CWE通用缺陷对照表记录

最新推荐文章于 2025-02-26 23:09:03 发布
最新推荐文章于 2025-02-26 23:09:03 发布
阅读量5.2k 收藏 7
点赞数
分类专栏: 代码规范 C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45513192/article/details/107490463
版权
该博客详细记录了CWE(Common Weakness Enumeration)通用缺陷对照表中的多项安全漏洞,包括输入验证、权限控制、资源管理等多个方面的缺陷类型,如CWE-123、CWE-129、CWE-284等,旨在提升软件安全意识和防护能力。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CWE通用缺陷对照表记录

CWE-1 : Location
CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers (‘HTTP Response Splitting’)
CWE-116 : Improper Encoding or Escaping of Output
CWE-118 : Improper Access of Indexable Resource (‘Range Error’)
CWE-119 : Buffer Errors
CWE-123 : Write-what-where Condition
CWE-125 : Out-of-bounds Read
CWE-129 : Improper Validation of Array Index
CWE-134 : Format String Vulnerability
CWE-137 : Representation Errors
CWE-16 : Configuration
CWE-17 : Code
CWE-171 : Cleansing, Canonicalization, and Comparison Errors
CWE-172 : Encoding Error
CWE-18 : Source Code
CWE-184 : Incomplete Blacklist
CWE-185 : Incorrect Regular Expression
CWE-189 : Numeric Errors
CWE-19 : Data Handling
CWE-190 : Integer Overflow or Wraparound
CWE-191 : Integer Underflow (Wrap or Wraparound)
CWE-199 : Information Management Errors

最低0.47元/天 解锁文章
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
2302_76672693的博客
12-19 1218
「 网络安全常用术语解读 」通用缺陷枚举CWE详解
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
CWE TOP 25威胁
weixin_43500506的博客
03-11 3596
CWE TOP 25 Top-1 CWE-119 缓冲区错误 软件在内存缓冲区上执行操作,但是它可以读取或写入缓冲区的预定边界以外的内存位置。 某些语言允许直接访问内存地址,但是不能自动确认这些内存地址是有效的内存缓冲区。这可能导致在与其他变量、数据结构或内部程序数据相关联的内存位置上执行读/写操作。 危害如下: 机密性、完整性和可用性。攻击者可能执行任意代码、修改预定的控制流、读取敏感信息或导致系统崩溃。 如何防范: 1.编写代码时注意越界问题 2.设置检测关卡监视内存使用情况 Top-2 CWE-79
CWE通用缺陷对照表
黑面狐
06-20 4405
CWE通用缺陷对照表记录CWE-1 : Location CWE-113 : Improper Neutralization of CRLF Sequences in HTTP Headers ('HTTP Response Splitting') CWE-116 : Improper Encoding or Escaping of Output CWE-118 : Improper Access...
CWE checker
最新发布
qq_62554190的博客
02-26 300
cwe_checker 是一套用于检测常见错误类别(例如空指针取消引用和缓冲区溢出)的检查工具。这些错误类别正式称为常见弱点枚举(CWE)。这些检查基于各种分析技术,从简单的启发式方法到基于抽象解释的数据流分析。其主要目标是帮助分析师快速找到潜在的易受攻击的代码路径。
语言弱点列表--CWE,一个值得学习的网站
二进制君
06-26 1006
CWE 是社区开发的具有安全影响的常见软件和硬件漏洞类型列表。“弱点”是软件或硬件实现、代码、设计或架构中的缺陷、故障、错误或其他错误,如果不加以解决,可能会导致系统、网络或硬件容易受到攻击。针对开发和安全从业者社区,CWE 的主要目标是通过教育软件和硬件架构师、设计师、程序员和收购方如何在产品交付之前消除最常见的错误,从源头上阻止漏洞。最终,使用 CWE 有助于防止各种困扰软件和硬件行业并使企业面临风险的安全漏洞。给出C和C++的CWE:https://cwe.mitre.org/data/definit
Common Weakness Enumeration (CWE) 2021 Lastest
std86021的博客
03-27 873
Common Weakness Enumeration (CWE™) is a community-developed list of common software and hardware weakness types that have security ramifications. “Weaknesses” are flaws, faults, bugs, or other errors in software or hardware implementation, code, design, or
CWE TOP25备份
weixin_42108533的博客
05-10 835
CWE TOP25备份
CWE-通用弱点枚举简介
plstudio1的博客
03-19 4129
对于软件来说,安全是航空、航天、军工、电力、金融等关键行业极为重视的特性之一。因此,保证软件尽量安全是软件研发人员的重要责任。可以说,软件安全漏洞是软件研发者的一大死敌。古语有云:知彼知己,百战不殆。要想取得战争的胜利,就要尽可能充分认识软件安全漏洞。CWE就是认识它们的一个窗口。从今天开始,我通过把CWE中的内容逐步翻译出来,同大家一起认识和了解软件漏洞,进而找到制服它们的方法。 CWE是社区...
安全漏洞分类之CNNVD漏洞分类指南
明光札记
11-30 7652
凡是被国家信息安全漏洞库(CNNVD)收录的漏洞,均适用此分类规范,包括采集的公开漏洞以及收录的未公开漏洞,通用型漏洞及事件型漏洞。CNNVD将信息安全漏洞划分为26种类型,分别是:配置错误、代码问题、资源管理错误、数字错误、信息泄露、竞争条件、输入验证、缓冲区错误、格式化字符串、跨站脚本、路径遍历、后置链接、SQL注入、注入、代码注入、命令注入、操作系统命令注入、安全特征问题、授权问题、信任管理、加密问题、未充分验证数据可靠性、跨站请求伪造、权限许可和访问控制、访问控制错误、资料不足。
dependency-check安全漏洞扫描:rxnetty,spring_framework等版本问题
进击的小白
10-21 4000
现象 最近在使用dependency-check做项目安全漏洞检查时,发现有一个严重漏洞无法修复。 rxnetty-0.4.20.jar rxnetty-servo-0.4.9.jar
CWE学习(一)
qq_44370676的博客
04-28 5591
CWECWE-20: Improper Input Validation示例代码1示例代码2CWE-22: Improper Limitation of a Pathname to a Restricted Directory示例代码1CWE-78: Improper Neutralization of Special Elements used in an OS Command示例代码1CWE-119: Improper Restriction of Operations within the Bound
BinAbsInspector部署、使用与原理分析
IronmanJay
10-18 1101
本博客的主要内容为BinAbsInspector的部署、使用与原理分析。本博文内容较长,因为涵盖了BinAbsInspector的几乎全部内容,从部署的详细过程到如何使用BinAbsInspector进行漏洞检测,以及对BinAbsInspector进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对BinAbsInspector有更深的了解。以下就是本篇博客的全部内容了。
(OWASP)(笔记)(代码审计)OWASP TOP TEN 2021
aaaadoga的博客
07-16 1034
这篇文章是关于作者学习2021版owasp top 10的笔记在我个人看来,了解这份报告,一个目的是为了面试(笑),另一个目的是方便确定代码审计的切入点,关于这一点,我在文章最后进行了一个总结,这个总结可能不够全面,哪位朋友有意见或疑惑可以留言或联系在学习了这一份报告后,我们在审计一个项目时,可以考虑从以下方面入手系统的访问控制机制系统提供的api是否能接受不同的http方法的请求?系统的CORS配置是什么?有无漏洞?能不能直接访问系统的后台界面?系统的认证和授权框架。
Find-Sec-Bugs 漏洞范例
zhaohonghan的博客
04-03 1万+
Find-Sec-Bugs 漏洞范例 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: ...
漏洞发展趋势摘要
m0_73803866的博客
10-27 672
随着计算机网络技术的发展,全球互联网体量急速膨胀,网络安全形势日益严峻,国家政治、经济、 文化、社会及公民在网络空间的合法权益面临严峻挑战。近些年来安全漏洞数量呈现递增趋势,基于漏 洞的网络安全事件层出不穷,为我们敲响了信息安全攻防战的警钟。软件由于开发及设计等各方面的原因,存在漏洞在所难免。对安全研究人员来说,通过对漏洞发展 趋势的研究,可以在攻击者利用漏洞造成危害之前,提出及时有效的修补方案,尽可能的减少攻击事件 的发生。
java代码审计手书(三)
一个码农的笔记
11-24 1万+
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 在使用脚本引擎的时潜在的代码注入 漏洞特征:SCRIPT_ENGINE_INJECTION 请严格的评估动态代码。应该仔细分析代码的结构。恶意代码的执行会导致数据的泄露或者执行任意系统指令。 如果你想动态的运行代码,那么请找一个沙箱(见引用) 有害的代码: public void runCusto...
【悟空云课堂】第二十二期:HTTP响应拆分漏洞(CWE-113)
Tianqi_Wukong的博客
01-20 799
【悟空云课堂】第二十二期:HTTP响应拆分漏洞 什么是HTTP响应拆分? HTTP响应拆分是由于应用程序未对用户提交的数据进行严格过滤,如果用户输入的值中注入了CRLF字符,有可能改变HTTP报头结构。 HTTP响应拆分漏洞,也叫CRLF注入攻击。CR、LF分别对应回车(即URL编码%0d或\r)、换行(即URL编码%0a或\n)字符。HTTP头由很多被CRLF组合分离的行构成,每行的结构都是“键:值”。 攻击者可以在HTTP标头中包含攻击的报文数据,从而让浏览器按照攻击者想要达到的目的进行HTTP响应。
CWE最新数据XML文件压缩包解析
CWE是MITRE组织维护的一个项目,旨在提供一个通用的、可扩展的弱点类别的权威目录,用于增强软件和系统的安全性。CWE项目通过定义一系列的弱点类别,帮助安全专家、开发人员和软件评估工具理解和分类软件中的弱点,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值