Category-963: SFP Secondary Cluster: Exposed Data

ID: 963 Status: Incomplete

Summary

This category identifies Software Fault Patterns (SFPs) within the Exposed Data cluster.

Membership

ID	NAME
CWE-11	ASP.NET误配置：创建Debug模式二进制
CWE-117	日志输出的转义处理不恰当
CWE-12	ASP.NET误配置：缺少定制错误页面
CWE-13	ASP.NET误配置：配置文件中存储口令
CWE-14	编译器移除释放缓冲区的代码
CWE-200	信息暴露
CWE-201	通过发送数据的信息暴露
CWE-209	通过错误消息导致的信息暴露
CWE-210	通过自主产生的错误消息导致的信息暴露
CWE-211	通过外部产生的错误消息导致的信息暴露
CWE-212	敏感数据的不恰当跨边界移除
CWE-213	故意性的信息暴露
CWE-214	通过处理环境导致的信息暴露
CWE-215	通过Debug信息导致的信息暴露
CWE-219	Web根目录下的敏感数据
CWE-220	FTP根目录下的敏感数据
CWE-226	在释放前未清除敏感信息
CWE-244	在释放前清理堆内存不恰当（堆检查）
CWE-256	明文存储口令
CWE-257	以可恢复格式存储口令
CWE-260	配置文件中存储口令
CWE-311	敏感数据加密缺失
CWE-312	敏感数据的明文存储
CWE-313	在文件或磁盘上的明文存储
CWE-314	在注册表中的明文存储
CWE-315	在Cookie中的明文存储
CWE-316	在内存中的明文存储
CWE-317	在GUI中的明文存储
CWE-318	在可执行体中的明文存储
CWE-319	敏感数据的明文传输
CWE-374	传递不可变的对象给非可信方法
CWE-375	返回不可变的对象给非可信调用者
CWE-402	将私有的资源传输到一个新的空间（资源泄露）
CWE-403	将文件描述符暴露给不受控制的范围（文件描述符泄露）
CWE-433	未加解析的原始Web内容分发
CWE-495	从公开方法中返回私有的数组类型数据域
CWE-497	将系统数据暴露到未授权控制的范围
CWE-498	包含敏感信息的可克隆类
CWE-499	可序列化的类中包含敏感信息
CWE-5	J2EE误配置：未经加密的数据传输
CWE-501	违背信任边界
CWE-522	不充分的凭证保护机制
CWE-523	凭证传输未经安全保护
CWE-526	通过环境变量导致的信息暴露
CWE-527	将CVS仓库暴露给非授权控制范围
CWE-528	将CoreDump文件暴露给非授权控制范围
CWE-529	将访问控制列表文件暴露给非授权控制范围
CWE-530	将备份文件暴露给非授权控制范围
CWE-532	通过日志文件的信息暴露
CWE-535	通过Shell错误消息导致的信息暴露
CWE-536	通过Servlet运行时错误消息导致的信息暴露
CWE-537	通过Java运行时错误消息导致的信息暴露
CWE-538	文件和路径信息暴露
CWE-539	通过持久性Cookie导致的信息暴露
CWE-540	通过源代码导致的信息暴露
CWE-541	通过包含源代码导致的信息暴露
CWE-546	可疑注释
CWE-548	通过目录枚举导致的信息暴露
CWE-550	通过服务器错误消息导致的信息暴露
CWE-552	对外部实体的文件或目录可访问
CWE-555	J2EE误配置：在配置文件中明文存储口令
CWE-591	敏感数据存储于加锁不恰当的内存区域
CWE-598	通过GET请求中的查询字符串导致的信息暴露
CWE-607	公开静态最终域索引互斥的对象
CWE-612	通过私有数据的索引导致的信息暴露
CWE-615	通过注释导致的信息暴露
CWE-642	对关键状态数据的外部可控制
CWE-668	将资源暴露给错误范围
CWE-669	在范围间的资源转移不正确
CWE-7	J2EE误配置：缺少定制错误页面
CWE-756	定制错误页面缺失
CWE-767	通过公开方法可访问到关键的私有数据
CWE-8	J2EE误配置：实体Bean远程声明