Research Concepts
该视图旨在促进对弱点的研究,包括它们之间的相互依赖性,并可用来系统地找出CWE内部的理论差距。它对弱点进行了分类,在很大程度上忽略了如何检测它们,它们出现在代码中的什么地方,以及它们何时被引入软件开发生命周期。相反,它主要是根据软件行为的抽象来组织的。Development Concepts
该视图围绕软件开发中经常使用或遇到的概念组织弱点。因此,该视图可以与开发人员、教育工作者和评估供应商的观点紧密一致。它提供了多种类别,旨在简化导航、浏览和映射。Architectural Concepts
该视图根据常见的架构安全策略组织弱点。它旨在帮助架构师识别设计软件时可能出现的潜在错误。
CWE-247: 在安全决策中依赖DNS查询
CWE-249: 废弃:经常性滥用:路径操纵
CWE-250: 带着不必要的权限执行
CWE-253: 对函数返回值的检查不正确
CWE-257: 以可恢复格式存储口令
CWE-259: 使用硬编码的口令
CWE-260: 配置文件中存储口令
CWE-262: 未使用口令老化机制
CWE-266: 特权授予不正确
CWE-268: 特权链锁
CWE-27: 路径遍历:'dir/../../filename'
CWE-271: 特权放弃/降低错误
CWE-273: 对于放弃特权的检查不恰当
CWE-276: 缺省权限不正确
CWE-278: 不安全的预留继承权限
CWE-28: 路径遍历:'..\filedir'
CWE-281: 权限预留不恰当
CWE-283: 未经验证的属主
CWE-285: 授权机制不恰当
CWE-287: 认证机制不恰当
CWE-289: 使用候选名称进行的认证绕过
CWE-290: 使用欺骗进行的认证绕过
CWE-292: 信任自主报告的DNS名称
CWE-294: 使用捕获-重放进行的认证绕过
CWE-296: 证书信任链回溯不恰当
CWE-298: 证书过期验证不恰当
CWE-30: 路径遍历:'\dir\filename'
CWE-301: 认证协议中的反射攻击
CWE-303: 认证算法的不正确实现
CWE-305: 使用基本弱点进行的认证绕过
[共 1189 条]