Classe de menaces et numéros CWE associés

Tableaux affichant les classes de menaces des problèmes testés par ASoC et les numéros CWE associés.

Tableau 1. Classes de menaces de l'analyse mobile
Classe de menace CWE
M1 : contrôles faibles côté serveur 926, 927
M2 : stockage de données incorrect 275, 310, 359, 451, 522
M3 : Protection de la couche transport insuffisante 295, 296, 297, 300, 327, 490, 601, 754, 79, 829
M4 : fuite de données imprévue 592, 829
M5 : autorisation et authentification faibles 259, 321, 327, 338, 798
M7 : injection côté client 112, 120, 134, 20, 275, 427, 451, 470, 490, 506, 682, 74, 754, 77, 790, 829, 88, 89, 927
M8 : décisions de sécurité et entrées non sécurisées 927
M9 : gestion incorrecte de la session 489, 693
M10 : manque de protection binaire 489, 693, 829
Tableau 2. Classes de menaces de l'analyse dynamique
Classe de menace CWE
Abus de fonctionnalité 10, 117, 16, 20, 200, 22, 284, 288, 434, 441, 456, 472, 489, 494, 497, 522, 601, 610, 618, 74, 77, 78, 79, 829, 98
Force brute 204, 307, 340
Dépassement de mémoire tampon 119, 120, 189, 825
Usurpation de contenu 327, 345, 359, 74, 79
Prédiction des droits d'accès/session 330
Falsification de requêtes intersite 352, 456
Attaque par script intersite 22, 352, 456, 59, 73, 79, 89, 94
Refus de service 119, 20, 310, 825
Indexation de répertoire 20, 200, 22, 548
Chaîne de format 134
Fractionnement de demande HTTP 444
Fractionnement de réponse HTTP 113
Fuite d'informations 118, 200, 22, 264, 287, 299, 311, 352, 359, 472, 522, 523, 525, 538, 540, 550, 598, 602, 614, 615, 653, 693
Indexation non sécurisée 612
Authentification insuffisante 264, 287, 566, 862, 863
Autorisation insuffisante 264, 285, 565
Expiration de session insuffisante 539, 613
Protection de la couche transport insuffisante 296, 297, 298, 523
Dépassements d'entier 550
Injection LDAP 90
Injection de commande de messagerie 77
Injection d'octet null 626
Injection de commandes OS 20, 264, 470, 73, 77, 78
Traversée de répertoires 22, 94
Emplacement de ressource prévisible 306, 531
Inclusion RFI 73, 829, 94, 98, 99
Problème de configuration du serveur 16, 327
Fixation de session 304, 384
Abus de tableau SOAP 120
Injection SQL 209, 22, 79, 89, 94
Injection d'inclusion SSI 78, 97
Abus de redirection d'URL 601
Agrandissement d'attribut XML 400
Expansion d'entité XML 400
Entités externes XML 200, 611
Injection XML 91
Injection XPath 91
Tableau 3. Classes de menaces de l'analyse statique
Classe de menace CWE
Abus de fonctionnalité 117, 242, 345, 367, 388, 398, 407, 447, 489, 517, 520, 543, 544, 586, 74, 98
Problème de configuration de l'application 16, 778
Force brute 310, 312, 325, 327, 331
Dépassement de mémoire tampon 120, 129, 131, 242
Usurpation de contenu 113, 425
Prédiction des droits d'accès/session 565
Attaque par script intersite 352, 79
Refus de service 382, 400, 404, 730
Chaîne de format 134
Fractionnement de demande HTTP 113
Droits d'accès inadéquats au système de fichiers 264
Traitement incorrect des entrées 112, 130, 15, 185, 20, 390, 425, 434, 538, 569, 602, 624, 74, 79, 95
Traitement incorrect des sorties 109, 116, 925
Fuite d'informations 20, 201, 209, 250, 311, 300
Authentification insuffisante 255, 266, 287, 521, 522
Autorisation insuffisante 267, 288
Validation de processus insuffisante 20
Expiration de session insuffisante 613
Protection de la couche transport insuffisante 295
Dépassements d'entier 190
Injection LDAP 90
Injection de commande de messagerie 74, 79
Tests de contenu malveillant 470, 489, 506, 507, 511
Injection de commandes OS 77, 78
Traversée de répertoires 73
Injection SQL 89
Abus de redirection d'URL 601
Injection XML 74, 91
Injection XPath 643