脅威クラスおよび関連する CWE 番号
ASoC でテスト済みの問題の脅威クラスとそのクラスに関連する CWE 番号を記載したテーブル。
| 脅威クラス | CWE |
|---|---|
| 機能の悪用 | 10、117、16、20、200、22、284、288、434、441、456、472、489、494、497、522、601、610、618、74、77、78、79、829、98 |
| ブルート・フォース | 204、307、340 |
| バッファー・オーバーフロー | 119、120、189、825 |
| コンテンツ・スプーフィング | 327、345、 359、 74、 79 |
| 資格情報/セッション予測 | 330 |
| クロスサイト・リクエスト・フォージェリー | 352、456 |
| クロスサイト・スクリプティング | 22、352、456、59、73、79、89、94 |
| サービス拒否攻撃 | 119、20、310、825 |
| ディレクトリー索引付け | 20、200、22、548 |
| 書式文字列 | 134 |
| HTTP リクエスト分割 | 444 |
| HTTP レスポンス分割 | 113 |
| 情報漏えい | 118、200、22、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、693 |
| セキュリティーで保護されていないインデックス作成 | 612 |
| 不適切な認証 | 264、287、 566、 862、 863 |
| 不適切な許可 | 264、285、565 |
| 不適切なセッション有効期限 | 539、613 |
| 不十分なトランスポート層防御 | 296、297、298、523 |
| 整数オーバーフロー | 550 |
| LDAP インジェクション | 90 |
| メール・コマンド・インジェクション | 77 |
| Null バイト・インジェクション | 626 |
| OS コマンド実行 | 20、264、470、73、77、78 |
| パス・トラバーサル | 22、94 |
| 予測可能なリソースの位置 | 306、531 |
| リモート・ファイルのインクルード | 73、829、 94、 98、 99 |
| 正しくないサーバー構成 | 16、327 |
| セッションの固定 | 304、384 |
| SOAP 配列の悪用 | 120 |
| SQL 注入 | 209、22、 79、 89、 94 |
| SSI 注入 | 78、97 |
| URL リダイレクターの悪用 | 601 |
| XML 属性ブローアップ | 400 |
| XML エンティティーの拡張 | 400 |
| XML 外部エンティティー | 200、611 |
| XML 注入 | 91 |
| XPath 注入 | 91 |
| 脅威クラス | CWE |
|---|---|
| 機能の悪用 | 117, 242, 345, 367, 388, 398, 407, 447, 489, 517, 520, 543, 544, 586, 74, 98 |
| 正しくないアプリケーション構成 | 16、778 |
| ブルート・フォース | 310、312、 325、 327、 331 |
| バッファー・オーバーフロー | 120、129、131、242 |
| コンテンツ・スプーフィング | 113、425 |
| 資格情報/セッション予測 | 565 |
| クロスサイト・スクリプティング | 352、79 |
| サービス拒否攻撃 | 382、400、404、730 |
| 書式文字列 | 134 |
| HTTP リクエスト分割 | 113 |
| ファイル・システムへの不適切なアクセス許可 | 264 |
| 不適切な入力処理 | 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95 |
| 不適切な出力処理 | 109、116、925 |
| 情報漏えい | 20、201、209、250、311、300 |
| 不適切な認証 | 255、266、 287、 521、 522 |
| 不適切な許可 | 267、288 |
| 不適切なプロセス検証 | 20 |
| 不適切なセッション有効期限 | 613 |
| 不十分なトランスポート層防御 | 295 |
| 整数オーバーフロー | 190 |
| LDAP インジェクション | 90 |
| メール・コマンド・インジェクション | 74、79 |
| 悪意のあるコンテンツのテスト | 470、489、 506、 507、 511 |
| OS コマンド実行 | 77、78 |
| パス・トラバーサル | 73 |
| SQL 注入 | 89 |
| URL リダイレクターの悪用 | 601 |
| XML 注入 | 74、91 |
| XPath 注入 | 643 |
| 脅威クラス | CWE |
|---|---|
| M1:脆弱なサーバー側の制御 | 926、927 |
| M2:安全でないデータ・ストレージ | 275、310、 359、 451、 522 |
| M3:不十分なトランスポート層防御 | 295、296、297、300、327、490、601、754、79、829 |
| M4:意図しないデータ漏えい | 592、829 |
| M5:不適切な許可と認証 | 259、321、 327、 338、 798 |
| M7:クライアント側の注入 | 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927 |
| M8:信頼できない情報によるセキュリティーの判断 | 927 |
| M9:不適切なセッション処理 | 489、693 |
| M10:バイナリー保護の欠如 | 489、693、829 |