| CWE-94 |
对生成代码的控制不恰当(代码注入) |
| CWE-942 |
过度许可的跨域白名单 |
| CWE-95 |
动态执行代码中指令转义处理不恰当(Eval注入) |
| CWE-96 |
静态存储代码中指令转义处理不恰当(静态代码注入) |
| CWE-97 |
Web页面中服务端引用(SSI)转义处理不恰当 |
| CWE-98 |
PHP程序中Include/Require语句包含文件控制不恰当(PHP远程文件包含) |
| CWE-99 |
对资源描述符的控制不恰当(资源注入) |
| CWE-1 |
已弃用:位置 |
| CWE-10 |
已弃用:ASP.NET环境问题 |
| CWE-1002 |
SFP辅助群集:意外的入口点 |
| CWE-1009 |
审计 |
| CWE-1032 |
OWASP 2017年十大分类A6-安全配置错误 |
| CWE-1035 |
OWASP 2017年十大分类A9-使用含有已知漏洞的组件 |
| CWE-1136 |
SEI CERT Oracle Java安全编码标准-准则02.表达式(EXP) |
| CWE-1137 |
SEI CERT Oracle Java安全编码标准-准则03.数值类型和运算(NUM) |
| CWE-1138 |
SEI CERT Oracle Java安全编码标准-准则04.字符和字符串(STR) |
| CWE-1139 |
SEI CERT Oracle Java安全编码标准-准则05.对象方向(OBJ) |
| CWE-1140 |
SEI CERT Oracle Java安全编码标准-指南06.方法(MET) |
| CWE-1141 |
SEI CERT Oracle Java安全编码标准-准则07.异常行为(ERR) |
| CWE-1142 |
SEI CERT Oracle Java安全编码标准-准则08.可见性和原子性(VNA) |
| CWE-1143 |
SEI CERT Oracle Java安全编码标准-指南09.锁定(LCK) |
| CWE-1144 |
SEI CERT Oracle Java安全编码标准-准则10.线程API(THI) |
| CWE-1145 |
SEI CERT Oracle Java安全编码标准-准则11.线程池(TPS) |
| CWE-1146 |
SEI CERT Oracle Java安全编码标准-准则12.线程安全杂项(TSM) |
| CWE-1149 |
SEI CERT Oracle Java安全编码标准-准则15.平台安全性(SEC) |
| CWE-1152 |
SEI CERT Oracle Java安全编码标准-准则49.其他(MSC) |
| CWE-1153 |
SEI CERT Oracle Java安全编码标准-准则50.安卓(DRD) |
| CWE-1155 |
SEI CERT C编码标准-准则01.预处理程序(PRE) |
| CWE-1156 |
SEI CERT C编码标准-准则02.声明和初始化(DCL) |
| CWE-1157 |
SEI CERT C编码标准-准则03.表达式(EXP) |
| CWE-1158 |
SEI CERT C编码标准-准则04.整数(INT) |
| CWE-1159 |
SEI CERT C编码标准-准则05.浮点(FLP) |
| CWE-1160 |
SEI CERT C编码标准-准则06.数组(ARR) |
| CWE-1161 |
SEI CERT C编码标准-准则07.字符和字符串(STR) |
| CWE-1162 |
SEI CERT C编码标准-准则08.内存管理(MEM) |
| CWE-1163 |
SEI CERT C编码标准-准则09.输入输出(FIO) |
| CWE-1165 |
SEI CERT C编码标准-准则10.环境(ENV) |
| CWE-1166 |
SEI CERT C编码标准-准则11.信号(SIG) |
| CWE-1167 |
SEI CERT C编码标准-准则12.错误处理(ERR) |
| CWE-1168 |
SEI CERT C编码标准-准则13.应用程序编程接口(API) |
| CWE-1169 |
SEI CERT C编码标准-准则14.并发性(CON) |
| CWE-1172 |
SEI CERT C编码标准-准则51. Microsoft Windows(WIN) |
| CWE-1180 |
SEI CERT Perl编码标准-准则02.声明和初始化(DCL) |
| CWE-18 |
已弃用:源代码 |
| CWE-199 |
信息管理错误 |
| CWE-355 |
用户界面安全问题 |
| CWE-376 |
临时文件问题 |
| CWE-442 |
网络问题 |
| CWE-461 |
数据结构问题 |
| CWE-465 |
指针问题 |
| CWE-485 |
7PK -封装 |
| CWE-490 |
移动代码问题 |
| CWE-503 |
已弃用:字节/对象代码 |
| CWE-504 |
None |
| CWE-505 |
None |
| CWE-513 |
None |
| CWE-517 |
None |
| CWE-518 |
None |
| CWE-519 |
.NET环境问题 |
| CWE-557 |
并发问题 |
| CWE-60 |
None |
| CWE-720 |
None |
| CWE-723 |
None |
| CWE-726 |
None |
| CWE-727 |
None |
| CWE-728 |
None |
| CWE-729 |
None |
| CWE-730 |
None |
| CWE-731 |
None |
| CWE-735 |
None |
| CWE-736 |
None |
| CWE-737 |
None |
| CWE-738 |
None |
| CWE-741 |
None |
| CWE-744 |
None |
| CWE-745 |
None |
| CWE-746 |
None |
| CWE-747 |
None |
| CWE-748 |
None |
| CWE-751 |
None |
| CWE-752 |
None |
| CWE-753 |
None |
| CWE-803 |
None |
| CWE-811 |
None |
| CWE-814 |
None |
| CWE-815 |
None |
| CWE-816 |
None |
| CWE-817 |
None |
| CWE-818 |
None |
| CWE-819 |
None |
| CWE-840 |
业务逻辑错误 |
| CWE-847 |
None |
| CWE-850 |
None |
| CWE-851 |
None |
| CWE-852 |
None |
| CWE-855 |
None |
| CWE-856 |
None |
| CWE-857 |
None |
| CWE-860 |
None |
| CWE-865 |
None |
| CWE-870 |
None |
| CWE-873 |
None |
| CWE-876 |
None |
| CWE-879 |
None |
| CWE-882 |
None |
| CWE-886 |
None |
| CWE-890 |
None |
| CWE-893 |
None |
| CWE-896 |
None |
| CWE-899 |
None |
| CWE-903 |
None |
| CWE-906 |
None |
| CWE-930 |
None |
| CWE-933 |
None |
| CWE-936 |
None |
| CWE-944 |
None |
| CWE-947 |
None |
| CWE-950 |
None |
| CWE-953 |
None |
| CWE-964 |
None |
| CWE-966 |
None |
| CWE-975 |
None |
| CWE-978 |
None |
| CWE-979 |
None |
| CWE-1003 |
已发布漏洞的简化映射的缺点 |
| CWE-1040 |
具有间接安全影响的质量弱点 |
| CWE-1154 |
SEI CERT C编码标准解决的弱点 |
| CWE-2000 |
全面的CWE词典 |
| CWE-630 |
None |
| CWE-658 |
None |
| CWE-928 |
None |
| CWE-1004 |
没有'HttpOnly'标志的敏感Cookie |
| CWE-102 |
Structs:重复验证表单 |
| CWE-1023 |
缺失要素致使对比不完全 |
| CWE-104 |
Structs:表单Bean未扩展验证类 |
| CWE-1041 |
使用冗余代码 |
| CWE-1042 |
单例类元素外部的静态成员数据元素 |
| CWE-1043 |
聚合大量非原始元素的元素 |
| CWE-1044 |
体系架构的水平层数超出预期范围 |
| CWE-1045 |
带有虚拟析构函数的父类和没有虚拟析构函数的子类 |
| CWE-1046 |
使用字符串连接创建不可变文本 |
| CWE-1047 |
具有循环依赖关系的模块 |
| CWE-1048 |
具有大量外拨电话的可调用控制元素 |
| CWE-1049 |
大数据表中的数据查询操作过多 |
| CWE-105 |
Structs:缺少验证的表单域 |
| CWE-1051 |
使用硬编码的网络资源配置数据进行初始化 |
| CWE-1053 |
缺少设计文档 |
| CWE-1060 |
无效的服务器端数据访问次数过多 |
| CWE-1066 |
缺少序列化控件元素 |
| CWE-1068 |
软件实现和设计文档不一致 |
| CWE-1069 |
空异常块 |
| CWE-107 |
Structs:未使用的验证表单 |
| CWE-1070 |
可序列化数据元素中包含不可序列化项的元素 |
| CWE-1072 |
不使用连接池访问数据资源 |
| CWE-1082 |
存在类实例自毁控制元素 |
| CWE-1084 |
具有过多文件或数据访问操作的可调用控件元素 |
| CWE-1085 |
可调用控制元素中的注释代码量过大 |
| CWE-1086 |
子类过多的类 |
| CWE-1087 |
没有虚析构函数的虚拟方法类 |
| CWE-1088 |
远程资源无超时同步访问 |
| CWE-109 |
Structs:验证器关闭 |
| CWE-1098 |
包含指针项但没有正确的复制控件元素的数据元素 |
| CWE-1102 |
依赖于机器相关的数据表示 |
| CWE-1104 |
使用未维护的第三方组件 |
| CWE-1105 |
机器相关功能的封装不足 |
| CWE-1106 |
符号常量使用不足 |
| CWE-1107 |
符号常量定义的隔离不足 |
| CWE-1109 |
多用途使用同一变量 |
| CWE-1112 |
程序执行文件不完整 |
| CWE-1119 |
过度使用无条件分支 |
| CWE-1120 |
代码过于复杂 |
| CWE-1121 |
McCabe环复杂性过大 |
| CWE-1122 |
Halstead复杂度过高 |
| CWE-1124 |
深度嵌套过多 |
| CWE-1125 |
过多的攻击面 |
| CWE-1126 |
使用不必要的大范围声明变量 |
| CWE-1127 |
警告或错误不足的编译 |
| CWE-113 |
HTTP头部中CRLF序列转义处理不恰当(HTTP响应分割) |
| CWE-115 |
输入的错误解释 |
| CWE-1164 |
不相关代码 |
| CWE-1174 |
ASP.NET错误配置:模型验证不正确 |
| CWE-12 |
ASP.NET误配置:缺少定制错误页面 |
| CWE-121 |
栈缓冲区溢出 |
| CWE-123 |
任意地址可写任意内容条件 |
| CWE-125 |
跨界内存读 |
| CWE-127 |
缓冲区下溢读取 |
| CWE-129 |
对数组索引的验证不恰当 |
| CWE-130 |
长度参数不一致性处理不恰当 |
| CWE-132 |
废弃(重复): 空终结符计算错误 |
| CWE-134 |
使用外部控制的格式字符串 |
| CWE-135 |
多字节字符串长度的计算不正确 |
| CWE-14 |
编译器移除释放缓冲区的代码 |
| CWE-140 |
分隔符转义处理不恰当 |
| CWE-141 |
参数分隔符转义处理不恰当 |
| CWE-142 |
值分隔符转义处理不恰当 |
| CWE-143 |
记录分隔符转义处理不恰当 |
| CWE-144 |
行分隔符转义处理不恰当 |
| CWE-15 |
系统设置或配置在外部可控制 |
| CWE-151 |
注释分隔符转义处理不恰当 |
| CWE-156 |
空格转义处理不恰当 |
| CWE-158 |
空字节或NULL字符转义处理不恰当 |
| CWE-160 |
起始特殊元素净化处理不恰当 |
| CWE-164 |
内部特殊元素净化处理不恰当 |
| CWE-166 |
缺失特殊元素净化处理不恰当 |
| CWE-168 |
不一致特殊元素净化处理不恰当 |
| CWE-172 |
编码错误 |
| CWE-175 |
混合编码处理不恰当 |
| CWE-177 |
URL编码处理不恰当(Hex编码) |
| CWE-179 |
不正确的行为次序:过早验证 |
| CWE-186 |
过度严格的正则表达式 |
| CWE-188 |
依赖数据/内存布局 |
| CWE-191 |
整数下溢(超界折返) |
| CWE-193 |
Off-by-one错误 |
| CWE-195 |
有符号至无符号转换错误 |
| CWE-197 |
数值截断错误 |
| CWE-20 |
输入验证不恰当 |
| CWE-201 |
通过发送数据的信息暴露 |
| CWE-203 |
通过差异性导致的信息暴露 |
| CWE-205 |
通过行为差异性导致的信息暴露 |
| CWE-207 |
通过外部行为不一致性导致的信息暴露 |
| CWE-209 |
通过错误消息导致的信息暴露 |
| CWE-211 |
通过外部产生的错误消息导致的信息暴露 |
| CWE-213 |
故意性的信息暴露 |
| CWE-215 |
通过Debug信息导致的信息暴露 |
| CWE-217 |
废弃:未能保护存储数据的修改 |
| CWE-219 |
Web根目录下的敏感数据 |
| CWE-220 |
FTP根目录下的敏感数据 |
| CWE-222 |
安全相关信息的截断 |
| CWE-224 |
通过候选名称导致的安全相关信息混淆 |
| CWE-226 |
在释放前未清除敏感信息 |
| CWE-229 |
值处理不恰当 |
| CWE-230 |
缺失值处理不恰当 |
| CWE-232 |
未定义值处理不恰当 |
| CWE-234 |
未对缺失参数进行处理 |
| CWE-236 |
对未定义参数处理不恰当 |
| CWE-238 |
对不完整结构体元素处理不恰当 |
| CWE-24 |
路径遍历:'../filedir' |
| CWE-241 |
非预期数据类型处理不恰当 |
| CWE-243 |
未改变工作目录时创建chroot Jail |
| CWE-245 |
J2EE不安全实践:对连接的直接管理 |
| CWE-247 |
在安全决策中依赖DNS查询 |
| CWE-249 |
废弃:经常性滥用:路径操纵 |
| CWE-250 |
带着不必要的权限执行 |
| CWE-253 |
对函数返回值的检查不正确 |
| CWE-257 |
以可恢复格式存储口令 |
| CWE-259 |
使用硬编码的口令 |
| CWE-260 |
配置文件中存储口令 |
| CWE-262 |
未使用口令老化机制 |
| CWE-266 |
特权授予不正确 |
| CWE-268 |
特权链锁 |
| CWE-27 |
路径遍历:'dir/../../filename' |
| CWE-271 |
特权放弃/降低错误 |
| CWE-273 |
对于放弃特权的检查不恰当 |
| CWE-276 |
缺省权限不正确 |
| CWE-278 |
不安全的预留继承权限 |
| CWE-28 |
路径遍历:'..\filedir' |
| CWE-281 |
权限预留不恰当 |
| CWE-283 |
未经验证的属主 |
| CWE-285 |
授权机制不恰当 |
| CWE-287 |
认证机制不恰当 |
| CWE-289 |
使用候选名称进行的认证绕过 |
| CWE-290 |
使用欺骗进行的认证绕过 |
| CWE-292 |
信任自主报告的DNS名称 |
| CWE-294 |
使用捕获-重放进行的认证绕过 |
| CWE-296 |
证书信任链回溯不恰当 |
| CWE-298 |
证书过期验证不恰当 |
| CWE-30 |
路径遍历:'\dir\filename' |
| CWE-301 |
认证协议中的反射攻击 |
| CWE-303 |
认证算法的不正确实现 |
| CWE-305 |
使用基本弱点进行的认证绕过 |
| CWE-307 |
过多认证尝试的限制不恰当 |
| CWE-309 |
使用口令系统作为基本认证机制 |
| CWE-311 |
敏感数据加密缺失 |
| CWE-313 |
在文件或磁盘上的明文存储 |
| CWE-315 |
在Cookie中的明文存储 |
| CWE-317 |
在GUI中的明文存储 |
| CWE-319 |
敏感数据的明文传输 |
| CWE-321 |
使用硬编码的密码学密钥 |
| CWE-323 |
在加密中重用Nonce与密钥对 |
| CWE-325 |
缺少必要的密码学步骤 |
| CWE-326 |
不充分的加密强度 |
| CWE-328 |
可逆的单向哈希 |
| CWE-1007 |
屏幕显示出的不同编码的同形字母不易区分 |
| CWE-1021 |
不当限制渲染UI层或帧 |
| CWE-1022 |
使用windows.opener访问指向不可信目标的web链接 |
| CWE-1024 |
不兼容类型的比较 |
| CWE-1025 |
使用错误要素进行比较 |
| CWE-103 |
Structs:不完整的validate()方法定义 |
| CWE-1037 |
处理器优化致使安全关键代码被删除或修改 |
| CWE-1038 |
不安全的自动优化 |
| CWE-1039 |
自动识别机制在检测或处理对抗性输入扰动时能力不足 |
| CWE-1050 |
循环内过多的平台资源消耗 |
| CWE-1052 |
在初始化中过多使用硬编码字面量 |
| CWE-1054 |
在不必要的深度水平层上调用控制元素 |
| CWE-1055 |
具体类的多重继承 |
| CWE-1056 |
具有可变参数的可调用控制元素 |
| CWE-1057 |
预期的数据管理组件之外的数据访问操作 |
| CWE-1058 |
具有非最终静态可存储或成员元素的多线程上下文中的可调用控制元素 |
| CWE-1059 |
不完整的文件 |
| CWE-106 |
Structs:插件框架未在使用 |
| CWE-1061 |
封装不足 |
| CWE-1062 |
父类参考子类 |
| CWE-1063 |
在静态代码块中创建类实例 |
| CWE-1064 |
包含过多签名参数的可调用控件元素 |
| CWE-1065 |
在应用服务器上运行组件的资源管理控制元素 |
| CWE-1067 |
对数据资源进行顺序搜索的过度执行 |
| CWE-1071 |
空的代码块 |
| CWE-1073 |
使用过多的非SQL调用控制组件进行数据资源访问 |
| CWE-1074 |
继承过深的类 |
| CWE-1075 |
开关块外部无条件控制流转移 |
| CWE-1076 |
对预期协议的遵守不足 |
| CWE-1077 |
使用不正确的比较运算符比较浮点值 |
| CWE-1078 |
不适当的源代码样式或格式 |
| CWE-1079 |
没有虚析构函数方法的父类 |
| CWE-108 |
Structs:未经验证的动作表单 |
| CWE-1080 |
源代码文件的代码行数过多 |
| CWE-1083 |
从外部预期的数据管理器组件进行数据访问 |
| CWE-1089 |
索引过多的大数据表 |
| CWE-1090 |
包含从另一个类访问成员元素的方法 |
| CWE-1091 |
在不调用析构函数方法的情况下使用对象 |
| CWE-1092 |
在多个架构层中使用相同的可调用控件元素 |
| CWE-1093 |
数据表示过于复杂 |
| CWE-1094 |
数据资源的索引范围扫描过大 |
| CWE-1095 |
循环内循环条件值更新 |
| CWE-1096 |
在没有正确锁定或同步的情况下创建单实例类实例 |
| CWE-1097 |
不带关联比较控制元素的持久可存储数据元素 |
| CWE-1099 |
标识符的命名约定不一致 |
| CWE-11 |
ASP.NET误配置:创建Debug模式二进制 |
| CWE-110 |
Structs:无表单域的验证器 |
| CWE-1100 |
系统依赖函数的隔离不足 |
| CWE-1101 |
生成代码中对运行时组件的依赖 |
| CWE-1103 |
使用依赖于平台的第三方组件 |
| CWE-1108 |
过度依赖全局变量 |
| CWE-111 |
对不安全JNI的直接使用 |
| CWE-1110 |
设计文件不完整 |
| CWE-1111 |
不完整的I/O文档 |
| CWE-1113 |
不恰当的注释样式 |
| CWE-1114 |
不适当的空白样式 |
| CWE-1115 |
没有标准序言的源代码元素 |
| CWE-1116 |
不准确的注释 |
| CWE-1117 |
行为摘要不足的可调用 |
| CWE-1118 |
错误处理技术的文档不足 |
| CWE-112 |
XML验证缺失 |
| CWE-1123 |
过度使用自我修改代码 |
| CWE-114 |
流程控制 |
| CWE-116 |
对输出编码和转义不恰当 |
| CWE-33 |
路径遍历:'....' (多个点号) |
| CWE-331 |
信息熵不充分 |
| CWE-333 |
TRNG不充分信息熵的处理不恰当 |
| CWE-335 |
PRNG种子错误 |
| CWE-337 |
PRNG中使用可预测种子 |
| CWE-339 |
PRNG中的种子空间太小 |
| CWE-340 |
可预测问题 |
| CWE-342 |
从先前值可预测准确值 |
| CWE-344 |
在动态变化上下文中使用不变值 |
| CWE-346 |
源验证错误 |
| CWE-348 |
使用不可信的源 |
| CWE-35 |
路径遍历:'.../...//' |
| CWE-351 |
不充分的类型区分 |
| CWE-353 |
缺失完整性检查支持 |
| CWE-356 |
产品UI接口未警示用户不安全动作 |
| CWE-358 |
不恰当实现的标准安全检查 |
| CWE-36 |
绝对路径遍历 |
| CWE-362 |
使用共享资源的并发执行不恰当同步问题(竞争条件) |
| CWE-364 |
信号处理例程中的竞争条件 |
| CWE-366 |
单线程内的竞争条件 |
| CWE-368 |
上下文切换时的竞争条件 |
| CWE-37 |
路径遍历:'/absolute/pathname/here' |
| CWE-372 |
不完整的内部状态区分 |
| CWE-374 |
传递不可变的对象给非可信方法 |
| CWE-377 |
不安全的临时文件 |
| CWE-117 |
日志输出的转义处理不恰当 |
| CWE-1173 |
验证框架使用不当 |
| CWE-1176 |
低效的CPU计算 |
| CWE-1177 |
使用被禁止的代码 |
| CWE-118 |
对可索引资源的访问不恰当(越界错误) |
| CWE-1187 |
使用未初始化的资源 |
| CWE-1188 |
不安全的默认资源初始化 |
| CWE-119 |
内存缓冲区边界内操作的限制不恰当 |
| CWE-120 |
未进行输入大小检查的缓冲区拷贝(传统缓冲区溢出) |
| CWE-122 |
堆缓冲区溢出 |
| CWE-124 |
缓冲区下溢 |
| CWE-126 |
缓冲区上溢读取 |
| CWE-128 |
超界折返处理错误 |
| CWE-13 |
ASP.NET误配置:配置文件中存储口令 |
| CWE-131 |
缓冲区大小计算不正确 |
| CWE-138 |
对特殊元素的转义处理不恰当 |
| CWE-379 |
在具有不安全权限的目录中创建临时文件 |
| CWE-382 |
J2EE不安全实践:使用System.exit() |
| CWE-384 |
会话固定 |
| CWE-386 |
符号名称未能映射到正确对象 |
| CWE-390 |
未有动作错误条件的检测 |
| CWE-392 |
错误条件报告缺失 |
| CWE-394 |
未预期的状态编码或返回值 |
| CWE-396 |
对通用异常声明Catch语句 |
| CWE-40 |
路径遍历:'\UNC\share\name\'(WindowsUNC共享) |
| CWE-401 |
在移除最后引用时对内存的释放不恰当(内存泄露) |
| CWE-403 |
将文件描述符暴露给不受控制的范围(文件描述符泄露) |
| CWE-405 |
不对称的资源消耗(放大攻击) |
| CWE-407 |
算法复杂性 |
| CWE-409 |
对高度压缩数据的处理不恰当(数据放大攻击) |
| CWE-410 |
不充分的资源池 |
| CWE-413 |
资源加锁不恰当 |
| CWE-415 |
双重释放 |
| CWE-419 |
未保护的主要通道 |
| CWE-420 |
未保护的候选通道 |
| CWE-422 |
未保护的Windows消息通道(Shatter) |
| CWE-424 |
对候选路径的不恰当保护 |
| CWE-426 |
不可信的搜索路径 |
| CWE-428 |
未经引用的搜索路径或元素 |
| CWE-430 |
错误句柄的实施 |
| CWE-432 |
在敏感操作时危险信号处理例程未被禁用 |
| CWE-145 |
节分隔符转义处理不恰当 |
| CWE-146 |
表达式/命令分隔符转义处理不恰当 |
| CWE-147 |
输入终结符转义处理不恰当 |
| CWE-148 |
输入起始符转义处理不恰当 |
| CWE-149 |
引号语法转义处理不恰当 |
| CWE-150 |
转义、元或控制序列转义处理不恰当 |
| CWE-152 |
宏符号转义处理不恰当 |
| CWE-153 |
替代符号转义处理不恰当 |
| CWE-154 |
变量名分隔符转义处理不恰当 |
| CWE-155 |
双字符或匹配符号转义处理不恰当 |
| CWE-157 |
结对分隔符的净化处理不恰当 |
| CWE-159 |
特殊元素净化处理不恰当 |
| CWE-161 |
多重起始特殊元素净化处理不恰当 |
| CWE-162 |
结尾特殊元素转义处理不恰当 |
| CWE-163 |
多重结尾特殊元素转义处理不恰当 |
| CWE-165 |
多重内部特殊元素净化处理不恰当 |
| CWE-167 |
附加特殊元素净化处理不恰当 |
| CWE-170 |
不恰当的空终结符 |
| CWE-173 |
候选编码方案处理不恰当 |
| CWE-174 |
对同一数据的双重编码 |
| CWE-176 |
Unicode编码处理不恰当 |
| CWE-178 |
大小写敏感处理不恰当 |
| CWE-180 |
不正确的行为次序:规范化之前验证 |
| CWE-181 |
不正确的行为次序:在过滤之前验证 |
| CWE-182 |
数据的崩溃导致不安全数值 |
| CWE-183 |
宽松定义的白名单 |
| CWE-184 |
不完整的黑名单 |
| CWE-185 |
不正确的正则表达式 |
| CWE-187 |
部分比较 |
| CWE-434 |
危险类型文件的不加限制上传 |
| CWE-436 |
解释冲突 |
| CWE-439 |
新版本或环境中的行为变化 |
| CWE-440 |
预期行为违背 |
| CWE-443 |
废弃(重复):HTTP响应分割 |
| CWE-446 |
安全特性的UI矛盾 |
| CWE-448 |
UI上的废弃特性 |
| CWE-45 |
路径等价:'file...name' (多个内部的点号) |
| CWE-451 |
关键信息的UI错误表达 |
| CWE-454 |
可信任变量或数据存储的外部初始化 |
| CWE-456 |
变量未经初始化 |
| CWE-458 |
废弃:初始化不正确 |
| CWE-46 |
路径等价:'filename'(结尾空格) |
| CWE-462 |
在关联列表中具有重复Key |
| CWE-464 |
对数据结构哨兵域的增加 |
| CWE-467 |
在指针类型上使用sizeof() |
| CWE-469 |
使用指针的减法来确定大小 |
| CWE-470 |
使用外部可控制的输入来选择类或代码(不安全的反射) |
| CWE-472 |
对假设不可变Web参数的外部可控制 |
| CWE-474 |
使用具有不一致性实现的函数 |
| CWE-476 |
空指针解引用 |
| CWE-478 |
在Switch语句中缺失缺省条件 |
| CWE-190 |
整数溢出或超界折返 |
| CWE-192 |
整数强制转换错误 |
| CWE-194 |
未预期的符号扩展 |
| CWE-196 |
无符号至有符号转换错误 |
| CWE-198 |
字节序使用不正确 |
| CWE-200 |
信息暴露 |
| CWE-202 |
通过数据查询的敏感数据暴露 |
| CWE-204 |
响应差异性信息暴露 |
| CWE-206 |
通过行为不一致性导致的内部状态信息暴露 |
| CWE-208 |
通过时间差异性导致的信息暴露 |
| CWE-210 |
通过自主产生的错误消息导致的信息暴露 |
| CWE-212 |
敏感数据的不恰当跨边界移除 |
| CWE-214 |
通过处理环境导致的信息暴露 |
| CWE-216 |
容器错误 |
| CWE-218 |
废弃(重复):未能保护存储数据的机密性 |
| CWE-22 |
对路径名的限制不恰当(路径遍历) |
| CWE-221 |
信息丢失或遗漏 |
| CWE-223 |
安全相关信息的遗漏 |
| CWE-225 |
废弃(重复):通用信息管理问题 |
| CWE-228 |
语法无效结构处理不恰当 |
| CWE-48 |
路径等价:'filename'(内部空格) |
| CWE-481 |
错误将比较符号写成赋值符号 |
| CWE-483 |
不正确的代码块分界 |
| CWE-486 |
使用名称来比较对象 |
| CWE-488 |
对错误会话暴露数据元素 |
| CWE-49 |
路径等价:'filename/'(尾部斜杠) |
| CWE-492 |
使用包含敏感数据的内部对象 |
| CWE-494 |
下载代码缺少完整性检查 |
| CWE-496 |
公开数据赋值给私有的数组类型数据域 |
| CWE-498 |
包含敏感信息的可克隆类 |
| CWE-5 |
J2EE误配置:未经加密的数据传输 |
| CWE-500 |
公开静态字段没有标记为Final |
| CWE-502 |
可信数据的反序列化 |
| CWE-507 |
特洛伊木马 |
| CWE-509 |
具传播性的恶意代码(病毒或蠕虫) |
| CWE-510 |
后门 |
| CWE-512 |
间谍软件 |
| CWE-515 |
隐蔽存储通道 |
| CWE-52 |
路径等价:'/multiple/trailling/slash//' |
| CWE-521 |
弱口令要求 |
| CWE-523 |
凭证传输未经安全保护 |
| CWE-525 |
通过浏览器缓存导致的信息暴露 |
| CWE-527 |
将CVS仓库暴露给非授权控制范围 |
| CWE-529 |
将访问控制列表文件暴露给非授权控制范围 |
| CWE-530 |
将备份文件暴露给非授权控制范围 |
| CWE-23 |
相对路径遍历 |
| CWE-231 |
额外值处理不恰当 |
| CWE-233 |
参数问题 |
| CWE-235 |
对额外参数处理不恰当 |
| CWE-237 |
结构体元素处理不恰当 |
| CWE-239 |
未能处理不完整的元素 |
| CWE-240 |
对不一致结构体元素处理不恰当 |
| CWE-242 |
使用内在危险函数 |
| CWE-244 |
在释放前清理堆内存不恰当(堆检查) |
| CWE-246 |
J2EE不安全实践:对套接字的直接使用 |
| CWE-248 |
未捕获的异常 |
| CWE-25 |
路径遍历:'/../filedir' |
| CWE-252 |
未加检查的返回值 |
| CWE-256 |
明文存储口令 |
| CWE-258 |
配置文件中缺省空口令 |
| CWE-26 |
路径遍历:'dir/../filename' |
| CWE-261 |
口令使用弱密码学算法 |
| CWE-263 |
口令老化拥有过长有效期 |
| CWE-267 |
特权定义了不安全动作 |
| CWE-269 |
特权管理不恰当 |
| CWE-270 |
特权上下文切换错误 |
| CWE-272 |
最小特权原则违背 |
| CWE-274 |
不充分特权处理不恰当 |
| CWE-532 |
通过日志文件的信息暴露 |
| CWE-534 |
通过Debug日志文件导致的信息暴露 |
| CWE-536 |
通过Servlet运行时错误消息导致的信息暴露 |
| CWE-538 |
文件和路径信息暴露 |
| CWE-54 |
路径等价:'filedir\'(结尾的反斜杠) |
| CWE-541 |
通过包含源代码导致的信息暴露 |
| CWE-543 |
在多线程上下文中使用缺失同步机制的Singleton设计模式 |
| CWE-545 |
使用动态类装载 |
| CWE-547 |
使用硬编码、安全相关的常数 |
| CWE-549 |
口令域未进行输入隐藏 |
| CWE-550 |
通过服务器错误消息导致的信息暴露 |
| CWE-552 |
对外部实体的文件或目录可访问 |
| CWE-554 |
ASP.NET误配置:没有使用输入验证框架 |
| CWE-556 |
ASP.NET误配置:使用身份伪装 |
| CWE-56 |
路径等价:'filedir*'(通配符) |
| CWE-561 |
死代码 |
| CWE-563 |
未使用的变量 |
| CWE-565 |
在信任Cookie未进行验证与完整性检查 |
| CWE-567 |
在多现场上下文中未能对共享数据进行同步访问 |
| CWE-57 |
路径等价:'fakedir/' |
| CWE-571 |
表达式永真 |
| CWE-573 |
调用者对规范的不恰当使用 |
| CWE-575 |
EJB不安全实践:使用AWT Swing |
| CWE-577 |
EJB不安全实践:使用套接字 |
| CWE-579 |
J2EE不安全实践:将不可序列化的对象存储在会话中 |
| CWE-580 |
未定义super.clone()的clone()方法 |
| CWE-582 |
公开、最终、静态声明的数组 |
| CWE-584 |
在最后的代码块中返回 |
| CWE-586 |
对Finalize()的显式调用 |
| CWE-588 |
尝试访问一个非结构体指针的子域 |
| CWE-59 |
在文件访问前对链接解析不恰当(链接跟随) |
| CWE-591 |
敏感数据存储于加锁不恰当的内存区域 |
| CWE-593 |
认证绕过:SSL对象创建后修改OpenSSL CTX对象 |
| CWE-595 |
错误对对象引用当作对象内容进行比较 |
| CWE-597 |
在字符串比较中使用了错误的操作符 |
| CWE-599 |
缺失对OpenSSL证书的验证 |
| CWE-600 |
Servlet中未捕获的异常 |
| CWE-602 |
服务端安全的客户端实施 |
| CWE-605 |
对同一端口的多重绑定 |
| CWE-607 |
公开静态最终域索引互斥的对象 |
| CWE-609 |
双重检查的加锁机制 |
| CWE-610 |
资源在另一范围的外部可控制索引 |
| CWE-612 |
通过私有数据的索引导致的信息暴露 |
| CWE-614 |
HTTPS会话中未设置'Secure'属性的敏感Cookie |
| CWE-616 |
上传文件变量的不完整标识(PHP) |
| CWE-618 |
暴露的不安全ActiveX方法 |
| CWE-62 |
UNIX硬链接 |
| CWE-621 |
变量抽取错误 |
| CWE-623 |
不安全的ActiveX控件被标记为脚本安全 |
| CWE-625 |
宽松定义的正则表达式 |
| CWE-627 |
动态变量执行 |
| CWE-636 |
未能安全地进行程序失效(Failing Open) |
| CWE-638 |
未能使用完整仲裁 |
| CWE-64 |
Windows快捷方式跟随(.LNK) |
| CWE-641 |
文件和其他资源名称限制不恰当 |
| CWE-643 |
XPath表达式中数据转义处理不恰当(XPath注入) |
| CWE-645 |
过度限制的账户封锁机制 |
| CWE-647 |
使用未经净化的URL路径进行授权决策 |
| CWE-649 |
依赖于未经完整性检查的安全相关输入的混淆或加密 |
| CWE-650 |
在服务器端信任HTTP权限模型 |
| CWE-652 |
XQuery表达式中数据转义处理不恰当(XQuery注入) |
| CWE-654 |
在安全决策中依赖单个元素 |
| CWE-656 |
依赖构建于封闭的安全性 |
| CWE-66 |
标识虚拟资源的文件名处理不恰当 |
| CWE-663 |
在并发上下文中使用不可再入的函数 |
| CWE-665 |
初始化不恰当 |
| CWE-667 |
加锁机制不恰当 |
| CWE-277 |
不安全的继承权限 |
| CWE-279 |
不安全的运行时授予权限 |
| CWE-280 |
不充分权限或特权的处理不恰当 |
| CWE-282 |
属主管理不恰当 |
| CWE-284 |
访问控制不恰当 |
| CWE-286 |
用户管理不正确 |
| CWE-288 |
使用候选路径或通道进行的认证绕过 |
| CWE-29 |
路径遍历:'..\filename' |
| CWE-291 |
信任自主报告的IP地址 |
| CWE-293 |
使用Refer域进行认证 |
| CWE-295 |
证书验证不恰当 |
| CWE-297 |
对宿主不匹配的证书验证不恰当 |
| CWE-299 |
证书撤销验证不恰当 |
| CWE-300 |
通道可被非端点访问(中间人攻击) |
| CWE-302 |
使用假设不可变数据进行的认证绕过 |
| CWE-304 |
认证中关键步骤缺失 |
| CWE-306 |
关键功能的认证机制缺失 |
| CWE-308 |
使用单一因素认证机制 |
| CWE-31 |
路径遍历:'dir....\filename' |
| CWE-312 |
敏感数据的明文存储 |
| CWE-314 |
在注册表中的明文存储 |
| CWE-316 |
在内存中的明文存储 |
| CWE-318 |
在可执行体中的明文存储 |
| CWE-32 |
路径遍历:'...' (三个点号) |
| CWE-322 |
未进行实体认证的密钥交换 |
| CWE-324 |
使用已过期的密钥 |
| CWE-327 |
使用已被攻破或存在风险的密码学算法 |
| CWE-669 |
在范围间的资源转移不正确 |
| CWE-670 |
控制流实现总是不正确 |
| CWE-672 |
在过期或释放后对资源进行操作 |
| CWE-674 |
未经控制的递归 |
| CWE-676 |
潜在危险函数的使用 |
| CWE-681 |
数值类型间的不正确转换 |
| CWE-683 |
使用不正确参数次序的函数调用 |
| CWE-685 |
使用不正确参数个数的函数调用 |
| CWE-687 |
使用不正确指定参数值的函数调用 |
| CWE-689 |
在资源拷贝时的权限竞争条件 |
| CWE-690 |
未检查返回值导致空指针解引用 |
| CWE-692 |
黑名单不完全导致跨站脚本 |
| CWE-694 |
使用多个具有重复标识的资源 |
| CWE-696 |
不正确的行为次序 |
| CWE-698 |
重定向后执行(EAR) |
| CWE-703 |
对异常条件检查或处理不恰当 |
| CWE-705 |
控制流范围控制不正确 |
| CWE-707 |
对消息或数据结构的处理不恰当 |
| CWE-71 |
Apple '.DS_Store' |
| CWE-72 |
Apple HFS+交换数据流路径处理不恰当 |
| CWE-732 |
关键资源的不正确权限授予 |
| CWE-74 |
输出中的特殊元素转义处理不恰当(注入) |
| CWE-75 |
特殊命令到另一不同平面时的净化处理不恰当(特殊命令注入) |
| CWE-755 |
对异常条件的处理不恰当 |
| CWE-757 |
在会话协商时选择低安全性的算法(算法降级) |
| CWE-759 |
使用未加Salt的单向哈希算法 |
| CWE-760 |
使用可预测Salt的单向哈希算法 |
| CWE-329 |
在CBC加密模式中未使用随机化IV向量 |
| CWE-330 |
使用不充分的随机数 |
| CWE-332 |
PRNG中信息熵不充分 |
| CWE-334 |
随机数的空间太小 |
| CWE-336 |
PRNG中使用相同种子 |
| CWE-338 |
使用具有密码学弱点缺陷的PRNG |
| CWE-34 |
路径遍历:'....//' |
| CWE-341 |
从可观察状态的可预测 |
| CWE-343 |
从先前值可预测取值范围 |
| CWE-345 |
对数据真实性的验证不充分 |
| CWE-347 |
密码学签名的验证不恰当 |
| CWE-349 |
在可信数据中接受外来的不可信数据 |
| CWE-350 |
不恰当地信任反向DNS |
| CWE-352 |
跨站请求伪造(CSRF) |
| CWE-354 |
完整性检查值验证不恰当 |
| CWE-357 |
对危险操作的UI警示不充分 |
| CWE-359 |
侵犯隐私 |
| CWE-360 |
信任系统事件数据 |
| CWE-363 |
允许符号链接跟随的竞争条件 |
| CWE-365 |
Switch语句中的竞争条件 |
| CWE-367 |
检查时间与使用时间(TOCTOU)的竞争条件 |
| CWE-369 |
除零错误 |
| CWE-370 |
在初始检查后缺失对证书撤销的验证 |
| CWE-373 |
废弃:状态同步错误 |
| CWE-375 |
返回不可变的对象给非可信调用者 |
| CWE-378 |
创建拥有不安全权限的临时文件 |
| CWE-38 |
路径遍历:'\absolute\pathname\here' |
| CWE-383 |
J2EE不安全实践:直接使用线程 |
| CWE-385 |
隐蔽时间通道 |
| CWE-39 |
路径遍历:'C:dirname' |
| CWE-391 |
未经检查的错误条件 |
| CWE-393 |
返回错误的状态编码 |
| CWE-395 |
使用NullPointerException捕捉来检测空指针解引用 |
| CWE-397 |
对通用异常声明Throws语句 |
| CWE-400 |
未加控制的资源消耗(资源穷尽) |
| CWE-402 |
将私有的资源传输到一个新的空间(资源泄露) |
| CWE-404 |
不恰当的资源关闭或释放 |
| CWE-406 |
对网络消息容量的控制不充分(网络放大攻击) |
| CWE-408 |
不正确的行为次序:早期放大攻击 |
| CWE-41 |
对路径等价的解析不恰当 |
| CWE-412 |
未加限制的外部可访问锁 |
| CWE-414 |
加锁检查缺失 |
| CWE-416 |
释放后使用 |
| CWE-42 |
路径等价:'filename.' (尾部点号) |
| CWE-421 |
当访问候选通道时的竞争条件 |
| CWE-762 |
不匹配的内存管理例程 |
| CWE-764 |
关键资源的多重加锁 |
| CWE-766 |
关键变量被公开声明 |
| CWE-768 |
不正确的快捷方式验证 |
| CWE-77 |
在命令中使用的特殊元素转义处理不恰当(命令注入) |
| CWE-771 |
对活跃已分配资源丧失索引 |
| CWE-773 |
对活跃文件描述符或句柄丧失索引 |
| CWE-775 |
缺失文件描述符或句柄在有效生命周期之后的释放处理 |
| CWE-777 |
没有下界集合的正则表达式 |
| CWE-779 |
日志记录过多数据 |
| CWE-78 |
OS命令中使用的特殊元素转义处理不恰当(OS命令注入) |
| CWE-781 |
在METHOD_NEITHERIO控制代码中的IOCTL地址验证不恰当 |
| CWE-783 |
操作符优先级逻辑错误 |
| CWE-785 |
路径操作函数中使用未进行大小限定的缓冲区 |
| CWE-787 |
跨界内存写 |
| CWE-789 |
未经控制的内存分配 |
| CWE-790 |
特殊元素过滤不恰当 |
| CWE-792 |
对一个或多个特殊元素实例的过滤不完全 |
| CWE-794 |
对特殊元素的多个实例的过滤不完全 |
| CWE-796 |
仅过滤与一个标记相关的特殊元素 |
| CWE-798 |
使用硬编码的凭证 |
| CWE-8 |
J2EE误配置:实体Bean远程声明 |
| CWE-804 |
可猜测的验证码 |
| CWE-806 |
使用源缓冲区的大小访问缓冲区 |
| CWE-81 |
错误消息Web页面中脚本转义处理不恰当 |
| CWE-820 |
缺失同步机制 |
| CWE-822 |
非可信指针解引用 |
| CWE-824 |
使用未经初始化的指针 |
| CWE-826 |
在预期生命周期中对资源的过早释放 |
| CWE-828 |
非异步安全功能中的信号处理例程 |
| CWE-83 |
Web页面属性中脚本转义处理不恰当 |
| CWE-831 |
与多个信号关联的信号处理例程 |
| CWE-833 |
死锁 |
| CWE-835 |
不可达退出条件的循环(无限循环) |
| CWE-837 |
对单一独特动作的实施不恰当 |
| CWE-839 |
未进行最小值检查的数值范围比较 |
| CWE-841 |
行为工作流的不恰当实施 |
| CWE-843 |
使用不兼容类型访问资源(类型混淆) |
| CWE-423 |
废弃(重复):可信通道被代理 |
| CWE-425 |
直接请求(强制性浏览) |
| CWE-427 |
对搜索路径元素未加控制 |
| CWE-43 |
路径等价:'filename....' (多个尾部的点号) |
| CWE-431 |
句柄缺失 |
| CWE-433 |
未加解析的原始Web内容分发 |
| CWE-435 |
交互错误 |
| CWE-437 |
端点特性的不完整模型 |
| CWE-44 |
路径等价:'file.name' (内部点号) |
| CWE-441 |
未有动机的代理或中间人(混淆代理) |
| CWE-444 |
HTTP请求的解释不一致性(HTTP请求私运) |
| CWE-447 |
在UI中的未实现或未支持特性 |
| CWE-449 |
UI执行错误动作 |
| CWE-450 |
UI输入的多重解释 |
| CWE-453 |
不安全的缺省变量初始化 |
| CWE-455 |
初始化失效后的不存在变量 |
| CWE-457 |
使用未经初始化的变量 |
| CWE-459 |
清理环节不完整 |
| CWE-460 |
抛出异常的清理不恰当 |
| CWE-463 |
对数据结构哨兵域的删除 |
| CWE-466 |
在预期范围外返回指针值 |
| CWE-468 |
不正确的指针放大 |
| CWE-47 |
路径等价:'filename'(开头空格) |
| CWE-471 |
对假设不可变数据的修改(MAID) |
| CWE-473 |
PHP参数外部修改 |
| CWE-475 |
从输入到API的未定义行为 |
| CWE-477 |
对废弃函数的使用 |
| CWE-479 |
信号处理例程中使用不可再入的函数 |
| CWE-480 |
使用操作符不正确 |
| CWE-482 |
错误将赋值符号写成比较符号 |
| CWE-484 |
在Switch语句中省略Break语句 |
| CWE-487 |
依赖包一级的范围 |
| CWE-489 |
遗留的调试代码 |
| CWE-491 |
公开的可克隆方法(对象劫持) |
| CWE-493 |
缺少Final Modifier的关键公开变量 |
| CWE-495 |
从公开方法中返回私有的数组类型数据域 |
| CWE-497 |
将系统数据暴露到未授权控制的范围 |
| CWE-499 |
可序列化的类中包含敏感信息 |
| CWE-50 |
路径等价:'//multiple/leading/slash' |
| CWE-501 |
违背信任边界 |
| CWE-506 |
内嵌的恶意代码 |
| CWE-508 |
非传播性的恶意代码 |
| CWE-51 |
路径等价:'/multiple//internal/slash' |
| CWE-511 |
逻辑/时间炸弹 |
| CWE-514 |
隐蔽通道 |
| CWE-516 |
废弃(重复):隐蔽时间通道 |
| CWE-520 |
.NET误配置:使用伪装 |
| CWE-522 |
不充分的凭证保护机制 |
| CWE-524 |
通过缓存导致的信息暴露 |
| CWE-526 |
通过环境变量导致的信息暴露 |
| CWE-528 |
将CoreDump文件暴露给非授权控制范围 |
| CWE-53 |
路径等价:'\multiple\internal\backslash' |
| CWE-531 |
通过测试代码导致的信息暴露 |
| CWE-533 |
通过服务器日志文件导致的信息暴露 |
| CWE-535 |
通过Shell错误消息导致的信息暴露 |
| CWE-537 |
通过Java运行时错误消息导致的信息暴露 |
| CWE-539 |
通过持久性Cookie导致的信息暴露 |
| CWE-540 |
通过源代码导致的信息暴露 |
| CWE-542 |
通过清理日志文件导致的信息暴露 |
| CWE-544 |
标准化错误处理机制缺失 |
| CWE-546 |
可疑注释 |
| CWE-548 |
通过目录枚举导致的信息暴露 |
| CWE-55 |
路径等价:'/./' (单点路径) |
| CWE-551 |
不正确的行为次序:在解析与净化处理之前进行授权 |
| CWE-553 |
外部可访问目录中的命令行Shell |
| CWE-555 |
J2EE误配置:在配置文件中明文存储口令 |
| CWE-558 |
在多线程应用程序中使用getlogin() |
| CWE-560 |
在chmod类型参数中使用umask() |
| CWE-562 |
返回栈上的变量地址 |
| CWE-564 |
SQL注入:Hibernate |
| CWE-566 |
通过用户控制SQL主密钥绕过授权机制 |
| CWE-568 |
没有super.finalize()的finalize()方法 |
| CWE-570 |
表达式永假 |
| CWE-86 |
Web页面标识中非法字符转义处理不恰当 |
| CWE-863 |
授权机制不正确 |
| CWE-88 |
参数注入或修改 |
| CWE-9 |
J2EE误配置:EJB方法弱访问权限 |
| CWE-908 |
对未经初始化资源的使用 |
| CWE-91 |
XML注入(XPath盲注) |
| CWE-911 |
引用计数的更新不恰当 |
| CWE-913 |
动态管理代码资源的控制不恰当 |
| CWE-915 |
动态确定对象属性修改的控制不恰当 |
| CWE-917 |
表达式语言语句中使用的特殊元素转义处理不恰当(表达式语言注入) |
| CWE-92 |
废弃:对定制特殊字符的规范化不恰当 |
| CWE-921 |
在没有访问控制机制中存储敏感数据 |
| CWE-923 |
通信信道对预期端点的不适当限制 |
| CWE-925 |
广播接收机对意图的不当验证 |
| CWE-927 |
隐式意图在敏感通信中的使用 |
| CWE-939 |
自定义URL方案处理程序中的授权不正确 |
| CWE-941 |
通信信道中错误指定的目的地 |
| CWE-1001 |
SFP辅助群集:使用不正确的应用编程接口 |
| CWE-1006 |
错误的编码做法 |
| CWE-1031 |
OWASP 2017年十大分类A5-失效的访问控制 |
| CWE-1034 |
OWASP 2017年十大分类A8-不安全的反序列化 |
| CWE-1147 |
SEI CERT Oracle Java安全编码标准-准则13.输入输出(FIO) |
| CWE-1150 |
SEI CERT Oracle Java安全编码标准-准则16.运行时环境(ENV) |
| CWE-1170 |
SEI CERT C编码标准-准则48.其他(MSC) |
| CWE-1175 |
SEI CERT Oracle Java安全编码标准-准则18.并发性(CON) |
| CWE-1181 |
SEI CERT Perl编码标准-准则03.表达式(EXP) |
| CWE-1182 |
SEI CERT Perl编码标准-准则04.整数(INT) |
| CWE-1183 |
SEI CERT Perl编码标准-准则05.字符串(STR) |
| CWE-1184 |
SEI CERT Perl编码标准-指南06.面向对象编程(OOP) |
| CWE-1185 |
SEI CERT Perl编码标准-准则07.文件输入和输出(FIO) |
| CWE-1186 |
SEI CERT Perl编码标准-准则50.其他(MSC) |
| CWE-133 |
字符串错误 |
| CWE-136 |
类型错误 |
| CWE-137 |
表示错误 |
| CWE-139 |
已弃用:通用特殊元素问题 |
| CWE-16 |
配置 |
| CWE-169 |
已弃用:技术特定的特殊元素 |
| CWE-17 |
已弃用:代码 |
| CWE-189 |
数值错误 |
| CWE-2 |
7PK-环境 |
| CWE-21 |
路径名遍历和等值错误 |
| CWE-227 |
7PK-API滥用 |
| CWE-251 |
经常被滥用:字符串管理 |
| CWE-254 |
7PK-安全功能 |
| CWE-255 |
凭证管理 |
| CWE-264 |
权限、特权和访问控制 |
| CWE-265 |
权限/沙箱问题 |
| CWE-275 |
None |
| CWE-3 |
已弃用:特定技术的环境问题 |
| CWE-310 |
加密问题 |
| CWE-361 |
7PK-时间和状态 |
| CWE-380 |
特定技术的时间和状态问题 |
| CWE-381 |
J2EE时间和状态问题 |
| CWE-387 |
信号错误 |
| CWE-388 |
7PK-错误 |
| CWE-389 |
错误条件、返回值、状态代码 |
| CWE-398 |
7PK-代码质量 |
| CWE-399 |
资源管理错误 |
| CWE-4 |
J2EE环境问题 |
| CWE-411 |
资源锁定问题 |
| CWE-417 |
通道和路径错误 |
| CWE-418 |
已弃用:频道错误 |
| CWE-429 |
处理程序错误 |
| CWE-445 |
已弃用:用户界面错误 |
| CWE-559 |
常见误用:形参和实参 |
| CWE-63 |
None |
| CWE-632 |
None |
| CWE-633 |
None |
| CWE-634 |
None |
| CWE-68 |
None |
| CWE-70 |
None |
| CWE-712 |
None |
| CWE-713 |
None |
| CWE-714 |
None |
| CWE-715 |
None |
| CWE-716 |
None |
| CWE-717 |
None |
| CWE-718 |
None |
| CWE-721 |
None |
| CWE-724 |
None |
| CWE-739 |
None |
| CWE-742 |
None |
| CWE-801 |
None |
| CWE-808 |
None |
| CWE-812 |
None |
| CWE-845 |
None |
| CWE-848 |
None |
| CWE-853 |
None |
| CWE-858 |
None |
| CWE-861 |
None |
| CWE-866 |
None |
| CWE-871 |
None |
| CWE-874 |
None |
| CWE-877 |
None |
| CWE-880 |
None |
| CWE-883 |
None |
| CWE-887 |
None |
| CWE-891 |
None |
| CWE-894 |
None |
| CWE-897 |
None |
| CWE-901 |
None |
| CWE-904 |
None |
| CWE-907 |
None |
| CWE-931 |
None |
| CWE-934 |
None |
| CWE-937 |
None |
| CWE-945 |
None |
| CWE-948 |
None |
| CWE-951 |
None |
| CWE-954 |
None |
| CWE-956 |
None |
| CWE-957 |
None |
| CWE-958 |
None |
| CWE-960 |
None |
| CWE-962 |
None |
| CWE-965 |
None |
| CWE-972 |
None |
| CWE-973 |
None |
| CWE-974 |
None |
| CWE-977 |
None |
| CWE-981 |
None |
| CWE-982 |
None |
| CWE-983 |
None |
| CWE-984 |
None |
| CWE-985 |
None |
| CWE-986 |
None |
| CWE-987 |
None |
| CWE-988 |
None |
| CWE-572 |
调用线程的run()方法而非start()方法 |
| CWE-574 |
EJB不安全实践:使用同步原语 |
| CWE-576 |
EJB不安全实践:使用Java I/O |
| CWE-578 |
EJB不安全实践:使用类加载器 |
| CWE-58 |
路径等价:Windows8.3形式文件名 |
| CWE-581 |
对象模型违背:仅定义了一个等式与散列码 |
| CWE-583 |
公开声明的finalize()方法 |
| CWE-585 |
空的同步代码块 |
| CWE-587 |
将一个固定地址复制给指针 |
| CWE-589 |
对非普适API的调用 |
| CWE-590 |
释放并不在堆上的内存 |
| CWE-592 |
认证绕过问题 |
| CWE-594 |
J2EE框架:将不可序列化的对象存储到磁盘上 |
| CWE-596 |
不正确的语义对象比较 |
| CWE-598 |
通过GET请求中的查询字符串导致的信息暴露 |
| CWE-6 |
J2EE误配置:会话ID长度不充分 |
| CWE-601 |
指向未可信站点的URL重定向(开放重定向) |
| CWE-603 |
使用客户端的认证机制 |
| CWE-606 |
循环条件输入未经检查 |
| CWE-608 |
Structs:动作表单类中存在非私有域 |
| CWE-61 |
UNIX符号链接跟随 |
| CWE-611 |
XML外部实体引用的不恰当限制(XXE) |
| CWE-613 |
不充分的会话过期机制 |
| CWE-615 |
通过注释导致的信息暴露 |
| CWE-617 |
可达断言 |
| CWE-619 |
数据库游标悬挂(游标注入) |
| CWE-620 |
未经验证的口令修改 |
| CWE-622 |
函数挂钩参数的验证不恰当 |
| CWE-624 |
可执行体正则表达式错误 |
| CWE-626 |
空字节交互错误 |
| CWE-628 |
使用不正确指定参数的函数调用 |
| CWE-637 |
保护机制不必要的复杂性(未使用经济性的机制) |
| CWE-989 |
None |
| CWE-990 |
None |
| CWE-991 |
None |
| CWE-992 |
None |
| CWE-993 |
None |
| CWE-994 |
None |
| CWE-995 |
None |
| CWE-996 |
None |
| CWE-997 |
None |
| CWE-998 |
None |
| CWE-1000 |
None |
| CWE-1026 |
None |
| CWE-1133 |
SEI CERT Oracle Java编码标准解决的弱点 |
| CWE-1200 |
None |
| CWE-629 |
None |
| CWE-635 |
None |
| CWE-888 |
None |
| CWE-900 |
None |
| CWE-919 |
None |
| CWE-639 |
通过用户控制密钥绕过授权机制 |
| CWE-640 |
忘记口令恢复机制弱 |
| CWE-642 |
对关键状态数据的外部可控制 |
| CWE-644 |
对HTTP头部进行脚本语法转义处理不恰当 |
| CWE-646 |
依赖于外部提供文件的文件名或扩展名 |
| CWE-648 |
特权API的不正确使用 |
| CWE-65 |
Windows硬链接 |
| CWE-651 |
通过WSDL文件导致的信息暴露 |
| CWE-653 |
不充分的划分 |
| CWE-655 |
不充分的心理学可接受性 |
| CWE-657 |
违背安全设计原则 |
| CWE-662 |
不恰当的同步机制 |
| CWE-664 |
在生命周期中对资源的控制不恰当 |
| CWE-666 |
在生命周期错误阶段对资源进行操作 |
| CWE-668 |
将资源暴露给错误范围 |
| CWE-67 |
Windows设备名处理不恰当 |
| CWE-671 |
缺乏对安全的管理控制 |
| CWE-673 |
范围定义的外部影响 |
| CWE-675 |
对资源的重复操作 |
| CWE-680 |
整数溢出导致缓冲区溢出 |
| CWE-682 |
数值计算不正确 |
| CWE-684 |
特定函数功能的不正确供给 |
| CWE-686 |
使用不正确参数类型的函数调用 |
| CWE-688 |
使用不正确变量或索引作为参数的函数调用 |
| CWE-69 |
Windows::DATA交换数据流处理不恰当 |
| CWE-691 |
不充分的控制流管理 |
| CWE-693 |
保护机制失效 |
| CWE-695 |
使用底层的功能例程 |
| CWE-697 |
不充分的比较 |
| CWE-7 |
J2EE误配置:缺少定制错误页面 |
| CWE-704 |
不正确的类型转换 |
| CWE-706 |
使用不正确的解析名称或索引 |
| CWE-708 |
不正确的属主授予 |
| CWE-710 |
编程规范违背 |
| CWE-73 |
文件名或路径的外部可控制 |
| CWE-733 |
编译器优化对安全关键代码的移除或修改 |
| CWE-749 |
暴露危险的方法或函数 |
| CWE-754 |
对因果或异常条件的不恰当检查 |
| CWE-756 |
定制错误页面缺失 |
| CWE-758 |
依赖未定义、未指明或实现定义的行为 |
| CWE-76 |
等价特殊元素的转义处理不恰当 |
| CWE-761 |
释放一个不在缓冲区起始位置的指针 |
| CWE-763 |
对无效指针或索引的释放 |
| CWE-765 |
关键资源的多重解锁 |
| CWE-767 |
通过公开方法可访问到关键的私有数据 |
| CWE-769 |
文件描述符穷尽 |
| CWE-770 |
不加限制或调节的资源分配 |
| CWE-772 |
对已超过有效生命周期的资源丧失索引 |
| CWE-774 |
不加限制或调节进行文件描述符或句柄的分配 |
| CWE-776 |
DTD中递归实体索引的不恰当限制(XML实体扩展) |
| CWE-778 |
不充分的日志记录 |
| CWE-780 |
未配合OAEP使用RSA算法 |
| CWE-782 |
无充分访问控制条件下暴露IOCTL |
| CWE-784 |
在安全决策中依赖未经验证和完整性检查的Cookie |
| CWE-786 |
在缓冲区起始位置之前访问内存 |
| CWE-788 |
在缓冲区结束位置之后访问内存 |
| CWE-79 |
在Web页面生成时对输入的转义处理不恰当(跨站脚本) |
| CWE-791 |
特殊元素过滤不完全 |
| CWE-793 |
仅过滤一个特殊元素的单一实例 |
| CWE-795 |
仅在一个特定位置过滤特殊元素 |
| CWE-797 |
仅在一个绝对路径位置过滤特殊元素 |
| CWE-799 |
交互频率的控制不恰当 |
| CWE-80 |
Web页面中脚本相关HTML标签转义处理不恰当(基本跨站脚本) |
| CWE-805 |
使用不正确的长度值访问缓冲区 |
| CWE-807 |
在安全决策中依赖未经信任的输入 |
| CWE-82 |
Web页面IMG标签属性中脚本转义处理不恰当 |
| CWE-821 |
不正确的同步机制 |
| CWE-823 |
使用越界的指针偏移 |
| CWE-825 |
无效指针解引用 |
| CWE-827 |
文档类型定义的不恰当控制 |
| CWE-829 |
从非可信控制范围包含功能例程 |
| CWE-830 |
从非可信源包含Web功能例程 |
| CWE-832 |
对未加锁的资源进行解锁 |
| CWE-834 |
过度迭代 |
| CWE-836 |
在认证机制中使用口令哈希代替口令 |
| CWE-838 |
输出上下文语义编码不恰当 |
| CWE-84 |
Web页面编码URIScheme转义处理不恰当 |
| CWE-842 |
将用户置入不正确的用户组 |
| CWE-85 |
双字符XSS操纵 |
| CWE-862 |
授权机制缺失 |
| CWE-87 |
替代XSS语法转义处理不恰当 |
| CWE-89 |
SQL命令中使用的特殊元素转义处理不恰当(SQL注入) |
| CWE-90 |
LDAP查询中使用的特殊元素转义处理不恰当(LDAP注入) |
| CWE-909 |
资源初始化缺失 |
| CWE-910 |
使用过期的文件描述符 |
| CWE-912 |
隐藏功能 |
| CWE-914 |
动态识别变量的控制不恰当 |
| CWE-916 |
使用具有不充分计算复杂性的口令哈希 |
| CWE-918 |
服务端请求伪造(SSRF) |
| CWE-920 |
功耗限制不当 |
| CWE-922 |
敏感信息的不安全存储 |
| CWE-924 |
通信信道中传输过程中消息完整性的不正确执行 |
| CWE-926 |
Android应用程序组件导出不当 |
| CWE-93 |
对CRLF序列的转义处理不恰当(CRLF注入) |
| CWE-940 |
通信信道源的不正确验证 |
| CWE-943 |
数据查询逻辑中特殊元素的不当中和 |
| CWE-100 |
已弃用:特定技术的输入验证问题 |
| CWE-1005 |
7PK-输入验证和表示 |
| CWE-101 |
已弃用:Struts验证问题 |
| CWE-1010 |
验证参与者 |
| CWE-1011 |
授权参与者 |
| CWE-1012 |
交叉切割 |
| CWE-1013 |
加密数据 |
| CWE-1014 |
识别参与者 |
| CWE-1015 |
限制访问 |
| CWE-1016 |
限制暴露 |
| CWE-1017 |
锁定计算机 |
| CWE-1018 |
管理用户会话 |
| CWE-1019 |
输入验证 |
| CWE-1020 |
验证消息完整性 |
| CWE-1027 |
OWASP 2017年十大分类A1-注入 |
| CWE-1028 |
OWASP 2017年十大分类A2-失效的身份认证 |
| CWE-1029 |
OWASP 2017年十大分类A3-敏感信息泄漏 |
| CWE-1030 |
OWASP 2017年十大分类A4-XML外部实体(XXE) |
| CWE-1033 |
OWASP 2017年十大分类A7-跨站脚本(XSS) |
| CWE-1036 |
OWASP 2017年十大分类A10-不足的日志记录和监控 |
| CWE-1129 |
CISQ质量测量-可靠性 |
| CWE-1130 |
CISQ质量测量-可维护性 |
| CWE-1131 |
CISQ质量措施-安全 |
| CWE-1132 |
CISQ质量标准-绩效 |
| CWE-1134 |
SEI CERT Oracle Java安全编码标准-准则00.输入验证和数据清理(IDS) |
| CWE-1135 |
SEI CERT Oracle Java安全编码标准-准则01.声明和初始化(DCL) |
| CWE-1148 |
SEI CERT Oracle Java安全编码标准-准则14.序列化(SER) |
| CWE-1151 |
SEI CERT Oracle Java安全编码标准-准则17.Java本机接口(JNI) |
| CWE-1171 |
SEI CERT C编码标准-准则50.POSIX(POS) |
| CWE-1179 |
SEI CERT Perl编码标准-指南01.输入验证和数据消毒(IDS) |
| CWE-171 |
清理、规范化和比较错误 |
| CWE-19 |
数据处理错误 |
| CWE-320 |
密钥管理错误 |
| CWE-371 |
状态问题 |
| CWE-438 |
行为问题 |
| CWE-452 |
初始化和清除错误 |
| CWE-569 |
表达问题 |
| CWE-719 |
None |
| CWE-722 |
None |
| CWE-725 |
None |
| CWE-740 |
None |
| CWE-743 |
None |
| CWE-802 |
None |
| CWE-810 |
None |
| CWE-813 |
None |
| CWE-846 |
None |
| CWE-849 |
None |
| CWE-854 |
None |
| CWE-859 |
None |
| CWE-864 |
None |
| CWE-867 |
None |
| CWE-869 |
None |
| CWE-872 |
None |
| CWE-875 |
None |
| CWE-878 |
None |
| CWE-881 |
None |
| CWE-885 |
None |
| CWE-889 |
None |
| CWE-892 |
None |
| CWE-895 |
None |
| CWE-898 |
None |
| CWE-902 |
None |
| CWE-905 |
None |
| CWE-929 |
None |
| CWE-932 |
None |
| CWE-935 |
None |
| CWE-938 |
None |
| CWE-946 |
None |
| CWE-949 |
None |
| CWE-952 |
None |
| CWE-955 |
None |
| CWE-959 |
None |
| CWE-961 |
None |
| CWE-963 |
None |
| CWE-967 |
None |
| CWE-968 |
None |
| CWE-969 |
None |
| CWE-970 |
None |
| CWE-971 |
None |
| CWE-976 |
None |
| CWE-980 |
None |
| CWE-1008 |
None |
| CWE-1128 |
CISQ质量措施(2016) |
| CWE-1178 |
SEI CERT Perl编码标准解决的弱点 |
| CWE-604 |
不推荐使用的条目 |
| CWE-631 |
None |
| CWE-659 |
None |
| CWE-660 |
None |
| CWE-661 |
None |
| CWE-677 |
None |
| CWE-678 |
None |
| CWE-679 |
None |
| CWE-699 |
None |
| CWE-700 |
None |
| CWE-701 |
None |
| CWE-702 |
None |
| CWE-709 |
命名链 |
| CWE-711 |
None |
| CWE-734 |
None |
| CWE-750 |
None |
| CWE-800 |
None |
| CWE-809 |
None |
| CWE-844 |
None |
| CWE-868 |
None |
| CWE-884 |
None |
| CWE-999 |
None |
