Classe de menaces et numéros CWE associés
Tableaux affichant les classes de menaces des problèmes testés par ASoC et numéros CWE associés.
| Classe de menace | CWE |
|---|---|
| Abus de fonctionnalité | 22, 74, 78, 79, 98, 200, 284, 288, 311, 326, 434, 441, 472, 489, 494, 497, 502, 522, 601, 618, 644, 829, 1022, 1035 |
| Violation de l'autorisation au niveau de la fonction sur l'API | 284 |
| Violation de l'autorisation au niveau de l'objet sur l'API | 284 |
| Force brute | 204, 307, 340 |
| Dépassement de la mémoire tampon | 119, 120, 189, 825 |
| Usurpation de contenu | 74, 79, 327, 345 |
| Prédiction des données d'identification/session | 330 |
| Falsification de requêtes intersite | 352, 456, 1385 |
| Attaque par script intersite | 22, 73, 79, 89, 352, 829 |
| Déni de service | 19, 20, 119, 310, 770, 825 |
| Indexation de répertoire | 20, 22, 200, 548 |
| Chaîne de format | 134 |
| Dissimulation de requête HTTP | 444 |
| Fractionnement de réponse HTTP | 113 |
| Vulnérabilité de gestion des actifs incorrecte de l'API | 1059 |
| Fuite d'informations | 22, 118, 200, 209, 264, 287, 299, 311, 352, 359, 472, 522, 523, 525, 538, 540, 550, 598, 602, 614, 615, 653, 1021, 1032 |
| Indexation non sécurisée | 612 |
| Authentification insuffisante | 264, 287, 566, 862, 863 |
| Autorisation insuffisante | 264, 285, 565 |
| Expiration de session insuffisante | 539, 613 |
| Protection insuffisante de la couche de transport | 296, 297, 298, 523 |
| Dépassements d'entier | 190 |
| Injection LDAP | 90 |
| Injection de commande de messagerie | 77 |
| Vulnérabilité d'affectation en masse de l'API | 915 |
| Injection d'octet null | 626 |
| Commandes du système d'exploitation | 20, 73, 74, 77, 78, 94, 264, 284, 326, 434, 502, 552, 915 |
| Traversée de répertoires | 22, 94 |
| Emplacement de ressource prévisible | 306, 531 |
| Inclusion de fichiers à distance | 73, 94, 98, 99, 829 |
| Mauvaise configuration du serveur | 16, 20, 327, 347, 1275 |
| Injection de modèle côté serveur | 1336 |
| Falsification de requêtes côté serveur | 918 |
| Fixation de session | 304, 384 |
| Abus de matrice SOAP | 120 |
| Injection SQL | 22, 79, 89, 94, 209 |
| Injection d'inclusion SSI | 78, 97 |
| Abus de redirection d'URL | 601 |
| Agrandissement d'attribut XML | 400 |
| Expansion d'entité XML | 400 |
| Entités externes XML | 200, 434, 611 |
| Injection XML | 91 |
| Injection XPath | 91, 643 |
| Classe de menace | CWE |
|---|---|
| Abus de fonctionnalité | 117, 242, 345, 367, 388, 398, 407, 447, 489, 517, 520, 543, 544, 586, 74, 98 |
| Problème de configuration de l'application | 16, 778 |
| Force brute | 310, 312, 325, 327, 331 |
| Dépassement de la mémoire tampon | 120, 129, 131, 242 |
| Usurpation de contenu | 113, 425 |
| Prédiction des données d'identification/session | 565 |
| Attaque par script intersite | 352, 79 |
| Déni de service | 382, 400, 404, 730 |
| Chaîne de format | 134 |
| Fractionnement de demande HTTP | 113 |
| Droits d'accès inadéquats au système de fichiers | 264 |
| Traitement incorrect des entrées | 112, 130, 15, 185, 20, 390, 425, 434, 538, 569, 602, 624, 74, 79, 95 |
| Traitement incorrect des sorties | 109, 116, 925 |
| Fuite d'informations | 20, 201, 209, 250, 311, 300 |
| Authentification insuffisante | 255, 266, 287, 521, 522 |
| Autorisation insuffisante | 267, 288 |
| Validation de processus insuffisante | 20 |
| Expiration de session insuffisante | 613 |
| Protection insuffisante de la couche de transport | 295 |
| Dépassements d'entier | 190 |
| Injection LDAP | 90 |
| Injection de commande de messagerie | 74, 79 |
| Tests de contenu malveillant | 470, 489, 506, 507, 511 |
| Commandes du système d'exploitation | 77, 78 |
| Traversée de répertoires | 73 |
| Injection SQL | 89 |
| Abus de redirection d'URL | 601 |
| Injection XML | 74, 91 |
| Injection XPath | 643 |
| Classe de menace | CWE |
|---|---|
| M1 : contrôles faibles côté serveur | 926, 927 |
| M2 : stockage de données incorrect | 275, 310, 359, 451, 522 |
| M3 : Protection insuffisante de la couche de transport | 295, 296, 297, 300, 327, 490, 601, 754, 79, 829 |
| M4 : fuite de données imprévue | 592, 829 |
| M5 : autorisation et authentification faibles | 259, 321, 327, 338, 798 |
| M7 : injection côté client | 112, 120, 134, 20, 275, 427, 451, 470, 490, 506, 682, 74, 754, 77, 790, 829, 88, 89, 927 |
| M8 : décisions de sécurité et entrées non sécurisées | 927 |
| M9 : gestion incorrecte de la session | 489, 693 |
| M10 : manque de protection binaire | 489, 693, 829 |