Category-1011: 授权参与者

ID: 1011 Status: Draft

Summary

Weaknesses in this category are related to the design and architecture of a system's authorization components. Frequently these deal with enforcing that agents have the required permissions before performing certain operations, such as modifying data. The weaknesses in this category could lead to a degredation of quality of the authorization capability if they are not addressed when designing or implementing a secure architecture.

Membership

ID	NAME
CWE-114	流程控制
CWE-15	系统设置或配置在外部可控制
CWE-219	Web根目录下的敏感数据
CWE-220	FTP根目录下的敏感数据
CWE-266	特权授予不正确
CWE-267	特权定义了不安全动作
CWE-268	特权链锁
CWE-269	特权管理不恰当
CWE-270	特权上下文切换错误
CWE-271	特权放弃/降低错误
CWE-272	最小特权原则违背
CWE-273	对于放弃特权的检查不恰当
CWE-274	不充分特权处理不恰当
CWE-276	缺省权限不正确
CWE-277	不安全的继承权限
CWE-279	不安全的运行时授予权限
CWE-280	不充分权限或特权的处理不恰当
CWE-281	权限预留不恰当
CWE-282	属主管理不恰当
CWE-283	未经验证的属主
CWE-284	访问控制不恰当
CWE-285	授权机制不恰当
CWE-286	用户管理不正确
CWE-300	通道可被非端点访问（中间人攻击）
CWE-341	从可观察状态的可预测
CWE-359	侵犯隐私
CWE-403	将文件描述符暴露给不受控制的范围（文件描述符泄露）
CWE-419	未保护的主要通道
CWE-420	未保护的候选通道
CWE-425	直接请求（强制性浏览）
CWE-426	不可信的搜索路径
CWE-434	危险类型文件的不加限制上传
CWE-527	将CVS仓库暴露给非授权控制范围
CWE-528	将CoreDump文件暴露给非授权控制范围
CWE-529	将访问控制列表文件暴露给非授权控制范围
CWE-530	将备份文件暴露给非授权控制范围
CWE-538	文件和路径信息暴露
CWE-551	不正确的行为次序：在解析与净化处理之前进行授权
CWE-552	对外部实体的文件或目录可访问
CWE-566	通过用户控制SQL主密钥绕过授权机制
CWE-639	通过用户控制密钥绕过授权机制
CWE-642	对关键状态数据的外部可控制
CWE-647	使用未经净化的URL路径进行授权决策
CWE-653	不充分的划分
CWE-656	依赖构建于封闭的安全性
CWE-668	将资源暴露给错误范围
CWE-669	在范围间的资源转移不正确
CWE-671	缺乏对安全的管理控制
CWE-673	范围定义的外部影响
CWE-708	不正确的属主授予
CWE-732	关键资源的不正确权限授予
CWE-770	不加限制或调节的资源分配
CWE-782	无充分访问控制条件下暴露IOCTL
CWE-827	文档类型定义的不恰当控制
CWE-862	授权机制缺失
CWE-863	授权机制不正确
CWE-921	在没有访问控制机制中存储敏感数据
CWE-923	通信信道对预期端点的不适当限制
CWE-939	自定义URL方案处理程序中的授权不正确
CWE-942	过度许可的跨域白名单

References

REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.