| CWE-94 |
对生成代码的控制不恰当(代码注入) |
| CWE-942 |
过度许可的跨域白名单 |
| CWE-95 |
动态执行代码中指令转义处理不恰当(Eval注入) |
| CWE-96 |
静态存储代码中指令转义处理不恰当(静态代码注入) |
| CWE-97 |
Web页面中服务端引用(SSI)转义处理不恰当 |
| CWE-98 |
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含) |
| CWE-99 |
对资源描述符的控制不恰当(资源注入) |
| CWE-1004 |
没有'HttpOnly'标志的敏感Cookie |
| CWE-1044 |
体系架构的水平层数超出预期范围 |
| CWE-1068 |
软件实现和设计文档不一致 |
| CWE-115 |
输入的错误解释 |
| CWE-1174 |
ASP.NET错误配置:模型验证不正确 |
| CWE-121 |
栈缓冲区溢出 |
| CWE-130 |
长度参数不一致性处理不恰当 |
| CWE-188 |
依赖数据/内存布局 |
| CWE-20 |
输入验证不恰当 |
| CWE-203 |
通过差异性导致的信息暴露 |
| CWE-205 |
通过行为差异性导致的信息暴露 |
| CWE-207 |
通过外部行为不一致性导致的信息暴露 |
| CWE-209 |
通过错误消息导致的信息暴露 |
| CWE-211 |
通过外部产生的错误消息导致的信息暴露 |
| CWE-213 |
故意性的信息暴露 |
| CWE-215 |
通过Debug信息导致的信息暴露 |
| CWE-220 |
FTP根目录下的敏感数据 |
| CWE-222 |
安全相关信息的截断 |
| CWE-224 |
通过候选名称导致的安全相关信息混淆 |
| CWE-226 |
在释放前未清除敏感信息 |
| CWE-229 |
值处理不恰当 |
| CWE-232 |
未定义值处理不恰当 |
| CWE-234 |
未对缺失参数进行处理 |
| CWE-236 |
对未定义参数处理不恰当 |
| CWE-238 |
对不完整结构体元素处理不恰当 |
| CWE-24 |
路径遍历:'../filedir' |
| CWE-241 |
非预期数据类型处理不恰当 |
| CWE-245 |
J2EE不安全实践:对连接的直接管理 |
| CWE-250 |
带着不必要的权限执行 |
| CWE-257 |
以可恢复格式存储口令 |
| CWE-259 |
使用硬编码的口令 |
| CWE-260 |
配置文件中存储口令 |
| CWE-262 |
未使用口令老化机制 |
| CWE-266 |
特权授予不正确 |
| CWE-268 |
特权链锁 |
| CWE-271 |
特权放弃/降低错误 |
| CWE-273 |
对于放弃特权的检查不恰当 |
| CWE-276 |
缺省权限不正确 |
| CWE-278 |
不安全的预留继承权限 |
| CWE-281 |
权限预留不恰当 |
| CWE-283 |
未经验证的属主 |
| CWE-285 |
授权机制不恰当 |
| CWE-287 |
认证机制不恰当 |
| CWE-289 |
使用候选名称进行的认证绕过 |
| CWE-290 |
使用欺骗进行的认证绕过 |
| CWE-294 |
使用捕获-重放进行的认证绕过 |
| CWE-296 |
证书信任链回溯不恰当 |
| CWE-298 |
证书过期验证不恰当 |
| CWE-301 |
认证协议中的反射攻击 |
| CWE-305 |
使用基本弱点进行的认证绕过 |
| CWE-307 |
过多认证尝试的限制不恰当 |
| CWE-309 |
使用口令系统作为基本认证机制 |
| CWE-311 |
敏感数据加密缺失 |
| CWE-313 |
在文件或磁盘上的明文存储 |
| CWE-315 |
在Cookie中的明文存储 |
| CWE-317 |
在GUI中的明文存储 |
| CWE-319 |
敏感数据的明文传输 |
| CWE-321 |
使用硬编码的密码学密钥 |
| CWE-323 |
在加密中重用Nonce与密钥对 |
| CWE-325 |
缺少必要的密码学步骤 |
| CWE-326 |
不充分的加密强度 |
| CWE-328 |
可逆的单向哈希 |
| CWE-1007 |
屏幕显示出的不同编码的同形字母不易区分 |
| CWE-1022 |
使用windows.opener访问指向不可信目标的web链接 |
| CWE-1037 |
处理器优化致使安全关键代码被删除或修改 |
| CWE-1038 |
不安全的自动优化 |
| CWE-1039 |
自动识别机制在检测或处理对抗性输入扰动时能力不足 |
| CWE-116 |
对输出编码和转义不恰当 |
| CWE-331 |
信息熵不充分 |
| CWE-333 |
TRNG不充分信息熵的处理不恰当 |
| CWE-335 |
PRNG种子错误 |
| CWE-337 |
PRNG中使用可预测种子 |
| CWE-339 |
PRNG中的种子空间太小 |
| CWE-340 |
可预测问题 |
| CWE-342 |
从先前值可预测准确值 |
| CWE-344 |
在动态变化上下文中使用不变值 |
| CWE-346 |
源验证错误 |
| CWE-348 |
使用不可信的源 |
| CWE-353 |
缺失完整性检查支持 |
| CWE-356 |
产品UI接口未警示用户不安全动作 |
| CWE-358 |
不恰当实现的标准安全检查 |
| CWE-36 |
绝对路径遍历 |
| CWE-362 |
使用共享资源的并发执行不恰当同步问题(竞争条件) |
| CWE-364 |
信号处理例程中的竞争条件 |
| CWE-366 |
单线程内的竞争条件 |
| CWE-368 |
上下文切换时的竞争条件 |
| CWE-372 |
不完整的内部状态区分 |
| CWE-377 |
不安全的临时文件 |
| CWE-1173 |
验证框架使用不当 |
| CWE-1176 |
低效的CPU计算 |
| CWE-1177 |
使用被禁止的代码 |
| CWE-118 |
对可索引资源的访问不恰当(越界错误) |
| CWE-119 |
内存缓冲区边界内操作的限制不恰当 |
| CWE-122 |
堆缓冲区溢出 |
| CWE-124 |
缓冲区下溢 |
| CWE-13 |
ASP.NET误配置:配置文件中存储口令 |
| CWE-379 |
在具有不安全权限的目录中创建临时文件 |
| CWE-384 |
会话固定 |
| CWE-386 |
符号名称未能映射到正确对象 |
| CWE-390 |
未有动作错误条件的检测 |
| CWE-392 |
错误条件报告缺失 |
| CWE-394 |
未预期的状态编码或返回值 |
| CWE-396 |
对通用异常声明Catch语句 |
| CWE-401 |
在移除最后引用时对内存的释放不恰当(内存泄露) |
| CWE-403 |
将文件描述符暴露给不受控制的范围(文件描述符泄露) |
| CWE-405 |
不对称的资源消耗(放大攻击) |
| CWE-407 |
算法复杂性 |
| CWE-409 |
对高度压缩数据的处理不恰当(数据放大攻击) |
| CWE-410 |
不充分的资源池 |
| CWE-413 |
资源加锁不恰当 |
| CWE-415 |
双重释放 |
| CWE-419 |
未保护的主要通道 |
| CWE-420 |
未保护的候选通道 |
| CWE-422 |
未保护的Windows消息通道(Shatter) |
| CWE-424 |
对候选路径的不恰当保护 |
| CWE-426 |
不可信的搜索路径 |
| CWE-432 |
在敏感操作时危险信号处理例程未被禁用 |
| CWE-184 |
不完整的黑名单 |
| CWE-434 |
危险类型文件的不加限制上传 |
| CWE-436 |
解释冲突 |
| CWE-439 |
新版本或环境中的行为变化 |
| CWE-440 |
预期行为违背 |
| CWE-446 |
安全特性的UI矛盾 |
| CWE-451 |
关键信息的UI错误表达 |
| CWE-454 |
可信任变量或数据存储的外部初始化 |
| CWE-462 |
在关联列表中具有重复Key |
| CWE-464 |
对数据结构哨兵域的增加 |
| CWE-470 |
使用外部可控制的输入来选择类或代码(不安全的反射) |
| CWE-474 |
使用具有不一致性实现的函数 |
| CWE-198 |
字节序使用不正确 |
| CWE-200 |
信息暴露 |
| CWE-202 |
通过数据查询的敏感数据暴露 |
| CWE-204 |
响应差异性信息暴露 |
| CWE-206 |
通过行为不一致性导致的内部状态信息暴露 |
| CWE-208 |
通过时间差异性导致的信息暴露 |
| CWE-210 |
通过自主产生的错误消息导致的信息暴露 |
| CWE-212 |
敏感数据的不恰当跨边界移除 |
| CWE-214 |
通过处理环境导致的信息暴露 |
| CWE-216 |
容器错误 |
| CWE-22 |
对路径名的限制不恰当(路径遍历) |
| CWE-221 |
信息丢失或遗漏 |
| CWE-223 |
安全相关信息的遗漏 |
| CWE-228 |
语法无效结构处理不恰当 |
| CWE-494 |
下载代码缺少完整性检查 |
| CWE-502 |
可信数据的反序列化 |
| CWE-510 |
后门 |
| CWE-512 |
间谍软件 |
| CWE-521 |
弱口令要求 |
| CWE-523 |
凭证传输未经安全保护 |
| CWE-233 |
参数问题 |
| CWE-239 |
未能处理不完整的元素 |
| CWE-240 |
对不一致结构体元素处理不恰当 |
| CWE-246 |
J2EE不安全实践:对套接字的直接使用 |
| CWE-256 |
明文存储口令 |
| CWE-258 |
配置文件中缺省空口令 |
| CWE-261 |
口令使用弱密码学算法 |
| CWE-263 |
口令老化拥有过长有效期 |
| CWE-267 |
特权定义了不安全动作 |
| CWE-269 |
特权管理不恰当 |
| CWE-270 |
特权上下文切换错误 |
| CWE-272 |
最小特权原则违背 |
| CWE-274 |
不充分特权处理不恰当 |
| CWE-532 |
通过日志文件的信息暴露 |
| CWE-554 |
ASP.NET误配置:没有使用输入验证框架 |
| CWE-565 |
在信任Cookie未进行验证与完整性检查 |
| CWE-567 |
在多现场上下文中未能对共享数据进行同步访问 |
| CWE-575 |
EJB不安全实践:使用AWT Swing |
| CWE-577 |
EJB不安全实践:使用套接字 |
| CWE-579 |
J2EE不安全实践:将不可序列化的对象存储在会话中 |
| CWE-588 |
尝试访问一个非结构体指针的子域 |
| CWE-593 |
认证绕过:SSL对象创建后修改OpenSSL CTX对象 |
| CWE-599 |
缺失对OpenSSL证书的验证 |
| CWE-602 |
服务端安全的客户端实施 |
| CWE-605 |
对同一端口的多重绑定 |
| CWE-610 |
资源在另一范围的外部可控制索引 |
| CWE-612 |
通过私有数据的索引导致的信息暴露 |
| CWE-618 |
暴露的不安全ActiveX方法 |
| CWE-623 |
不安全的ActiveX控件被标记为脚本安全 |
| CWE-636 |
未能安全地进行程序失效(Failing Open) |
| CWE-638 |
未能使用完整仲裁 |
| CWE-641 |
文件和其他资源名称限制不恰当 |
| CWE-645 |
过度限制的账户封锁机制 |
| CWE-647 |
使用未经净化的URL路径进行授权决策 |
| CWE-649 |
依赖于未经完整性检查的安全相关输入的混淆或加密 |
| CWE-650 |
在服务器端信任HTTP权限模型 |
| CWE-654 |
在安全决策中依赖单个元素 |
| CWE-656 |
依赖构建于封闭的安全性 |
| CWE-66 |
标识虚拟资源的文件名处理不恰当 |
| CWE-663 |
在并发上下文中使用不可再入的函数 |
| CWE-667 |
加锁机制不恰当 |
| CWE-277 |
不安全的继承权限 |
| CWE-279 |
不安全的运行时授予权限 |
| CWE-280 |
不充分权限或特权的处理不恰当 |
| CWE-282 |
属主管理不恰当 |
| CWE-284 |
访问控制不恰当 |
| CWE-286 |
用户管理不正确 |
| CWE-288 |
使用候选路径或通道进行的认证绕过 |
| CWE-291 |
信任自主报告的IP地址 |
| CWE-293 |
使用Refer域进行认证 |
| CWE-295 |
证书验证不恰当 |
| CWE-297 |
对宿主不匹配的证书验证不恰当 |
| CWE-299 |
证书撤销验证不恰当 |
| CWE-300 |
通道可被非端点访问(中间人攻击) |
| CWE-302 |
使用假设不可变数据进行的认证绕过 |
| CWE-304 |
认证中关键步骤缺失 |
| CWE-306 |
关键功能的认证机制缺失 |
| CWE-308 |
使用单一因素认证机制 |
| CWE-312 |
敏感数据的明文存储 |
| CWE-314 |
在注册表中的明文存储 |
| CWE-316 |
在内存中的明文存储 |
| CWE-318 |
在可执行体中的明文存储 |
| CWE-322 |
未进行实体认证的密钥交换 |
| CWE-324 |
使用已过期的密钥 |
| CWE-327 |
使用已被攻破或存在风险的密码学算法 |
| CWE-669 |
在范围间的资源转移不正确 |
| CWE-670 |
控制流实现总是不正确 |
| CWE-672 |
在过期或释放后对资源进行操作 |
| CWE-674 |
未经控制的递归 |
| CWE-676 |
潜在危险函数的使用 |
| CWE-694 |
使用多个具有重复标识的资源 |
| CWE-696 |
不正确的行为次序 |
| CWE-703 |
对异常条件检查或处理不恰当 |
| CWE-705 |
控制流范围控制不正确 |
| CWE-707 |
对消息或数据结构的处理不恰当 |
| CWE-72 |
Apple HFS+交换数据流路径处理不恰当 |
| CWE-732 |
关键资源的不正确权限授予 |
| CWE-74 |
输出中的特殊元素转义处理不恰当(注入) |
| CWE-75 |
特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入) |
| CWE-757 |
在会话协商时选择低安全性的算法(算法降级) |
| CWE-329 |
在CBC加密模式中未使用随机化IV向量 |
| CWE-330 |
使用不充分的随机数 |
| CWE-332 |
PRNG中信息熵不充分 |
| CWE-334 |
随机数的空间太小 |
| CWE-336 |
PRNG中使用相同种子 |
| CWE-338 |
使用具有密码学弱点缺陷的PRNG |
| CWE-341 |
从可观察状态的可预测 |
| CWE-343 |
从先前值可预测取值范围 |
| CWE-345 |
对数据真实性的验证不充分 |
| CWE-347 |
密码学签名的验证不恰当 |
| CWE-349 |
在可信数据中接受外来的不可信数据 |
| CWE-350 |
不恰当地信任反向DNS |
| CWE-352 |
跨站请求伪造(CSRF) |
| CWE-354 |
完整性检查值验证不恰当 |
| CWE-357 |
对危险操作的UI警示不充分 |
| CWE-359 |
侵犯隐私 |
| CWE-360 |
信任系统事件数据 |
| CWE-363 |
允许符号链接跟随的竞争条件 |
| CWE-370 |
在初始检查后缺失对证书撤销的验证 |
| CWE-378 |
创建拥有不安全权限的临时文件 |
| CWE-383 |
J2EE不安全实践:直接使用线程 |
| CWE-385 |
隐蔽时间通道 |
| CWE-391 |
未经检查的错误条件 |
| CWE-393 |
返回错误的状态编码 |
| CWE-397 |
对通用异常声明Throws语句 |
| CWE-400 |
未加控制的资源消耗(资源穷尽) |
| CWE-402 |
将私有的资源传输到一个新的空间(资源泄露) |
| CWE-404 |
不恰当的资源关闭或释放 |
| CWE-406 |
对网络消息容量的控制不充分(网络放大攻击) |
| CWE-408 |
不正确的行为次序:早期放大攻击 |
| CWE-412 |
未加限制的外部可访问锁 |
| CWE-414 |
加锁检查缺失 |
| CWE-416 |
释放后使用 |
| CWE-421 |
当访问候选通道时的竞争条件 |
| CWE-764 |
关键资源的多重加锁 |
| CWE-766 |
关键变量被公开声明 |
| CWE-77 |
在命令中使用的特殊元素转义处理不恰当(命令注入) |
| CWE-771 |
对活跃已分配资源丧失索引 |
| CWE-773 |
对活跃文件描述符或句柄丧失索引 |
| CWE-78 |
OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
| CWE-781 |
在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当 |
| CWE-789 |
未经控制的内存分配 |
| CWE-798 |
使用硬编码的凭证 |
| CWE-8 |
J2EE误配置:实体Bean远程声明 |
| CWE-804 |
可猜测的验证码 |
| CWE-425 |
直接请求(强制性浏览) |
| CWE-435 |
交互错误 |
| CWE-437 |
端点特性的不完整模型 |
| CWE-441 |
未有动机的代理或中间人(混淆代理) |
| CWE-444 |
HTTP请求的解释不一致性(HTTP请求私运) |
| CWE-447 |
在UI中的未实现或未支持特性 |
| CWE-450 |
UI输入的多重解释 |
| CWE-453 |
不安全的缺省变量初始化 |
| CWE-455 |
初始化失效后的不存在变量 |
| CWE-459 |
清理环节不完整 |
| CWE-463 |
对数据结构哨兵域的删除 |
| CWE-466 |
在预期范围外返回指针值 |
| CWE-471 |
对假设不可变数据的修改(MAID) |
| CWE-475 |
从输入到API的未定义行为 |
| CWE-479 |
信号处理例程中使用不可再入的函数 |
| CWE-501 |
违背信任边界 |
| CWE-511 |
逻辑/时间炸弹 |
| CWE-520 |
.NET误配置:使用伪装 |
| CWE-522 |
不充分的凭证保护机制 |
| CWE-526 |
通过环境变量导致的信息暴露 |
| CWE-535 |
通过Shell错误消息导致的信息暴露 |
| CWE-539 |
通过持久性Cookie导致的信息暴露 |
| CWE-544 |
标准化错误处理机制缺失 |
| CWE-555 |
J2EE误配置:在配置文件中明文存储口令 |
| CWE-564 |
SQL注入:Hibernate |
| CWE-566 |
通过用户控制SQL主密钥绕过授权机制 |
| CWE-863 |
授权机制不正确 |
| CWE-88 |
参数注入或修改 |
| CWE-9 |
J2EE误配置:EJB方法弱访问权限 |
| CWE-91 |
XML注入(XPath盲注) |
| CWE-913 |
动态管理代码资源的控制不恰当 |
| CWE-915 |
动态确定对象属性修改的控制不恰当 |
| CWE-917 |
表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入) |
| CWE-921 |
在没有访问控制机制中存储敏感数据 |
| CWE-923 |
通信信道对预期端点的不适当限制 |
| CWE-925 |
广播接收机对意图的不当验证 |
| CWE-927 |
隐式意图在敏感通信中的使用 |
| CWE-941 |
通信信道中错误指定的目的地 |
| CWE-574 |
EJB不安全实践:使用同步原语 |
| CWE-576 |
EJB不安全实践:使用Java I/O |
| CWE-578 |
EJB不安全实践:使用类加载器 |
| CWE-587 |
将一个固定地址复制给指针 |
| CWE-589 |
对非普适API的调用 |
| CWE-594 |
J2EE框架:将不可序列化的对象存储到磁盘上 |
| CWE-598 |
通过GET请求中的查询字符串导致的信息暴露 |
| CWE-6 |
J2EE误配置:会话ID长度不充分 |
| CWE-601 |
指向未可信站点的URL重定向(开放重定向) |
| CWE-603 |
使用客户端的认证机制 |
| CWE-613 |
不充分的会话过期机制 |
| CWE-620 |
未经验证的口令修改 |
| CWE-637 |
保护机制不必要的复杂性(未使用经济性的机制) |
| CWE-639 |
通过用户控制密钥绕过授权机制 |
| CWE-640 |
忘记口令恢复机制弱 |
| CWE-642 |
对关键状态数据的外部可控制 |
| CWE-644 |
对HTTP头部进行脚本语法转义处理不恰当 |
| CWE-646 |
依赖于外部提供文件的文件名或扩展名 |
| CWE-648 |
特权API的不正确使用 |
| CWE-651 |
通过WSDL文件导致的信息暴露 |
| CWE-653 |
不充分的划分 |
| CWE-655 |
不充分的心理学可接受性 |
| CWE-657 |
违背安全设计原则 |
| CWE-662 |
不恰当的同步机制 |
| CWE-668 |
将资源暴露给错误范围 |
| CWE-67 |
Windows设备名处理不恰当 |
| CWE-671 |
缺乏对安全的管理控制 |
| CWE-673 |
范围定义的外部影响 |
| CWE-682 |
数值计算不正确 |
| CWE-69 |
Windows::DATA交换数据流处理不恰当 |
| CWE-691 |
不充分的控制流管理 |
| CWE-693 |
保护机制失效 |
| CWE-695 |
使用底层的功能例程 |
| CWE-7 |
J2EE误配置:缺少定制错误页面 |
| CWE-704 |
不正确的类型转换 |
| CWE-706 |
使用不正确的解析名称或索引 |
| CWE-708 |
不正确的属主授予 |
| CWE-710 |
编程规范违背 |
| CWE-73 |
文件名或路径的外部可控制 |
| CWE-749 |
暴露危险的方法或函数 |
| CWE-76 |
等价特殊元素的转义处理不恰当 |
| CWE-767 |
通过公开方法可访问到关键的私有数据 |
| CWE-770 |
不加限制或调节的资源分配 |
| CWE-772 |
对已超过有效生命周期的资源丧失索引 |
| CWE-774 |
不加限制或调节进行文件描述符或句柄的分配 |
| CWE-780 |
未配合OAEP使用RSA算法 |
| CWE-782 |
无充分访问控制条件下暴露IOCTL |
| CWE-784 |
在安全决策中依赖未经验证和完整性检查的Cookie |
| CWE-79 |
在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
| CWE-799 |
交互频率的控制不恰当 |
| CWE-807 |
在安全决策中依赖未经信任的输入 |
| CWE-84 |
Web页面编码URIScheme转义处理不恰当 |
| CWE-862 |
授权机制缺失 |
| CWE-89 |
SQL命令中使用的特殊元素转义处理不恰当(SQL注入) |
| CWE-90 |
LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入) |
| CWE-912 |
隐藏功能 |
| CWE-914 |
动态识别变量的控制不恰当 |
| CWE-916 |
使用具有不充分计算复杂性的口令哈希 |
| CWE-918 |
服务端请求伪造(SSRF) |
| CWE-920 |
功耗限制不当 |
| CWE-922 |
敏感信息的不安全存储 |
| CWE-924 |
通信信道中传输过程中消息完整性的不正确执行 |
| CWE-926 |
Android应用程序组件导出不当 |
| CWE-93 |
对CRLF序列的转义处理不恰当(CRLF注入) |
| CWE-940 |
通信信道源的不正确验证 |
