Category-1019: 输入验证

ID: 1019 Status: Draft

Summary

Weaknesses in this category are related to the design and architecture of a system's input validation components. Frequently these deal with sanitizing, neutralizing and validating any externally provided inputs to minimize malformed data from entering the system and preventing code injection in the input data. The weaknesses in this category could lead to a degradation of the quality of data flow in a system if they are not addressed when designing or implementing a secure architecture.

Membership

ID	NAME
CWE-138	对特殊元素的转义处理不恰当
CWE-150	转义、元或控制序列转义处理不恰当
CWE-20	输入验证不恰当
CWE-349	在可信数据中接受外来的不可信数据
CWE-352	跨站请求伪造（CSRF）
CWE-472	对假设不可变Web参数的外部可控制
CWE-473	PHP参数外部修改
CWE-502	可信数据的反序列化
CWE-59	在文件访问前对链接解析不恰当（链接跟随）
CWE-601	指向未可信站点的URL重定向（开放重定向）
CWE-641	文件和其他资源名称限制不恰当
CWE-643	XPath表达式中数据转义处理不恰当（XPath注入）
CWE-652	XQuery表达式中数据转义处理不恰当（XQuery注入）
CWE-74	输出中的特殊元素转义处理不恰当（注入）
CWE-75	特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入）
CWE-76	等价特殊元素的转义处理不恰当
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-790	特殊元素过滤不恰当
CWE-791	特殊元素过滤不完全
CWE-792	对一个或多个特殊元素实例的过滤不完全
CWE-793	仅过滤一个特殊元素的单一实例
CWE-794	对特殊元素的多个实例的过滤不完全
CWE-795	仅在一个特定位置过滤特殊元素
CWE-796	仅过滤与一个标记相关的特殊元素
CWE-797	仅在一个绝对路径位置过滤特殊元素
CWE-88	参数注入或修改
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）
CWE-90	LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）
CWE-91	XML注入（XPath盲注）
CWE-93	对CRLF序列的转义处理不恰当（CRLF注入）
CWE-94	对生成代码的控制不恰当（代码注入）
CWE-943	数据查询逻辑中特殊元素的不当中和
CWE-95	动态执行代码中指令转义处理不恰当（Eval注入）
CWE-96	静态存储代码中指令转义处理不恰当（静态代码注入）
CWE-97	Web页面中服务端引用（SSI）转义处理不恰当
CWE-98	PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含)
CWE-99	对资源描述符的控制不恰当（资源注入）

References

REF-9 A Catalog of Security Architecture Weaknesses. REF-10 Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird.