CWE - VULHUB开源网络安全威胁库

Research Concepts

该视图旨在促进对弱点的研究，包括它们之间的相互依赖性，并可用来系统地找出CWE内部的理论差距。它对弱点进行了分类，在很大程度上忽略了如何检测它们，它们出现在代码中的什么地方，以及它们何时被引入软件开发生命周期。相反，它主要是根据软件行为的抽象来组织的。

CWE-682:数值计算不正确

CWE-118:对可索引资源的访问不恰当（越界错误）

CWE-330:使用不充分的随机数

CWE-435:交互错误

CWE-664:在生命周期中对资源的控制不恰当

CWE-691:不充分的控制流管理

CWE-693:保护机制失效

CWE-697:不充分的比较

CWE-703:对异常条件检查或处理不恰当

CWE-707:对消息或数据结构的处理不恰当

CWE-710:编程规范违背

Development Concepts

该视图围绕软件开发中经常使用或遇到的概念组织弱点。因此，该视图可以与开发人员、教育工作者和评估供应商的观点紧密一致。它提供了多种类别，旨在简化导航、浏览和映射。

CWE-16:配置

CWE-19:数据处理错误

CWE-21:路径名遍历和等值错误

CWE-189:数值错误

CWE-254:7PK-安全功能

CWE-361:7PK-时间和状态

CWE-389:错误条件、返回值、状态代码

CWE-399:资源管理错误

CWE-417:通道和路径错误

CWE-429:处理程序错误

CWE-438:行为问题

CWE-840:业务逻辑错误

CWE-442:网络问题

CWE-355:用户界面安全问题

CWE-452:初始化和清除错误

CWE-465:指针问题

CWE-490:移动代码问题

CWE-559:常见误用：形参和实参

CWE-569:表达问题

CWE-657:违背安全设计原则

CWE-1006:错误的编码做法

Architectural Concepts

该视图根据常见的架构安全策略组织弱点。它旨在帮助架构师识别设计软件时可能出现的潜在错误。

CWE-1009:审计

CWE-1010:验证参与者

CWE-1011:授权参与者

CWE-1012:交叉切割

CWE-1013:加密数据

CWE-1014:识别参与者

CWE-1015:限制访问

CWE-1016:限制暴露

CWE-1017:锁定计算机

CWE-1018:管理用户会话

CWE-1019:输入验证

CWE-1020:验证消息完整性