View-660: Weaknesses in Software Written in Java

ID: 660

Type: Implicit

Status: Draft

Objective

This view (slice) covers issues that are found in Java programs that are not common to all languages.

Membership

CWE-ID	title
CWE-95	动态执行代码中指令转义处理不恰当（Eval注入）
CWE-102	Structs：重复验证表单
CWE-104	Structs：表单Bean未扩展验证类
CWE-105	Structs：缺少验证的表单域
CWE-107	Structs：未使用的验证表单
CWE-109	Structs：验证器关闭
CWE-191	整数下溢（超界折返）
CWE-197	数值截断错误
CWE-245	J2EE不安全实践：对连接的直接管理
CWE-103	Structs：不完整的validate()方法定义
CWE-106	Structs：插件框架未在使用
CWE-108	Structs：未经验证的动作表单
CWE-110	Structs：无表单域的验证器
CWE-111	对不安全JNI的直接使用
CWE-362	使用共享资源的并发执行不恰当同步问题（竞争条件）
CWE-366	单线程内的竞争条件
CWE-374	传递不可变的对象给非可信方法
CWE-382	J2EE不安全实践：使用System.exit()
CWE-396	对通用异常声明Catch语句
CWE-462	在关联列表中具有重复Key
CWE-470	使用外部可控制的输入来选择类或代码（不安全的反射）
CWE-476	空指针解引用
CWE-478	在Switch语句中缺失缺省条件
CWE-192	整数强制转换错误
CWE-481	错误将比较符号写成赋值符号
CWE-486	使用名称来比较对象
CWE-492	使用包含敏感数据的内部对象
CWE-496	公开数据赋值给私有的数组类型数据域
CWE-498	包含敏感信息的可克隆类
CWE-5	J2EE误配置：未经加密的数据传输
CWE-500	公开静态字段没有标记为Final
CWE-502	可信数据的反序列化
CWE-246	J2EE不安全实践：对套接字的直接使用
CWE-248	未捕获的异常
CWE-543	在多线程上下文中使用缺失同步机制的Singleton设计模式
CWE-567	在多现场上下文中未能对共享数据进行同步访问
CWE-575	EJB不安全实践：使用AWT Swing
CWE-577	EJB不安全实践：使用套接字
CWE-579	J2EE不安全实践：将不可序列化的对象存储在会话中
CWE-580	未定义super.clone()的clone()方法
CWE-582	公开、最终、静态声明的数组
CWE-586	对Finalize()的显式调用
CWE-595	错误对对象引用当作对象内容进行比较
CWE-607	公开静态最终域索引互斥的对象
CWE-609	双重检查的加锁机制
CWE-365	Switch语句中的竞争条件
CWE-375	返回不可变的对象给非可信调用者
CWE-383	J2EE不安全实践：直接使用线程
CWE-395	使用NullPointerException捕捉来检测空指针解引用
CWE-397	对通用异常声明Throws语句
CWE-766	关键变量被公开声明
CWE-460	抛出异常的清理不恰当
CWE-484	在Switch语句中省略Break语句
CWE-487	依赖包一级的范围
CWE-491	公开的可克隆方法（对象劫持）
CWE-493	缺少Final Modifier的关键公开变量
CWE-495	从公开方法中返回私有的数组类型数据域
CWE-499	可序列化的类中包含敏感信息
CWE-537	通过Java运行时错误消息导致的信息暴露
CWE-568	没有super.finalize()的finalize()方法
CWE-917	表达式语言语句中使用的特殊元素转义处理不恰当（表达式语言注入）
CWE-572	调用线程的run()方法而非start()方法
CWE-574	EJB不安全实践：使用同步原语
CWE-576	EJB不安全实践：使用Java I/O
CWE-578	EJB不安全实践：使用类加载器
CWE-581	对象模型违背：仅定义了一个等式与散列码
CWE-583	公开声明的finalize()方法
CWE-585	空的同步代码块
CWE-594	J2EE框架：将不可序列化的对象存储到磁盘上
CWE-6	J2EE误配置：会话ID长度不充分
CWE-608	Structs：动作表单类中存在非私有域
CWE-7	J2EE误配置：缺少定制错误页面
CWE-767	通过公开方法可访问到关键的私有数据

Filter

/Weakness_Catalog/Weaknesses/Weakness[./Applicable_Platforms/Language/@Name='Java']

文章来源于互联网:scap中文网

相关推荐: View-699: Development Concepts

View-699: Development Concepts ID: 699 Type: Graph Status: Incomplete Objective This view organizes weaknesses around concepts tha…