威胁类和相关 CWE 编号

表格显示由 ASoC 测试的问题的威胁类及其相关 CWE 编号。

1. 动态分析
威胁类 CWE
功能滥用 22、74、78、79、98、200、284、288、311、326、434、441、472、489、494、497、502、522、601、618、644、829、1022、1035
API 上的失效的功能级授权 284
API 上的失效的对象级授权 284
暴力攻击 204、307、340
缓冲区溢出 119、120、189、825
内容电子欺骗 74、79、327、345
凭证/会话预测 330
跨站点请求伪造 352、456、1385
跨站点脚本编制 22、73、79、89、352、829
拒绝服务 19、20、119、310、770、825
目录索引 20、22、200、548
格式字符串 134
HTTP 请求走私 444
HTTP 响应分割 113
API 资产管理不当漏洞 1059
信息泄露 22、118、200、209、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、1021、1032
不安全索引 612
不充分认证 264、287、566、862、863
不充分授权 264、285、565
不充分会话到期 539、613
传输层保护不足 296、297、298、523
整数溢出 190
LDAP 注入 90
邮件命令注入 77
API 批量赋值漏洞 915
空字节注入 626
OS 命令 20、73、74、77、78、94、264、284、326、434、502、552、915
路径遍历 22、94
可预测的资源位置 306、531
远程文件包含 73、94、98、99、829
服务器配置错误 16、20、327、347、1275
服务器端模板注入 1336
服务器端请求伪造 918
会话定置 304、384
SOAP 数组滥用 120
SQL 注入 22、79、89、94、209
SSI 注入 78、97
URL 重定向器滥用 601
XML 属性爆发 400
XML 实体扩展 400
XML 外部实体 200、434、611
XML 注入 91
XPath 注入 91、643
2. 静态分析
威胁类 CWE
功能滥用 117、242、345、367、388、398、407、447、489、517、520、543、544、586、74、98
应用程序配置错误 16、778
暴力攻击 310、312、325、327、331
缓冲区溢出 120、129、131、242
内容电子欺骗 113、425
凭证/会话预测 565
跨站点脚本编制 352、79
拒绝服务 382、400、404、730
格式字符串 134
HTTP 请求分割 113
文件系统许可权不当 264
输入处理不当 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95
输出处理不当 109、116、925
信息泄露 20、201、209、250、311、300
不充分认证 255、266、287、521、522
不充分授权 267、288
不充分过程验证 20
不充分会话到期 613
传输层保护不足 295
整数溢出 190
LDAP 注入 90
邮件命令注入 74、79
恶意内容测试 470、489、506、507、511
OS 命令 77、78
路径遍历 73
SQL 注入 89
URL 重定向器滥用 601
XML 注入 74、91
XPath 注入 643
3. 移动分析(已弃用)
威胁类 CWE
M1:服务器端控制较弱 926、927
M2:数据存储不安全 275、310、359、451、522
M3:传输层保护不足 295、296、297、300、327、490、601、754、79、829
M4:意外数据泄露 592、829
M5:授权和认证不良 259、321、327、338、798
M7:客户机端注入 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927
M8:通过不可信输入做出安全性决策 927
M9:会话处理不当 489、693
M10:二进制保护不足 489、693、829