Category-1019: 输入验证

ID: 1019 Status: Draft


Weaknesses in this category are related to the design and architecture of a system's input validation components. Frequently these deal with sanitizing, neutralizing and validating any externally provided inputs to minimize malformed data from entering the system and preventing code injection in the input data. The weaknesses in this category could lead to a degradation of the quality of data flow in a system if they are not addressed when designing or implementing a secure architecture.


CWE-138 对特殊元素的转义处理不恰当
CWE-150 转义、元或控制序列转义处理不恰当
CWE-20 输入验证不恰当
CWE-349 在可信数据中接受外来的不可信数据
CWE-352 跨站请求伪造(CSRF)
CWE-472 对假设不可变Web参数的外部可控制
CWE-473 PHP参数外部修改
CWE-502 可信数据的反序列化
CWE-59 在文件访问前对链接解析不恰当(链接跟随)
CWE-601 指向未可信站点的URL重定向(开放重定向)
CWE-641 文件和其他资源名称限制不恰当
CWE-643 XPath表达式中数据转义处理不恰当(XPath注入)
CWE-652 XQuery表达式中数据转义处理不恰当(XQuery注入)
CWE-74 输出中的特殊元素转义处理不恰当(注入)
CWE-75 特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入)
CWE-76 等价特殊元素的转义处理不恰当
CWE-77 在命令中使用的特殊元素转义处理不恰当(命令注入)
CWE-78 OS命令中使用的特殊元素转义处理不恰当(OS命令注入)
CWE-79 在Web页面生成时对输入的转义处理不恰当(跨站脚本)
CWE-790 特殊元素过滤不恰当
CWE-791 特殊元素过滤不完全
CWE-792 对一个或多个特殊元素实例的过滤不完全
CWE-793 仅过滤一个特殊元素的单一实例
CWE-794 对特殊元素的多个实例的过滤不完全
CWE-795 仅在一个特定位置过滤特殊元素
CWE-796 仅过滤与一个标记相关的特殊元素
CWE-797 仅在一个绝对路径位置过滤特殊元素
CWE-88 参数注入或修改
CWE-89 SQL命令中使用的特殊元素转义处理不恰当(SQL注入)
CWE-90 LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入)
CWE-91 XML注入(XPath盲注)
CWE-93 对CRLF序列的转义处理不恰当(CRLF注入)
CWE-94 对生成代码的控制不恰当(代码注入)
CWE-943 数据查询逻辑中特殊元素的不当中和
CWE-95 动态执行代码中指令转义处理不恰当(Eval注入)
CWE-96 静态存储代码中指令转义处理不恰当(静态代码注入)
CWE-97 Web页面中服务端引用(SSI)转义处理不恰当
CWE-98 PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99 对资源描述符的控制不恰当(资源注入)


REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.