脅威クラスおよび関連する CWE 番号
AppScan 360° でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
脅威クラス | CWE |
---|---|
機能の悪用 | 10、117、16、20、200、22、284、288、434、441、456、472、489、494、497、522、601、610、618、74、77、78、79、829、98 |
ブルート・フォース | 204、307、340 |
バッファー・オーバーフロー | 119、120、189、825 |
コンテンツ・スプーフィング | 327、345、 359、 74、 79 |
資格情報/セッション予測 | 330 |
クロスサイト・リクエスト・フォージェリー | 352、456 |
クロスサイト・スクリプティング | 22、352、456、59、73、79、89、94 |
サービス拒否攻撃 | 119、20、310、825 |
ディレクトリー索引付け | 20、200、22、548 |
書式文字列 | 134 |
HTTP リクエスト分割 | 444 |
HTTP レスポンス分割 | 113 |
情報漏えい | 118、200、22、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、693 |
セキュリティーで保護されていないインデックス作成 | 612 |
不適切な認証 | 264、287、 566、 862、 863 |
不適切な許可 | 264、285、565 |
不適切なセッション有効期限 | 539、613 |
不十分なトランスポート層防御 | 296、297、298、523 |
整数オーバーフロー | 550 |
LDAP インジェクション | 90 |
メール・コマンド・インジェクション | 77 |
Null バイト・インジェクション | 626 |
OS コマンド実行 | 20、264、470、73、77、78 |
パス・トラバーサル | 22、94 |
予測可能なリソースの位置 | 306、531 |
リモート・ファイルのインクルード | 73、829、 94、 98、 99 |
正しくないサーバー構成 | 16、327 |
セッションの固定 | 304、384 |
SOAP 配列の悪用 | 120 |
SQL 注入 | 209、22、 79、 89、 94 |
SSI 注入 | 78、97 |
URL リダイレクターの悪用 | 601 |
XML 属性ブローアップ | 400 |
XML エンティティーの拡張 | 400 |
XML 外部エンティティー | 200、611 |
XML 注入 | 91 |
XPath 注入 | 91 |
脅威クラス | CWE |
---|---|
機能の悪用 | 117, 242, 345, 367, 388, 398, 407, 447, 489, 517, 520, 543, 544, 586, 74, 98 |
正しくないアプリケーション構成 | 16、778 |
ブルート・フォース | 310、312、 325、 327、 331 |
バッファー・オーバーフロー | 120、129、131、242 |
コンテンツ・スプーフィング | 113、425 |
資格情報/セッション予測 | 565 |
クロスサイト・スクリプティング | 352、79 |
サービス拒否攻撃 | 382、400、404、730 |
書式文字列 | 134 |
HTTP リクエスト分割 | 113 |
ファイル・システムへの不適切なアクセス許可 | 264 |
不適切な入力処理 | 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95 |
不適切な出力処理 | 109、116、925 |
情報漏えい | 20、201、209、250、311、300 |
不適切な認証 | 255、266、 287、 521、 522 |
不適切な許可 | 267、288 |
不適切なプロセス検証 | 20 |
不適切なセッション有効期限 | 613 |
不十分なトランスポート層防御 | 295 |
整数オーバーフロー | 190 |
LDAP インジェクション | 90 |
メール・コマンド・インジェクション | 74、79 |
悪意のあるコンテンツのテスト | 470、489、 506、 507、 511 |
OS コマンド実行 | 77、78 |
パス・トラバーサル | 73 |
SQL 注入 | 89 |
URL リダイレクターの悪用 | 601 |
XML 注入 | 74、91 |
XPath 注入 | 643 |
脅威クラス | CWE |
---|---|
M1:脆弱なサーバー側の制御 | 926、927 |
M2:安全でないデータ・ストレージ | 275、310、 359、 451、 522 |
M3:不十分なトランスポート層防御 | 295、296、297、300、327、490、601、754、79、829 |
M4:意図しないデータ漏えい | 592、829 |
M5:不適切な許可と認証 | 259、321、 327、 338、 798 |
M7:クライアント側の注入 | 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927 |
M8:信頼できない情報によるセキュリティーの判断 | 927 |
M9:不適切なセッション処理 | 489、693 |
M10:バイナリー保護の欠如 | 489、693、829 |