VULHUB
™
首页
漏洞
ATT&CK
CWE
视图
自定义
留言
关于
登录
首页
漏洞
ATT&CK
CWE
视图
自定义
留言
关于
研究者视图
开发者视图
架构视图
全部
Research Concepts
该视图旨在促进对弱点的研究,包括它们之间的相互依赖性,并可用来系统地找出CWE内部的理论差距。它对弱点进行了分类,在很大程度上忽略了如何检测它们,它们出现在代码中的什么地方,以及它们何时被引入软件开发生命周期。相反,它主要是根据软件行为的抽象来组织的。
CWE-682:数值计算不正确
CWE-118:对可索引资源的访问不恰当(越界错误)
CWE-330:使用不充分的随机数
CWE-435:交互错误
CWE-664:在生命周期中对资源的控制不恰当
CWE-691:不充分的控制流管理
CWE-693:保护机制失效
CWE-697:不充分的比较
CWE-703:对异常条件检查或处理不恰当
CWE-707:对消息或数据结构的处理不恰当
CWE-710:编程规范违背
Development Concepts
该视图围绕软件开发中经常使用或遇到的概念组织弱点。因此,该视图可以与开发人员、教育工作者和评估供应商的观点紧密一致。它提供了多种类别,旨在简化导航、浏览和映射。
CWE-16:配置
CWE-19:数据处理错误
CWE-21:路径名遍历和等值错误
CWE-189:数值错误
CWE-254:7PK-安全功能
CWE-361:7PK-时间和状态
CWE-389:错误条件、返回值、状态代码
CWE-399:资源管理错误
CWE-417:通道和路径错误
CWE-429:处理程序错误
CWE-438:行为问题
CWE-840:业务逻辑错误
CWE-442:网络问题
CWE-355:用户界面安全问题
CWE-452:初始化和清除错误
CWE-465:指针问题
CWE-490:移动代码问题
CWE-559:常见误用:形参和实参
CWE-569:表达问题
CWE-657:违背安全设计原则
CWE-1006:错误的编码做法
Architectural Concepts
该视图根据常见的架构安全策略组织弱点。它旨在帮助架构师识别设计软件时可能出现的潜在错误。
CWE-1009:审计
CWE-1010:验证参与者
CWE-1011:授权参与者
CWE-1012:交叉切割
CWE-1013:加密数据
CWE-1014:识别参与者
CWE-1015:限制访问
CWE-1016:限制暴露
CWE-1017:锁定计算机
CWE-1018:管理用户会话
CWE-1019:输入验证
CWE-1020:验证消息完整性
CWE-516: 废弃(重复):隐蔽时间通道
CWE-520: .NET误配置:使用伪装
CWE-522: 不充分的凭证保护机制
CWE-524: 通过缓存导致的信息暴露
CWE-526: 通过环境变量导致的信息暴露
CWE-528: 将CoreDump文件暴露给非授权控制范围
CWE-53: 路径等价:'\multiple\\internal\backslash'
CWE-531: 通过测试代码导致的信息暴露
CWE-533: 通过服务器日志文件导致的信息暴露
CWE-535: 通过Shell错误消息导致的信息暴露
CWE-537: 通过Java运行时错误消息导致的信息暴露
CWE-539: 通过持久性Cookie导致的信息暴露
CWE-540: 通过源代码导致的信息暴露
CWE-542: 通过清理日志文件导致的信息暴露
CWE-544: 标准化错误处理机制缺失
CWE-546: 可疑注释
CWE-548: 通过目录枚举导致的信息暴露
CWE-55: 路径等价:'/./' (单点路径)
CWE-551: 不正确的行为次序:在解析与净化处理之前进行授权
CWE-553: 外部可访问目录中的命令行Shell
CWE-555: J2EE误配置:在配置文件中明文存储口令
CWE-558: 在多线程应用程序中使用getlogin()
CWE-560: 在chmod类型参数中使用umask()
CWE-562: 返回栈上的变量地址
CWE-564: SQL注入:Hibernate
CWE-566: 通过用户控制SQL主密钥绕过授权机制
CWE-568: 没有super.finalize()的finalize()方法
CWE-570: 表达式永假
CWE-86: Web页面标识中非法字符转义处理不恰当
CWE-863: 授权机制不正确
1
2
…
25
26
27
28
29
30
31
32
…
39
40
[共 1189 条]