威胁类和相关 CWE 编号

表格显示由 ASoC 测试的问题的威胁类及其相关 CWE 编号。

1. 动态分析
威胁类 CWE
滥用功能 10、117、16、20、200、22、284、288、434、441、456、472、489、494、497、522、601、610、618、74、77、78、79、829、98
蛮力攻击 204、307、340
缓冲区溢出 119、120、189、825
内容电子欺骗 327、345、359、74、79
凭证/会话预测 330
跨站点请求伪造 352、456
跨站点脚本编制 22、352、456、59、73、79、89、94
拒绝服务 119、20、310、825
目录索引 20、200、22、548
格式字符串 134
HTTP 请求分割 444
HTTP 响应分割 113
信息泄露 118、200、22、264、287、299、311、352、359、472、522、523、525、538、540、550、598、602、614、615、653、693
不安全的索引编制 612
不充分认证 264、287、566、862、863
不充分授权 264、285、565
不充分会话到期 539、613
传输层保护不足 296、297、298、523
整数溢出 550
LDAP 注入 90
邮件命令注入 77
空字节注入 626
OS 命令 20、264、470、73、77、78
路径遍历 22、94
可预测的资源位置 306、531
远程文件包含 73、829、94、98、99
服务器配置错误 16、327
会话修订 304、384
SOAP 数组滥用 120
SQL 注入 209、22、79、89、94
SSI 注入 78、97
URL 重定向器滥用 601
XML 属性爆发 400
XML 实体扩展 400
XML 外部实体 200、611
XML 注入 91
XPath 注入 91
2. 静态分析
威胁类 CWE
滥用功能 117、242、345、367、388、398、407、447、489、517、520、543、544、586、74、98
应用程序配置错误 16、778
蛮力攻击 310、312、325、327、331
缓冲区溢出 120、129、131、242
内容电子欺骗 113、425
凭证/会话预测 565
跨站点脚本编制 352、79
拒绝服务 382、400、404、730
格式字符串 134
HTTP 请求分割 113
文件系统许可权不当 264
输入处理不当 112、130、15、185、20、390、425、434、538、569、602、624、74、79、95
输出处理不当 109、116、925
信息泄露 20、201、209、250、311、300
不充分认证 255、266、287、521、522
不充分授权 267、288
不充分过程验证 20
不充分会话到期 613
传输层保护不足 295
整数溢出 190
LDAP 注入 90
邮件命令注入 74、79
恶意内容测试 470、489、506、507、511
OS 命令 77、78
路径遍历 73
SQL 注入 89
URL 重定向器滥用 601
XML 注入 74、91
XPath 注入 643
3. 移动分析(已弃用)
威胁类 CWE
M1:服务器端控制较弱 926、927
M2:数据存储不安全 275、310、359、451、522
M3:传输层保护不足 295、296、297、300、327、490、601、754、79、829
M4:意外数据泄露 592、829
M5:授权和认证不良 259、321、327、338、798
M7:客户机端注入 112、120、134、20、275、427、451、470、490、506、682、74、754、77、790、829、88、89、927
M8:通过不可信输入做出安全性决策 927
M9:会话处理不当 489、693
M10:二进制保护不足 489、693、829