CWE-通用弱点枚举简介

最新推荐文章于 2023-11-02 12:02:19 发布
最新推荐文章于 2023-11-02 12:02:19 发布
阅读量3.9k 收藏 3
点赞数 2
分类专栏: 漏洞检查 文章标签: 软件安全漏洞 漏洞检查 静态分析 CWE 黑客攻击
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/plstudio1/article/details/88665188
版权

对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战不殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。

CWE是社区开发的常见软件安全漏洞列表。它是一种通用语言,是软件安全工具的衡量标准,也是弱点识别、缓解和预防工作的基准。不仅仅是开发人员,CWE对软件设计者、测试人员、质保人员、测评结构等软件整个生存周期所涉及到的人员都相关。而且,它也是软件安全相关领域研究人员的重要参考。对于软件弱点,不同的人员有不同的角度,因此,CWE给出了很多视图,每个视图都是从特定的角度来阐述软件弱点,以使相关领域的人员更易于理解。

“C软件视图”中包括了使用C语言开发的软件中存在的一些特定的弱点,这些弱点在其它语言(不包括C++)中一般不会出现。由于本人是研发人员,而且,c语言至今仍然是重要行业中使用最广泛的语言,所以,我们就从CWE的“C软件视图”开启认识CWE的第一步。

plstudio1
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
常见的软件缺陷与风险
oscar999的专栏
10-06 821
MITRE 和 OWASP 每年都会发布软件的常见和危险的弱点软件弱点包括在软件解决方案的代码、体系结构、实现或设计中发现的缺陷、bug、漏洞或各种其他错误。 提醒开发者在软件开发的时候予以注意和防护。
cwe-sdk-[removed]符合MITER CAPEC的通用弱点枚举CWE)Node.js SDK
05-08
cwe-sdk 符合MITER / CAPEC的通用弱点枚举CWE)Node.js SDK 安装 yarn add cwe-sdk 用法 需要CweManager类并使用其方法 const { CweManager } = require ( 'cwe-sdk' ) 例子 const { CweManager } = require ( 'cwe-sdk' ) const cweManager = new CweManager ( ) const result = cweManager . isChildOf ( { weaknessId : '117' , parentId : '116' } ) console . log ( result ) // true 建造 此CWE SDK的构建过程通过下载最新版本的CWE归档文件(例如 )来准备JSON数据,然后将其处理到创建以下数据快
CWE(Common Weakness Enumeration,通用缺陷枚举
最新发布
我的博客
11-02 438
总的来说,CVE是用于标识和命名特定漏洞的标准,而CWE则是用于分类和描述可能导致漏洞弱点类型的标准。它是一个完整的缺陷数据库,为组织技术堆栈的基于软件和硬件的安全性的弱点识别和修复提供了基线。此漏洞也称为OS 命令注入,当应用程序未消除输入中存在的元素时,该漏洞处于活动状态,这些元素在发送到预期的下游组件时可能会修改命令。以上只是一部分常见的 CWE 类型,实际上 CWE 数据库对超过600类和基本级别的弱点进行分类,最严重的类型列在CWE Top 25。
CVE&CWE概念及其关系
热门推荐
fufu_good的博客
01-29 10万+
1. 概念 CVE (Common Vulnerabilities & Exposures,通用漏洞和风险)是国际著名的安全漏洞库,也是对已知漏洞和安全缺陷的标准化名称的列表,它是一个由企业界、政府界和学术界综合参与的国际性组织,采取一种非盈利的组织形式,其使命是为了能更加快速而有效地鉴别、发现和修复软件产品的安全漏洞CWE(Common Weakness Enumeration,通...
通用弱点评价体系(CVSS)简介
xp6033的专栏
11-01 1520
http://www.xfocus.net一、综述弱点(vulnerabilities)是网络安全中的一个重要因素,在多种安全产品(如漏洞扫描、入侵检测、防病毒、补丁管理等)中涉及到对弱点及其可能造成的影响的评价。但目前业界并没有通用统一的评价体系标准。通用弱点评价体系(CVSS)是由NIAC开发、FIRST维护的一个开放并且能够被产品厂商免费采用的标准。利用该标准,可以对
(网络安全数据集三)常见弱点枚举 CWE数据集和通用平台枚举 CPE解析
Bulldozer_GD的博客
09-12 2698
CWE解析 下面是CWE-209 信息的解析 包含 威胁名称 、相关弱点、常见后果、检测方法、缓解措施、例子和 条目更改的信息等。 <Weaknesses> <Weakness ID="209" Name="Information Exposure Through an Error Message" Abstraction="Base" Structure="Si...
CWE通用缺陷对照表记录
weixin_45513192的博客
10-14 4760
CWE通用缺陷对照表记录 CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’) CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access of Indexable Resource (‘Range Error’) CWE-119 : Buffer
【应用安全实践】Java代码中的CWE-400的安全漏洞如何解决
zoekimjun的专栏
07-23 306
应用安全实践,Java代码中的CWE-400的安全漏洞如何解决,不信任的输入"(Uncontrolled Resource Consumption)
源代码漏洞分析数据处理
weixin_43334908的博客
08-25 3432
介绍 近年来安全漏洞数量逐年攀升,源代码静态分析被广泛应用于软件中的漏洞检测,但纯粹的静态数据分析耗时且费力,而利用深度学习的方法自动检测出源代码中的漏洞的方法则逐渐凸显优势。使用的源代码漏洞数据均为C/C++源程序,利用joern针对某些与漏洞相关的API库函数为关注点提取切片,并根据源程序漏洞记录文件对提取的切片做有无漏洞的标签记录。对切片做预处理生成向量之后输入到神经网络中训练并预测漏洞位置...
CWE-676: Use of Potentially Dangerous Function(使用不安全函数)
plstudio1的博客
05-20 818
ID: 676 类型:基础 结构:简单 状态:草稿 描述 该程序调用一个潜在的危险函数,如果使用不当,可能会引入一个漏洞,但该函数也可以安全使用。 相关视图 与“研究层面”视图(CWE-1000)相关 与“开发层面”视图(CWE-699)相关 引入模式 阶段 说明 架构与设计 ...
cwe-tool:基于常见弱点枚举的OWASP CAPSEC数据库的命令行CWE发现工具
05-23
安装可通过Node.js工具执行如果您具有Node.js环境,则可以使用cwe-tool调用cwe-tool tool,如下所示: npx cwe-tool [...command-line options...]码头工人从Docker Hub提取图像docker pull lirantal/cwe-tooldocker...
CWE-checker分析.pptx
10-24
CWE Checker通常会扫描二进制文件,查找与CWE中描述的已知软件弱点相关的迹象。它可以帮助开发人员发现潜在的安全问题,并提供建议或建议修复方案,以改进软件的安全性。 项目地址: ...
Portcullis CWE Search-crx插件
04-04
此扩展为常见的弱点枚举CWE)数据库提供快速搜索功能。 此扩展为常见的弱点枚举CWE)数据库提供快速搜索功能。 使用此扩展,Portcullis测试团队能够使用正则表达式和/或密钥字来搜索完整的CWE字典,以快速识别最...
CVE-CWE概念与理解介绍
05-20
CVE-CWE概念与理解介绍。什么是CVE?什么是CWE?他们之间的关联与评分标准。
信息安全术语-cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
-
05-09 3024
cvss、cve、cnvd、cnnvd、cpe、cwe、nvd
认识CWE和CVE
manok的专栏
05-18 1万+
在源代码安全领域工作的朋友都知道CWE和CVE,但是还是有一些朋友不太了解这两个词语。这里我根据网络资料和经验整理一下,供刚进入该领域人员的参考。 CWE(Common Weakness Enumeration,通用缺陷枚举)。是由美国国土安全部国家计算机安全部门资助的软件安全战略性项目。 CVE (Common Vulnerabilities & Exposures,常用漏洞和风险)...
物联网漏洞分类总结
Chary的Blog
07-12 3726
一、物联网漏洞分类 二、造成漏洞的原因 1 不安全的Web接口 一般情况下,攻击者首先会在智能设备的Web接口中寻找XSS、CSRF和SQLi漏洞。此外,这些接口中还经常出现“默认用户名和密码”和“缺乏帐户锁定机制”之类的漏洞。 设备类型 设备名称 CWE 安全影响 Heatmiser恒温器 CWE-598:通过GET请求中的查询字符串泄露信息 攻击者可以访问设备的所有设置,进而根据攻击者的意愿来随意更改各种设置,例如时间或温度。 工业无线接入点Moxa AP CWE-79:网页生成过程中没有对输入进行严
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
网络安全
02-26 5516
Common Weakness Enumeration,简称CWE,它是由MITRE公司维护的一个开放的、可扩展的通用语言,用于描述软件及硬件缺陷。CWE可以让安全研究人员、开发人员和安全管理人员能够更好地理解和解决安全问题。CWE本质就是一个软件和硬件缺陷类型列表,当前最新版本为4.10。本文中所提到的缺陷指软件、固件、硬件或服务组件中的一种状态,在某些情况下,可能导致漏洞的引入。
cwe_checker初识别
无痕的博客
07-06 1404
cwe_checker:检测常见错误类的检查,主要目标是帮助分析师快速找到潜在的易受攻击的代码路径
CWE-200漏洞浮现
08-30
CWE-200是指"信息暴露"(Information Exposure)的一种常见的软件安全漏洞。当某个系统或应用程序在处理敏感信息时,没有正确地保护或隐藏这些敏感信息,就可能导致信息暴露漏洞的出现。 这类漏洞可能会暴露用户的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

plstudio1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值