威脅分類和相關 CWE 號碼

表格顯示由 ASoC 測試之問題的威脅分類,及其相關 CWE 號碼。

1. 動態分析
威脅類別 CWE
功能濫用 10, 117, 16, 20, 200, 22, 284, 288, 434, 441, 456, 472, 489, 494, 497, 522, 601, 610, 618, 74, 77, 78, 79, 829, 98
強制入侵 204、307、340
緩衝區溢位 119、120、189、825
內容偽裝 327, 345, 359, 74, 79
認證/階段作業預測 330
偽造跨網站要求 352、456
跨網站 Scripting 22, 352, 456, 59, 73, 79, 89, 94
阻斷服務 119、20、310、825
目錄檢索 20、200、22、548
格式字串 134
分割 HTTP 要求 444
HTTP 回應分割 113
資訊洩漏 118, 200, 22, 264, 287, 299, 311, 352, 359, 472, 522, 523, 525, 538, 540, 550, 598, 602, 614, 615, 653, 693
不安全檢索 612
鑑別不足 264, 287, 566, 862, 863
授權不足 264、285、565
階段作業期限不足 539、613
傳輸層保護不足 296、297、298、523
整數溢位 550
LDAP 注入 90
郵件指令注入 77
空值位元組注入 626
OS 接管 20, 264, 470, 73, 77, 78
路徑遍訪 22、94
可預測的資源位置 306、531
遠端檔案併入 73, 829, 94, 98, 99
伺服器配置錯誤 16、327
階段作業固定 304、384
SOAP 陣列濫用 120
SQL 注入 209, 22, 79, 89, 94
SSI 注入 78、97
URL 重新導向程式濫用 601
XML 屬性爆發 400
XML 實體擴充 400
XML 外部實體 200、611
XML 注入 91
XPath 注入 91
2. 靜態分析
威脅類別 CWE
功能濫用 117, 242, 345, 367, 388, 398, 407, 447, 489, 517, 520, 543, 544, 586, 74, 98
應用程式配置錯誤 16、778
強制入侵 310, 312, 325, 327, 331
緩衝區溢位 120、129、131、242
內容偽裝 113、425
認證/階段作業預測 565
跨網站 Scripting 352、79
阻斷服務 382、400、404、730
格式字串 134
分割 HTTP 要求 113
不當的檔案系統許可權 264
不當輸入處理 112, 130, 15, 185, 20, 390, 425, 434, 538, 569, 602, 624, 74, 79, 95
不當輸出處理 109、116、925
資訊洩漏 20, 201, 209, 250, 311, 300
鑑別不足 255, 266, 287, 521, 522
授權不足 267、288
程序驗證不足 20
階段作業期限不足 613
傳輸層保護不足 295
整數溢位 190
LDAP 注入 90
郵件指令注入 74、79
惡意內容測試 470, 489, 506, 507, 511
OS 接管 77、78
路徑遍訪 73
SQL 注入 89
URL 重新導向程式濫用 601
XML 注入 74、91
XPath 注入 643
3. 行動分析(已淘汰)
威脅類別 CWE
M1:弱伺服器端控制 926、927
M2:資料儲存不安全 275, 310, 359, 451, 522
M3:傳輸層保護不足 295, 296, 297, 300, 327, 490, 601, 754, 79, 829
M4:意外的資料洩漏 592、829
M5:授權和鑑別不足 259, 321, 327, 338, 798
M7:用戶端注入 112, 120, 134, 20, 275, 427, 451, 470, 490, 506, 682, 74, 754, 77, 790, 829, 88, 89, 927
M8:透過不信任的輸入而做出安全決策 927
M9:階段作業處理不當 489、693
M10:缺少二進位保護 489、693、829