation']

文章来源于互联网:scap中文网

相关推荐: View-844: Weaknesses Addressed by The CERT Oracle Secure Coding Standard for Java (2011)

View-844: Weaknesses Addressed by The CERT Oracle Secure Coding Standard for Java (2011) ID: 844 Type: Graph Status: Obsolete Obje…

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月14日11:42:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  View-702: Weaknesses Introduced During Implementation https://cn-sec.com/archives/612535.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: