Category-990: SFP Secondary Cluster: Tainted Input to Command

ID: 990 Status: Incomplete

Summary

This category identifies Software Fault Patterns (SFPs) within the Tainted Input to Command cluster.

Membership

ID	NAME
CWE-102	Structs：重复验证表单
CWE-103	Structs：不完整的validate()方法定义
CWE-104	Structs：表单Bean未扩展验证类
CWE-105	Structs：缺少验证的表单域
CWE-106	Structs：插件框架未在使用
CWE-107	Structs：未使用的验证表单
CWE-108	Structs：未经验证的动作表单
CWE-109	Structs：验证器关闭
CWE-110	Structs：无表单域的验证器
CWE-112	XML验证缺失
CWE-113	HTTP头部中CRLF序列转义处理不恰当（HTTP响应分割）
CWE-130	长度参数不一致性处理不恰当
CWE-134	使用外部控制的格式字符串
CWE-138	对特殊元素的转义处理不恰当
CWE-140	分隔符转义处理不恰当
CWE-141	参数分隔符转义处理不恰当
CWE-142	值分隔符转义处理不恰当
CWE-143	记录分隔符转义处理不恰当
CWE-144	行分隔符转义处理不恰当
CWE-145	节分隔符转义处理不恰当
CWE-146	表达式/命令分隔符转义处理不恰当
CWE-147	输入终结符转义处理不恰当
CWE-148	输入起始符转义处理不恰当
CWE-149	引号语法转义处理不恰当
CWE-150	转义、元或控制序列转义处理不恰当
CWE-151	注释分隔符转义处理不恰当
CWE-152	宏符号转义处理不恰当
CWE-153	替代符号转义处理不恰当
CWE-154	变量名分隔符转义处理不恰当
CWE-155	双字符或匹配符号转义处理不恰当
CWE-156	空格转义处理不恰当
CWE-157	结对分隔符的净化处理不恰当
CWE-158	空字节或NULL字符转义处理不恰当
CWE-159	特殊元素净化处理不恰当
CWE-160	起始特殊元素净化处理不恰当
CWE-161	多重起始特殊元素净化处理不恰当
CWE-162	结尾特殊元素转义处理不恰当
CWE-163	多重结尾特殊元素转义处理不恰当
CWE-164	内部特殊元素净化处理不恰当
CWE-165	多重内部特殊元素净化处理不恰当
CWE-183	宽松定义的白名单
CWE-184	不完整的黑名单
CWE-185	不正确的正则表达式
CWE-186	过度严格的正则表达式
CWE-444	HTTP请求的解释不一致性（HTTP请求私运）
CWE-553	外部可访问目录中的命令行Shell
CWE-554	ASP.NET误配置：没有使用输入验证框架
CWE-564	SQL注入：Hibernate
CWE-601	指向未可信站点的URL重定向（开放重定向）
CWE-611	XML外部实体引用的不恰当限制（XXE）
CWE-619	数据库游标悬挂（游标注入）
CWE-621	变量抽取错误
CWE-624	可执行体正则表达式错误
CWE-625	宽松定义的正则表达式
CWE-626	空字节交互错误
CWE-627	动态变量执行
CWE-641	文件和其他资源名称限制不恰当
CWE-643	XPath表达式中数据转义处理不恰当（XPath注入）
CWE-644	对HTTP头部进行脚本语法转义处理不恰当
CWE-646	依赖于外部提供文件的文件名或扩展名
CWE-652	XQuery表达式中数据转义处理不恰当（XQuery注入）
CWE-707	对消息或数据结构的处理不恰当
CWE-74	输出中的特殊元素转义处理不恰当（注入）
CWE-75	特殊命令到另一不同平面时的净化处理不恰当（特殊命令注入）
CWE-76	等价特殊元素的转义处理不恰当
CWE-77	在命令中使用的特殊元素转义处理不恰当（命令注入）
CWE-78	OS命令中使用的特殊元素转义处理不恰当（OS命令注入）
CWE-79	在Web页面生成时对输入的转义处理不恰当（跨站脚本）
CWE-80	Web页面中脚本相关HTML标签转义处理不恰当（基本跨站脚本）
CWE-81	错误消息Web页面中脚本转义处理不恰当
CWE-82	Web页面IMG标签属性中脚本转义处理不恰当
CWE-83	Web页面属性中脚本转义处理不恰当
CWE-84	Web页面编码URIScheme转义处理不恰当
CWE-85	双字符XSS操纵
CWE-86	Web页面标识中非法字符转义处理不恰当
CWE-87	替代XSS语法转义处理不恰当
CWE-88	参数注入或修改
CWE-89	SQL命令中使用的特殊元素转义处理不恰当（SQL注入）
CWE-90	LDAP查询中使用的特殊元素转义处理不恰当（LDAP注入）
CWE-91	XML注入（XPath盲注）
CWE-93	对CRLF序列的转义处理不恰当（CRLF注入）
CWE-95	动态执行代码中指令转义处理不恰当（Eval注入）
CWE-96	静态存储代码中指令转义处理不恰当（静态代码注入）
CWE-97	Web页面中服务端引用（SSI）转义处理不恰当
CWE-99	对资源描述符的控制不恰当（资源注入）